Equipes de segurança: o que você precisa saber sobre a resposta à vulnerabilidade

A Priorização Preditiva usa ciência de dados e machine learning para que sua equipe de segurança cibernética possa encontrar e corrigir vulnerabilidades mais facilmente.  

A cada semana são encontradas e publicadas vulnerabilidades críticas em software corporativo, lançando as equipes de segurança em uma corrida contra o tempo para aplicar patches e minimizar os danos.

Muitas vezes, esses exercícios são conduzidos não por necessidades de negócio ou mesmo considerações estratégicas de segurança, mas por uma reação a uma vulnerabilidade específica nas manchetes diárias. Esse cenário se repete várias vezes, provocando uma inatividade desnecessária e pressionando os já apertados recursos de segurança cibernética até o ponto de ruptura.

"Para qualquer pessoa envolvida em lidar com vulnerabilidades, às vezes as descrevemos como a roda do hamster", disse Gavin Millard, Vice-Presidente de Marketing de Produtos da Tenable, no recente webinar Como tirar proveito do poder da ciência de dados para a priorização. 

"Basicamente, ao abordar as vulnerabilidades que foram descobertas, você as analisa e as corrige, ou aplica controles de compensação para solucioná-las. Mais vulnerabilidades estão sendo descobertas, [resultando em] uma bola de neve de cada vez maior de vulnerabilidades que precisando ser cuidadas", acrescentou Millard.

E, como Millard apontou, "Não precisa ser assim".

Existem formas de tirar proveito de disciplinas, como a ciência de dados e a tecnologia de machine learning, para criar uma abordagem mais holística para a correção de vulnerabilidades de software.

Uma nova forma de pensar sobre os desafios pode ajudar a priorizar a maneira como os CISOs e suas equipes de segurança reagem ao ataque diário de vulnerabilidades de software, permitindo que aloquem recursos para corrigir falhas que realmente representam um perigo para a empresa.

É aí que entra a Priorização Preditiva.

Lançada no começo deste ano, a Priorização Preditiva combina os dados de vulnerabilidades coletados pela Tenable com os dados de vulnerabilidades e ameaças de terceiros e faz uma análise delas usando o algoritmo avançado de ciência de dados desenvolvido pela Tenable Research. Cada vulnerabilidade recebe um Vulnerability Priority Rating (VPR) que incorpora o resultado dessa análise, atualizada todos os dias. As funcionalidades da Priorização Preditiva oferecem às equipes de gerenciamento de vulnerabilidades uma forma de pontuar as vulnerabilidades no contexto de suas próprias necessidades do negócio. 

Solução de problemas no gerenciamento de vulnerabilidades

A necessidade de uma nova abordagem é ilustrada em um relatório recente do Ponemon Institute: Calcular e gerenciar os riscos cibernéticos para as operações comerciais, realizado em nome da Tenable. Para o relatório, o Ponemon entrevistou 2.410 profissionais de TI e de segurança de TI nos Estados Unidos, Reino Unido, Alemanha, Austrália, México e Japão. 

Metade dos participantes (51%) afirmou passar mais tempo em processos manuais do que lidando com vulnerabilidades, acarretando em um backup massivo. De fato, 48% dos participantes disseram que a dependência de processos manuais coloca sua organização em desvantagem quanto à capacidade de responder às vulnerabilidades.

Apenas 39% dos participantes afirmaram incorporar o threat intel na priorização dos ativos mais importantes para se proteger. Menos de um terço dos entrevistados (29%) acredita ter informações suficientes sobre a superfície de ataque da sua organização.

São esses os problemas que a Priorização Preditiva visa a solucionar: 

• menos dependência de processos manuais
• dar aos CISOs acesso com recursos limitados ao maior e mais recente threat intel; e 
• permitir uma visão clara de toda a superfície de ataque no momento em que a segurança corporativa assume mais responsabilidade.

Quando tudo é uma prioridade… 

De acordo com o National Vulnerability Database (NVD), mais de 16.500 novas vulnerabilidades foram publicadas em 2018. Desse número, 15% receberam a classificação 9+ do cartão de pontuação do CVSS (Sistema de Pontuação de Vulnerabilidades Comuns).

De forma bem simples, essa abordagem produz muito ruído.

"Quando tudo é crítico, nada é de verdade", disse Millard durante o webinar.

A Priorização Preditiva melhora a análise tradicional do CVSS para criar uma pontuação dinâmica que leva em consideração o risco real que essas falhas de software representam para a empresa, em vez de se concentrar na sofisticação técnica de uma vulnerabilidade em particular. "Para mim, o CVSS é como o currículo de uma pessoa. Ele mostra exatamente os pontos altos da pessoa, mas não mostra os verdadeiros traços de personalidade e como esses traços são utilizados por ela", disse Millard, citando um estudo da Carnegie Mellon University, Toward Improving CVSS, que demonstrou que o CVSS precisa de melhorias.

Em 5 de dezembro de 2018, em uma publicação no blog sobre o estudo do CVSS, Deana Schick, membro do corpo docente da Carnegie Mellon, escreveu: "O CVSS foi projetado para calcular a gravidade técnica de uma vulnerabilidade, mas é amplamente mal utilizado como um meio de priorização de vulnerabilidades e avaliação de riscos. O algoritmo de pontuação não é bem justificado e não tem a transparência necessária para a comunidade entender a função pretendida. Além disso, o uso incorreto do CVSS como uma pontuação de risco significa que, provavelmente, você não está aprendendo o que achava que estava com ele."

No webinar da Tenable, Millard explicou: "O CVSS é muito técnico e focado apenas nas métricas de base, temporais [e] ambientais de uma dada vulnerabilidade, e não proporciona a visão real do risco que a vulnerabilidade representa." 

O Vulnerability Priority Rating, resultado da funcionalidade de Priorização Preditiva da Tenable, é recalibrado todas as noites conforme novas informações são disponibilizadas pelos recursos globais da Tenable. Em termos gerais, a Priorização Preditiva e o Vulnerability Priority Rating resultam em uma redução de cerca de 97% no número de vulnerabilidades que exigem correção imediata. Isso proporciona às equipes de gerenciamento de vulnerabilidades uma visão clara dos 3% restantes de todas as vulnerabilidades conhecidas com mais probabilidade de serem exploradas em ataques.

Saiba mais:

• Leia o blog: O que você precisa saber sobre as boas práticas de gerenciamento de vulnerabilidades
• Assista ao webinar: Como tirar proveito do poder da ciência de dados para a priorização