Parem as impressoras: a cobertura da mídia como uma métrica de priorização para o gerenciamento de vulnerabilidades

Nós nos perguntamos se a cobertura de vulnerabilidades por parte da grande mídia mudou a forma como as empresas conduzem o gerenciamento de vulnerabilidades. Então, perguntamos a eles. Eis o que descobrimos.

Nos círculos técnicos, as vulnerabilidades sempre foram notícia. Agora com mais frequência, porém, as vulnerabilidades viraram notícia de massa. Elas são regularmente cobertas em meios de comunicação empresarial lidos por líderes de empresas que, em outro cenário, não se envolveriam nos pormenores do gerenciamento de vulnerabilidades. 

O ano de 2018 foi importante para as vulnerabilidades na mídia. Tendo início imediato com o Meltdown e o Spectre em janeiro, a impressão que se tem é que a cobertura nunca mais cessou. Tendo isso em vista, nos perguntamos se e como essa cobertura mudou a forma como as empresas estavam conduzindo o gerenciamento de vulnerabilidades. Então, perguntamos a eles. Ao longo das amplas entrevistas realizadas com CISOs e analistas de segurança, não podíamos deixar de perguntar sobre as suas experiências com as vulnerabilidades nas notícias.

Perguntamos aos entrevistados: "A cobertura de vulnerabilidades por parte dos noticiários afetou o seu trabalho? Se sim, como?" 

A maioria deles vivenciou algum tipo de interrupção nas suas operações normais devido à cobertura de vulnerabilidades por parte dos noticiários. Os dois principais exemplos que foram dados foram as vulnerabilidades de execução especulativa, Meltdown and Spectre, e o Struts2. O relatório completo, Vulnerabilidades em destaque: Como a cobertura da mídia molda a percepção de risco, contém detalhes sobre estratégias, táticas e desafios que se desenvolveram no decorrer da resposta a esses incidentes. Nossas principais descobertas foram que: 

• As vulnerabilidades de alto perfil não são apenas uma preocupação para as equipes de segurança. Essas vulnerabilidades, sejam ou não tecnicamente críticas, podem representar sérios riscos à reputação da organização e precisam de um gerenciamento de relacionamento com clientes, parceiros, reguladores e outras partes interessadas. 
• A cobertura da mídia não é uma métrica objetiva para determinar a verdadeira criticidade de uma vulnerabilidade, particularmente no contexto de uma empresa específica. O papel da mídia é investigar e informar histórias, e não conduzir análises de riscos. A mídia deve informar as vulnerabilidades que são interessantes, mas não necessariamente críticas. 
• No entanto, a cobertura da mídia ainda pode influenciar as avaliações de risco holísticas. Embora as equipes de segurança estejam cientes de que a cobertura da mídia não é uma medida ideal do risco técnico, elas precisam discutir seu processo de avaliação de risco com as outras pessoas. Elas também precisam aceitar que o risco geral apresentado por uma vulnerabilidade de menor gravidade pode exigir que ações sejam tomadas.
• Parte do papel de uma equipe de segurança é gerenciar o risco percebido e dar recomendações aos principais interessados, especialmente os tomadores de decisão seniores, e permitir uma resposta comedida às vulnerabilidades com base na contextualização, e não no alarde causado. Os CISOs precisam estar armados com dados de vulnerabilidade no devido contexto a fim de transmitir adequadamente a Cyber Exposure das suas organizações aos líderes de negócios e investir recursos da forma correta para reduzir os riscos.

No entanto, existe outro ângulo não abordado no relatório que eu gostaria de discutir: não é apenas a cobertura na imprensa empresarial que pode afetar a forma como o gerenciamento de vulnerabilidades é conduzido. As equipes de segurança estão rastreando um conjunto de canais muito mais amplo do que os seus executivos usam para rastrear vulnerabilidades. Embora as equipes de segurança não usem essa cobertura como uma única fonte de inteligência de vulnerabilidades, ela pode ser usada como uma métrica para priorização (em combinação com outras). Vamos analisar o panorama da mídia de vulnerabilidades. 

Panorama da mídia de vulnerabilidades

Embora o relatório Vulnerabilidades em destaque tenha em foco, sobretudo, como as organizações respondem à cobertura da grande mídia, reportagens que atingem o nível do New York Times e notícias de amplo alcance, o panorama da mídia de vulnerabilidades cobre muito mais do que somente essas reportagens. Embora a pressão para a tomada de ação seja maior quando a liderança executiva ou a diretoria tomam conhecimento de uma vulnerabilidade, as equipes de segurança costumam usar a cobertura da mídia como uma métrica de gravidade. A cobertura da mídia costuma aumentar a prioridade de uma vulnerabilidade, e isso é particularmente real quando os ataques são observados na natureza. Por exemplo, a Atlassian publicou um alerta de vulnerabilidade no servidor do Confluence em 20 de março, incluindo uma correção para o CVE-2019-3396. No entanto, somente quando o código de validação de conceito (PoC) e a exploração dessa vulnerabilidade se tornaram públicos, os meios de comunicação se deram conta. Embora talvez não seja considerada uma das primeiras da lista, a cobertura da mídia atua como um ponto de dados adicional para a priorização.

A equipe de resposta de segurança (SRT) da Tenable rastreia vulnerabilidades nas notícias (e em outras fontes) e, desde o início de 2019, quase todas as vulnerabilidades dignas de nota divulgadas foram cobertas pela mídia. Isso cria um grande alvoroço para as equipes de segurança administrarem. A cobertura da mídia está se tornando menos útil como métrica porque o panorama da mídia está mudando. 

Refletindo sobre as mudanças no panorama da mídia, Ryan Seguin, engenheiro de pesquisa da SRT, declarou: "Acho que, nos últimos cinco anos, houve uma tempestade perfeita de fatores no setor. O primeiro grande impacto na cobertura de vulnerabilidades pela mídia foi o Heartbleed em 2014 e, o segundo, o Twitter se tornar o método de comunicação "de facto" para os pesquisadores. Certamente, o Heartbleed não foi a primeira vulnerabilidade a receber um nome chamativo mas, na minha experiência anedótica, sua publicação criou uma espécie de febre do ouro pela pesquisa sobre vulnerabilidades. Desde 2014, os pesquisadores estão se dedicando cada vez mais a serem os próximos a descobrirem a vulnerabilidade perfeita, digna de um grande artigo e uma página da Web de grande destaque. Além de divulgar o seu nome ao mundo e construir a sua credibilidade, os programas de recompensas de bugs também se tornaram mais lucrativos e mais organizados".Essa mudança em como os pesquisadores divulgam o seu trabalho para competir por atenção levou os meios de comunicação a publicar os ciclos de notícias alvoroçantes e de alto volume que temos visto.

As vulnerabilidades e as táticas discutidas no relatório se alinham ao tema de interesse em salas de reunião que manteve a popularidade na segurança cibernética nos últimos anos. Como as equipes de segurança não apenas reagem, mas também exploram a crescente atenção dos conselhos e da alta diretoria? Principalmente em 2018, essa atenção se voltou ao gerenciamento de vulnerabilidades. Tenha essa atenção sido desencadeada por uma reportagem na imprensa empresarial ou por um meio de comunicação técnico, como o Bleeping Computer, as equipes de segurança precisam ser capazes de argumentar os riscos que as vulnerabilidades representam em termos que permitam que os principais interessados tomem as melhores decisões.

Assista: Painel de especialistas discute o relatório Vulnerabilidades em Destaque na Edge 2019

Atualizado em 04 de junho de 2019: Discutimos os resultados do relatório em uma sessão do painel de especialistas durante a conferência Edge 2019 da Tenable, entre 21 e 23 de maio em Atlanta. A sessão foi moderada por Paul Roberts, Editor e Editor-Chefe da The Security Ledger, da qual também participei junto com: Kevin Kerr, CISO, Oak Ridge National Laboratory; Greg Kyrytschenko, Diretor dos Serviços de Segurança, Guardian; e Ramin Lamei, Diretor Sênior, Oficial de Segurança da Informação, Pagamentos Globais. Assista à sessão completa abaixo:

Saiba mais:

• Faça o download do relatório Vulnerabilidades em destaque: Como a cobertura da mídia molda a percepção de risco
• Participe do webinar Tenable Research explora vulnerabilidades dignas de manchete: a publicidade distorce a percepção?, em 19 de junho às 14h00 ET. 
• Quer ver mais vídeos da Edge 2019? Clique aqui.