Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Parem as impressoras: a cobertura da mídia como uma métrica de priorização para o gerenciamento de vulnerabilidades

Nós nos perguntamos se a cobertura de vulnerabilidades por parte da grande mídia mudou a forma como as empresas conduzem o gerenciamento de vulnerabilidades. Então, perguntamos a eles. Eis o que descobrimos.

Nos círculos técnicos, as vulnerabilidades sempre foram notícia. Agora com mais frequência, porém, as vulnerabilidades viraram notícia de massa. Elas são regularmente cobertas em meios de comunicação empresarial lidos por líderes de empresas que, em outro cenário, não se envolveriam nos pormenores do gerenciamento de vulnerabilidades. 

O ano de 2018 foi importante para as vulnerabilidades na mídia. Tendo início imediato com o Meltdown e o Spectre em janeiro, a impressão que se tem é que a cobertura nunca mais cessou. Tendo isso em vista, nos perguntamos se e como essa cobertura mudou a forma como as empresas estavam conduzindo o gerenciamento de vulnerabilidades. Então, perguntamos a eles. Ao longo das amplas entrevistas realizadas com CISOs e analistas de segurança, não podíamos deixar de perguntar sobre as suas experiências com as vulnerabilidades nas notícias.

Perguntamos aos entrevistados: "A cobertura de vulnerabilidades por parte dos noticiários afetou o seu trabalho? Se sim, como?" 

A maioria deles vivenciou algum tipo de interrupção nas suas operações normais devido à cobertura de vulnerabilidades por parte dos noticiários. Os dois principais exemplos que foram dados foram as vulnerabilidades de execução especulativa, Meltdown and Spectre, e o Struts2. O relatório completo, Vulnerabilidades em destaque: Como a cobertura da mídia molda a percepção de risco, contém detalhes sobre estratégias, táticas e desafios que se desenvolveram no decorrer da resposta a esses incidentes. Nossas principais descobertas foram que: 

  • As vulnerabilidades de alto perfil não são apenas uma preocupação para as equipes de segurança. Essas vulnerabilidades, sejam ou não tecnicamente críticas, podem representar sérios riscos à reputação da organização e precisam de um gerenciamento de relacionamento com clientes, parceiros, reguladores e outras partes interessadas. 
  • A cobertura da mídia não é uma métrica objetiva para determinar a verdadeira criticidade de uma vulnerabilidade, particularmente no contexto de uma empresa específica. O papel da mídia é investigar e informar histórias, e não conduzir análises de riscos. A mídia deve informar as vulnerabilidades que são interessantes, mas não necessariamente críticas. 
  • No entanto, a cobertura da mídia ainda pode influenciar as avaliações de risco holísticas. Embora as equipes de segurança estejam cientes de que a cobertura da mídia não é uma medida ideal do risco técnico, elas precisam discutir seu processo de avaliação de risco com as outras pessoas. Elas também precisam aceitar que o risco geral apresentado por uma vulnerabilidade de menor gravidade pode exigir que ações sejam tomadas.
  • Parte do papel de uma equipe de segurança é gerenciar o risco percebido e dar recomendações aos principais interessados, especialmente os tomadores de decisão seniores, e permitir uma resposta comedida às vulnerabilidades com base na contextualização, e não no alarde causado. Os CISOs precisam estar armados com dados de vulnerabilidade no devido contexto a fim de transmitir adequadamente a Cyber Exposure das suas organizações aos líderes de negócios e investir recursos da forma correta para reduzir os riscos.

No entanto, existe outro ângulo não abordado no relatório que eu gostaria de discutir: não é apenas a cobertura na imprensa empresarial que pode afetar a forma como o gerenciamento de vulnerabilidades é conduzido. As equipes de segurança estão rastreando um conjunto de canais muito mais amplo do que os seus executivos usam para rastrear vulnerabilidades. Embora as equipes de segurança não usem essa cobertura como uma única fonte de inteligência de vulnerabilidades, ela pode ser usada como uma métrica para priorização (em combinação com outras). Vamos analisar o panorama da mídia de vulnerabilidades. 

Panorama da mídia de vulnerabilidades

Embora o relatório Vulnerabilidades em destaque tenha em foco, sobretudo, como as organizações respondem à cobertura da grande mídia, reportagens que atingem o nível do New York Times e notícias de amplo alcance, o panorama da mídia de vulnerabilidades cobre muito mais do que somente essas reportagens. Embora a pressão para a tomada de ação seja maior quando a liderança executiva ou a diretoria tomam conhecimento de uma vulnerabilidade, as equipes de segurança costumam usar a cobertura da mídia como uma métrica de gravidade. A cobertura da mídia costuma aumentar a prioridade de uma vulnerabilidade, e isso é particularmente real quando os ataques são observados na natureza. Por exemplo, a Atlassian publicou um alerta de vulnerabilidade no servidor do Confluence em 20 de março, incluindo uma correção para o CVE-2019-3396. No entanto, somente quando o código de validação de conceito (PoC) e a exploração dessa vulnerabilidade se tornaram públicos, os meios de comunicação se deram conta. Embora talvez não seja considerada uma das primeiras da lista, a cobertura da mídia atua como um ponto de dados adicional para a priorização.

A equipe de resposta de segurança (SRT) da Tenable rastreia vulnerabilidades nas notícias (e em outras fontes) e, desde o início de 2019, quase todas as vulnerabilidades dignas de nota divulgadas foram cobertas pela mídia. Isso cria um grande alvoroço para as equipes de segurança administrarem. A cobertura da mídia está se tornando menos útil como métrica porque o panorama da mídia está mudando. 

Refletindo sobre as mudanças no panorama da mídia, Ryan Seguin, engenheiro de pesquisa da SRT, declarou: "Acho que, nos últimos cinco anos, houve uma tempestade perfeita de fatores no setor. O primeiro grande impacto na cobertura de vulnerabilidades pela mídia foi o Heartbleed em 2014 e, o segundo, o Twitter se tornar o método de comunicação "de facto" para os pesquisadores. Certamente, o Heartbleed não foi a primeira vulnerabilidade a receber um nome chamativo mas, na minha experiência anedótica, sua publicação criou uma espécie de febre do ouro pela pesquisa sobre vulnerabilidades. Desde 2014, os pesquisadores estão se dedicando cada vez mais a serem os próximos a descobrirem a vulnerabilidade perfeita, digna de um grande artigo e uma página da Web de grande destaque. Além de divulgar o seu nome ao mundo e construir a sua credibilidade, os programas de recompensas de bugs também se tornaram mais lucrativos e mais organizados".Essa mudança em como os pesquisadores divulgam o seu trabalho para competir por atenção levou os meios de comunicação a publicar os ciclos de notícias alvoroçantes e de alto volume que temos visto.

As vulnerabilidades e as táticas discutidas no relatório se alinham ao tema de interesse em salas de reunião que manteve a popularidade na segurança cibernética nos últimos anos. Como as equipes de segurança não apenas reagem, mas também exploram a crescente atenção dos conselhos e da alta diretoria? Principalmente em 2018, essa atenção se voltou ao gerenciamento de vulnerabilidades. Tenha essa atenção sido desencadeada por uma reportagem na imprensa empresarial ou por um meio de comunicação técnico, como o Bleeping Computer, as equipes de segurança precisam ser capazes de argumentar os riscos que as vulnerabilidades representam em termos que permitam que os principais interessados tomem as melhores decisões.

Assista: Painel de especialistas discute o relatório Vulnerabilidades em Destaque na Edge 2019

Atualizado em 04 de junho de 2019: Discutimos os resultados do relatório em uma sessão do painel de especialistas durante a conferência Edge 2019 da Tenable, entre 21 e 23 de maio em Atlanta. A sessão foi moderada por Paul Roberts, Editor e Editor-Chefe da The Security Ledger, da qual também participei junto com: Kevin Kerr, CISO, Oak Ridge National Laboratory; Greg Kyrytschenko, Diretor dos Serviços de Segurança, Guardian; e Ramin Lamei, Diretor Sênior, Oficial de Segurança da Informação, Pagamentos Globais. Assista à sessão completa abaixo:

Saiba mais:

Publicações relacionadas

Inscreva-se no blog da Tenable

Inscrever-se
Teste gratuito Comprar agora

Teste o Tenable.io

GRÁTIS POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Inscreva-se agora mesmo.

Comprar o Tenable.io

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já
Teste gratuito Comprar agora

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano. Detalhes completos aqui.

Teste gratuito Comprar agora

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste gratuito Entre em contato com o setor de vendas

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Saiba mais sobre o lndustrial Security

Receba uma demonstração do Tenable.sc

Insira suas informações no formulário abaixo e um representante de vendas entrará em contato assim que possível para agendar uma demonstração. Você também pode inserir um comentário breve (limite de 255 caracteres). Os campos marcados com asterisco (*) são obrigatórios.

Teste gratuito Entre em contato com o setor de vendas

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.

Solicite uma demonstração do Tenable.ot

Obtenha a segurança de que precisa para suas tecnologias operacionais
e reduza o risco.