O centro de pesquisa da Tenable vem notando ao longo dos anos um aumento significativo no número de vulnerabilidades (CVE) divulgadas por diversos fabricantes. No ano passado, apenas o Banco de Dados Nacional de Vulnerabilidades dos Estados Unidos (NVD) registrou mais de 20 mil CVE e o fato de que várias destas vulnerabilidades podem exigir correções em vários produtos, torna inviável para as equipes de segurança e de TI aplicar e consertar tudo dada a alta complexidade dos ambientes de rede atuais.
Para ter um panorama do que está por vir este ano, já em janeiro, a Microsoft lançou um pacote de 98 CVEs (11 críticas) e a Oracle seguiu com um pacote ainda maior de 183 CVEs (71 críticas). Estes dois fabricantes correspondem a uma parcela significativa de sistemas em operação no mundo todo, sistemas que são usados por milhões empresas e, indiretamente, pessoas, para manter o mundo digital funcionando.
Até recentemente, as estruturas e padrões usados no setor para ajudar a identificar e priorizar quais vulnerabilidades corrigir primeiro não estão cumprindo completamente sua função. Há muitos fatores que podem ser considerados para determinar o que torna uma vulnerabilidade mais importante para corrigir do que outra, e cada organização terá seus próprios requisitos e expectativas exclusivos.
No entanto, Lucas Tamagna-Darr, diretor de Engenharia da Tenable, explica que em todos os casos, há três elementos fundamentais que devem ser considerados para adotar uma abordagem baseada em riscos para o gerenciamento de vulnerabilidades. Esses elementos são:
Impacto: Qual é o impacto no aplicativo ou sistema afetado, bem como na organização, se a vulnerabilidade for explorada com sucesso? Compreender o impacto que uma determinada vulnerabilidade pode ter em sua organização específica é fundamental para priorizar quais devem ser corrigidas primeiro.
Probabilidade de exploração: Nem todas as vulnerabilidades são criadas igualmente e algumas são mais fáceis de explorar do que outras. Muitos invasores visam o que há de mais barato, portanto, entender quais vulnerabilidades são realmente exploráveis ou estão sendo exploradas ativamente é fundamental.
Valor do ativo: os invasores procuram ativos com o valor mais alto. Por exemplo, comprometer um sistema de desenvolvimento que não tem nada de valor pode fornecer uma base, mas não será um alvo tão interessante quanto comprometer o controlador de domínio ou o sistema de (ERP) de uma empresa. Nos sistemas e ambientes complexos com os quais as empresas operam hoje, o valor do ativo nem sempre é tão simples quanto descobrir se o próprio sistema está executando um software crítico. As funções e permissões concedidas aos usuários desse sistema podem ser igualmente importantes quando consideramos o valor do ativo. Determinar o valor do ativo também requer uma visão abrangente dos dados de identidade.
Como priorizar com riscos informados
O desenvolvimento de um programa de gerenciamento de exposição requer uma abordagem informativa sobre o risco para correção de vulnerabilidade que vai muito além de métricas usadas no mercado como o CVSS (sigla em inglês para Sistema de Pontuação de Vulnerabilidade Comum) ou EPSS (Sistema de pontuação de previsão de exploração) ou SSVC (Categorização de vulnerabilidades específicas de Stalkeholders).
Nenhuma solução é certa para todas as organizações. Tamagna-Darr explica que “embora tenhamos visto passos positivos nas estruturas da indústria nos últimos dois anos, ainda há uma série de obstáculos a serem superados. Esteja você pronto para iniciar um programa de gerenciamento de exposição ou simplesmente procurando adotar uma abordagem mais informativa sobre riscos para a correção de vulnerabilidades”.
Portanto, ao planejarem suas ações de correção baseada em risco, CIOs e CISOs devem levar em conta ferramentas para priorizar vulnerabilidades e ativos que não apenas fornecem métricas básicas de impacto de vulnerabilidade, probabilidade de exploração e criticidade de ativos, mas o fazem de maneira escalável, sem exigir que os clientes mantenham sistemas complexos de rastreamento de dados. Além disso, precisam de ferramentas que forneçam relatórios e painéis que focam nas ações mais eficazes para reduzir o risco em seus ativos.
