Gestores precisam gerenciar vulnerabilidades com estratégias definidas por risco

Pacotes massivos endereçando quase 300 vulnerabilidades foram lançados em janeiro e mais está por vir. Segundo a Tenable, empresas precisam se preparar para gerenciar riscos para não lutar contra uma onda de correções

Compartilhar:

O centro de pesquisa da Tenable vem notando ao longo dos anos um aumento significativo no número de vulnerabilidades (CVE) divulgadas por diversos fabricantes. No ano passado, apenas o Banco de Dados Nacional de Vulnerabilidades dos Estados Unidos (NVD) registrou mais de 20 mil CVE e o fato de que várias destas vulnerabilidades podem exigir correções em vários produtos, torna inviável para as equipes de segurança e de TI aplicar e consertar tudo dada a alta complexidade dos ambientes de rede atuais.

 

Para ter um panorama do que está por vir este ano, já em janeiro, a Microsoft lançou um pacote de 98 CVEs (11 críticas) e a Oracle seguiu com um pacote ainda maior de 183 CVEs (71 críticas). Estes dois fabricantes correspondem a uma parcela significativa de sistemas em operação no mundo todo, sistemas que são usados por milhões empresas e, indiretamente, pessoas, para manter o mundo digital funcionando.

 

Até recentemente, as estruturas e padrões usados no setor para ajudar a identificar e priorizar quais vulnerabilidades corrigir primeiro não estão cumprindo completamente sua função. Há muitos fatores que podem ser considerados para determinar o que torna uma vulnerabilidade mais importante para corrigir do que outra, e cada organização terá seus próprios requisitos e expectativas exclusivos.

 

No entanto, Lucas Tamagna-Darr, diretor de Engenharia da Tenable, explica que em todos os casos, há três elementos fundamentais que devem ser considerados para adotar uma abordagem baseada em riscos para o gerenciamento de vulnerabilidades. Esses elementos são:

 

Impacto: Qual é o impacto no aplicativo ou sistema afetado, bem como na organização, se a vulnerabilidade for explorada com sucesso? Compreender o impacto que uma determinada vulnerabilidade pode ter em sua organização específica é fundamental para priorizar quais devem ser corrigidas primeiro.

 

Probabilidade de exploração: Nem todas as vulnerabilidades são criadas igualmente e algumas são mais fáceis de explorar do que outras. Muitos invasores visam o que há de mais barato, portanto, entender quais vulnerabilidades são realmente exploráveis ou estão sendo exploradas ativamente é fundamental.

 

Valor do ativo: os invasores procuram ativos com o valor mais alto. Por exemplo, comprometer um sistema de desenvolvimento que não tem nada de valor pode fornecer uma base, mas não será um alvo tão interessante quanto comprometer o controlador de domínio ou o sistema de (ERP) de uma empresa. Nos sistemas e ambientes complexos com os quais as empresas operam hoje, o valor do ativo nem sempre é tão simples quanto descobrir se o próprio sistema está executando um software crítico. As funções e permissões concedidas aos usuários desse sistema podem ser igualmente importantes quando consideramos o valor do ativo. Determinar o valor do ativo também requer uma visão abrangente dos dados de identidade.

 

Como priorizar com riscos informados

O desenvolvimento de um programa de gerenciamento de exposição requer uma abordagem informativa sobre o risco para correção de vulnerabilidade que vai muito além de métricas usadas no mercado como o CVSS (sigla em inglês para Sistema de Pontuação de Vulnerabilidade Comum) ou EPSS (Sistema de pontuação de previsão de exploração) ou SSVC (Categorização de vulnerabilidades específicas de Stalkeholders).

 

Nenhuma solução é certa para todas as organizações. Tamagna-Darr explica que “embora tenhamos visto passos positivos nas estruturas da indústria nos últimos dois anos, ainda há uma série de obstáculos a serem superados. Esteja você pronto para iniciar um programa de gerenciamento de exposição ou simplesmente procurando adotar uma abordagem mais informativa sobre riscos para a correção de vulnerabilidades”.

 

Portanto, ao planejarem suas ações de correção baseada em risco, CIOs e CISOs devem levar em conta ferramentas para priorizar vulnerabilidades e ativos que não apenas fornecem métricas básicas de impacto de vulnerabilidade, probabilidade de exploração e criticidade de ativos, mas o fazem de maneira escalável, sem exigir que os clientes mantenham sistemas complexos de rastreamento de dados. Além disso, precisam de ferramentas que forneçam relatórios e painéis que focam nas ações mais eficazes para reduzir o risco em seus ativos.

 

Conteúdos Relacionados

Security Report | Overview

Anatel emite ofícios às Big Techs sobre Cibersegurança em Inteligência Artificial

Os documentos têm o objetivo de iniciar uma discussão institucional com essas empresas de tecnologia sobre os riscos de cibersegurança...
Security Report | Overview

Precisamos falar sobre a tecnologia obsoleta em Cibersegurança?

O controle de legados em ambientes corporativos está cada vez mais na pauta dos Líderes de Cyber no mundo. Isso...
Security Report | Overview

Ataques iniciados por infostealers ampliam risco de violações secundárias, aponta estudo

Ocorrência recente envolvendo a Snowflake impactou milhões de clientes do banco Santander e da Ticketmaster, entre outras organizações
Security Report | Overview

30% das organizações na América Latina sofreram incidentes de segurança em 2023

Relatório mapeia principais desafios das organizações para aprimorar as práticas de gestão em cibersegurança. O crime é composto por ecossistema...