Correlacione mais os dados sobre vulnerabilidades com os riscos reais

Para enfrentar a crescente diversidade de ameaças cibernéticas, muitas organizações confiam atualmente em métricas de fontes terceirizadas que as associam a uma escala de riscos.  Esse processo pode carecer de contexto para entender e realmente reduzir os riscos específicos para cada organização individualmente. 

No entanto, com tantas categorias de vulnerabilidades de segurança, como saber quais devem ser priorizadas? Tentar lidar com todas, além de ser praticamente impossível, pode desviar recursos necessários para enfrentar aquelas que, de fato, oferecem maior risco para a organização em questão.  

A estratégia de se concentrar nas vulnerabilidades mais críticas de forma individualizada parece ser a mais sólida, mas não está sendo necessariamente seguida como deveria. Uma pesquisa recente da Vulcan Cyber mostrou que as equipes de segurança de TI não estão fazendo o suficiente para correlacionar dados sobre vulnerabilidades com riscos reais para os negócios, deixando as organizações expostas.  

“Embora as equipes de segurança de TI trabalhem duro para defender suas organizações, está claro que a inteligência de ameaças e métricas tradicionais como pontuações de severidade de vulnerabilidade, são incapazes de gerar insights específicos de negócio necessários para garantir uma proteção abrangente. Essas equipes precisam de insights, processos e ferramentas para priorizar os riscos que mais importam para os negócios”, destaca Yaniv Bar-Dayan, cofundador e CEO da Vulcan Cyber. A pesquisa revelou que 86% dos entrevistados confiam em dados de terceiros sobre severidade de riscos para priorizar como vão tratar as vulnerabilidades e que outros 70% também usam inteligência de ameaças de terceiros.  

O estudou identificou que a maioria dos entrevistados agrupa vulnerabilidades por infraestrutura (64%), por função de negócios (53%) e por aplicativo (53%). A priorização de riscos associada exclusivamente à infraestrutura e grupos de aplicativos não é relevante sem levar em conta o contexto dos ativos, destaca a Vulcan Cyber. 

As áreas de cibersegurança recorrem a diferentes modelos para classificar e priorizar falhas de segurança. Cerca de 71% dos entrevistados disseram que usam o Common Vulnerability Scoring System (CVSS), padrão da indústria, aberto e gratuito, que avalia a gravidade das vulnerabilidades. Outros 59% usam o padrão OWASP Top 10, enquanto 47% dependem de soluções de varredura, 38% se baseiam no CWE Top 25 e 22% confiam no modelo de pontuação Bespoke. Cerca de 77% dos entrevistados revelaram que usam pelo menos dois desses modelos para pontuar e priorizar vulnerabilidades. 

A pesquisa revelou que esses métodos estão se mostrando insuficientes e que há um desalinhamento generalizado entre práticas de priorização de vulnerabilidades em uso atualmente pelas organizações. Para 78% dos entrevistados, as vulnerabilidades altamente priorizadas deveriam ser classificadas em posições inferiores, enquanto 69% também afirmaram que as vulnerabilidades em posições inferiores deveriam ser classificadas em posições superiores. Mais de 80% dos entrevistados concordam que se beneficiariam de maior flexibilidade para priorizar vulnerabilidades com base em seus ambientes de risco específicos.

“As equipes de segurança precisam de mais controle para ter mais precisão na pontuação, na priorização e na mitigação dos riscos cibernéticos. Práticas de gestão de vulnerabilidades baseada em riscos não possuem uma estrutura comum, o que limita a capacidade de colaboração na área de cibersegurança e de reduzir efetivamente os riscos. Como resultado, a proteção cibernética continua insuficiente em quase toda a indústria, e as organizações permanecem expostas”, destaca Bar-Dayan. 

Grande parte dos entrevistados (54%) relatou maior preocupação com exposição de dados confidenciais como resultado de vulnerabilidades de aplicativos, seguida por autenticação com problemas (44%), configurações incorretas de segurança (39%), registro (logging) e monitoramento insuficientes (35%).  

A Vulcan Cyber listou algumas ferramentas gratuitas de código aberto que podem ajudar na avaliação e na mitigação de riscos cibernéticos: 

1. Scanners de aplicações 

Static Application Security Testing (SAST): Segue diretrizes e padrões de codificação sem executar código. Compara o código da aplicação a bibliotecas de vulnerabilidades conhecidas e relatórios sobre pontos fracos que precisam ser tratados. Algumas das melhores ferramentas SAST gratuitas são Bandit, NodeJsScan e SonarQube.  

Dynamic Application Security Testing (DAST): Executa a aplicação para realizar testes funcionais e detectar vulnerabilidades. A execução é  importante porque algumas vulnerabilidades só aparecem quando a aplicação é executada. As ferramentas DAST gratuitas mais populares são Archery, Arachni e OWASP ZAP. 

Scanner de dependências: Na era de arquiteturas distribuídas, é importante verificar vulnerabilidades em código de terceiros. Os três scanners de dependência gratuitos mais conhecidos são OWASP Dependency-Check, Snyk e WhiteSource Bolt for GitHub.  

Runtime Application Self-Protection (RASP): Usa o próprio aplicativo para monitorar continuamente seu comportamento em tempo de execução e assim identificar e mitigar vulnerabilidades sem intervenção humana. Duas ferramentas RASP gratuitas são Sqreen e Wapiti.  

2. Scanners de redes e infraestruturas: Identificam vulnerabilidades em redes e dispositivos conectados, como pontos de entrada e de saída desprotegidos, dispositivos desconhecidos, configurações incorretas de segurança e falta de atualizações de software. A ferramenta mais conhecida nessa categoria é a OpenVAS, que inclui mais de 50 mil testes de vulnerabilidades, mas existem alternativas como Wireshark, Nmap, Qualys Community Edition, Burp Suite Community Edition, W3af e Vuls. 

3. Repositórios de priorização:  Classificam as vulnerabilidades de acordo com gravidade técnica. As principais fontes são Vulcan Free, CVE Details, WPScan Vulnerability Database, CERT-EU, Zero Day Initiative, Vulners e Rubysec. 

4. Ferramentas de remediação: Bases de dados e repositórios públicos sobre vulnerabilidades costumam incluir recomendações de fornecedores sobre como corrigi-las – normalmente um link para patches. 

5. Soluções de automação: Ferramentas de código aberto podem ser usadas para automatizar vários aspectos da remediação de vulnerabilidades, como a abertura de chamados técnicos até mudanças automatizadas de configuração. Algumas soluções conhecidas são Redmine, OpenProject, Rocket.Chat, Comodo ONE Windows Patch Management, Opsi, Patch Manager Plus Free Edition, Foreman e CFEngine.