Seu backlog de vulnerabilidades pode estar na casa dos milhares

Você saberia dizer quantas vulnerabilidades estão ameaçando seu ambiente de TI atualmente? Ficaria assustado em tomar conhecimento de que mais da metade (66%) dos líderes de segurança relataram que seu backlog possui em mais de 100 mil vulnerabilidades identificadas e que o número médio de vulnerabilidades em backlogs, de modo geral, é de 1,1 milhão, de acordo com uma pesquisa divulgada pela Rezilion e pelo Ponemon Institute?

E isso não é tudo, pois 54% dos entrevistados disseram que foram capazes de corrigir menos de 50% dessas vulnerabilidades do backlog. A maioria (78%) afirmou que vulnerabilidades de alto risco levaram mais de 3 semanas para serem eliminadas, enquanto 29% apontaram uma demora de mais de 5 semanas para corrigir os problemas.

Como se os riscos não fossem suficientes para ameaçar os gerentes de TI, milhares de horas de produtividade também estão sendo perdidas para lidar com esse enorme acúmulo de falhas de forma ineficaz. “Acreditamos que esses números destacam os desafios que as organizações enfrentam para gerenciar o crescente acúmulo de vulnerabilidades. Em média, 1,1 milhão de vulnerabilidades individuais estiveram nessa lista de pendências nos últimos 12 meses, e menos da metade foi corrigida. A automação, de acordo com os profissionais de segurança de TI que participaram de nosso estudo, pode fazer uma grande diferença no tempo necessário para remediar as vulnerabilidades”, comenta Larry Ponemon, presidente do Ponemon Institute.

Entre os fatores que dificultam a remediação das vulnerabilidades estão a incapacidade de priorizá-las (47%), a falta de ferramentas eficazes (43%), de recursos (38%) e de informações sobre ameaças que exploram tais vulnerabilidades (45%). Mais de um quarto (28%) também disse que a correção é um processo demorado.

Por exemplo, a pesquisa revelou que 77% dos entrevistados levavam mais de 21 minutos para detectar, priorizar e corrigir apenas uma vulnerabilidade no ambiente de produção. Já em ambientes de desenvolvimento, cerca de 80% das organizações gastavam mais de 16 minutos para detectar uma vulnerabilidade; os processos de priorização e correção também são longos –  para 82% dos entrevistados, foram necessários mais de 21 minutos para corrigir uma vulnerabilidade,e para 85%, a priorização das vulnerabilidades demorou mais de 16 minutos.

“Isso representa é uma enorme perda de tempo e dinheiro apenas tentando reduzir os enormes backlogs de vulnerabilidades das organizações possuem”, afirma Liran Tancman, CEO da Rezilion, patrocinadora da pesquisa.

As organizações são um pouco mais eficazes em priorizar as vulnerabilidades mais críticas do que corrigi-las. A classificação de vulnerabilidades Common Vulnerability Scoring System (CVSS) é o principal método usado na priorização, seguida por uma pontuação proprietária e avaliação de ativos críticos expostos (ambos com 23% das respostas).

De modo geral, a maioria afirmou ser muito difícil (36%) ou difícil (25%) corrigir vulnerabilidades em aplicações, mas existem ferramentas e estratégias que podem ajudar. A maioria (56%) comentou que processos automatizados para correção de vulnerabilidades podem trazer benefícios. Por exemplo, quando questionadas sobre como isso acontece, 43% disseram que houve uma redução significativa no tempo de reação.

“Agora temos os dados para rastrear quanto tempo as vulnerabilidades estão roubando das equipes por todo o ciclo de desenvolvimento de software e sabemos que é um processo que não está funcionando de forma eficaz. Os backlogs não podem continuar sendo tratados dessa maneira porque ampliam a janela de ataque para agentes mal-intencionados que costumam explorar vulnerabilidades não corrigidas. Equipes de segurança e desenvolvedores precisam claramente de ferramentas de priorização e automação para tornar seus esforços mais eficazes”, conclui Tancman.

Recomendações para aliviar a pressão

Esse enorme backlog de vulnerabilidades relatadas dá uma ideia da pressão que as organizações estão sofrendo para corrigi-las em prazos adequados. O Gartner recomenda que elas estejam preparadas para fazer correções de emergência em poucas horas após o anúncio das vulnerabilidades ou da liberação de patches, mas também investir intensamente em medidas de mitigação. Além disso, devem continuar refinando a maturidade dos processos de correção não emergencial.

Em linhas básicas, são quatro as práticas recomendadas para tornar os processos de correção mais eficazes:

1. Alinhar a gestão de vulnerabilidades ao apetite de riscos – Cada organização tem seus métodos e velocidade próprios com que podem agir. Isso tem a ver, em parte, com o apetite da empresa por riscos operacionais e também com recursos de TI e capacidade de lidar com paralisações.

2. Priorizar vulnerabilidades com base nos riscos – É preciso implementar a priorização de modo multifacetado e baseado em riscos, levando em contato elementos como severidade das falhas, atividade dos agentes mal-intencionados, criticidade para os negócio e exposição às ameaças.

3. Combinar controles de compensação e soluções de remediação – Ao fazer isso, é possível reduzir a superfície de ataque com mais eficiência e ter menos impactos nas operações. Em outras palavras, patch não é tudo, existem outros meios de evitar possíveis ameaças em vez de tentar corrigir as falhas.

4. Usar tecnologias de automação a análise de vulnerabilidades – Revise as soluções usadas atualmente e se certifique de que elas estão levando em conta os tipos mais recentes de ativos, como nuvem, contêineres e sistemas ciberfísicos.