©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
gerenciamento de riscos de vulnerabilidade

Como fortalecer o gerenciamento de riscos de vulnerabilidade com priorização de correção

Equipe EcoTrust

9 min read
Como fortalecer o gerenciamento de riscos de vulnerabilidade com priorização de correção

Diante do número exorbitante de possíveis vulnerabilidades que um profissional ou uma equipe de segurança cibernética precisa gerenciar, muitas vezes é difícil definir por onde começar. Por isso, é fundamental a implementação de um gerenciamento de riscos de vulnerabilidades com priorização de correção .

Frequentemente, a priorização de correção é vinculada às pontuações do Common Vulnerability Scoring System (CVSS) , que correspondem a um sistema de avaliação de vulnerabilidades comuns.

Esse sistema certamente é muito relevante e corresponde a um bom parâmetro para quem não sabe por onde começar.

Porém, ele não considera as especificidades da organização, a viabilidade de ataque, as ameaças ativas e outros aspectos dos programas de segurança.

Este artigo tem o objetivo de te ajudar a definir a sua estratégia de priorização de correção de vulnerabilidades a partir de uma estrutura de identificação, priorização e resposta .

O gerenciamento de riscos de vulnerabilidades baseado no CVSS não é realizado com eficiência

As equipes que se dedicam ao gerenciamento de riscos de vulnerabilidades não costumam fazer um bom uso do CVSS como método de priorização.

Desde o fim da década de 1990, mais de 200 mil vulnerabilidades e exposições comuns foram adicionadas ao banco de dados Mitre.

Por conta do crescimento progressivo da quantidade de CVEs é que o CVSS foi criado. Seu objetivo era medir a gravidade de cada vulnerabilidade , criando uma linguagem comum para a compreensão dos possíveis impactos técnicos.

No entanto, as organizações passaram a confiar somente nas pontuações do CVSS quando o objetivo era estabelecer um gerenciamento de riscos de vulnerabilidades com priorização.

Essa abordagem é extremamente simplista e pouco eficaz , sobretudo quando se pensa nas especificidades de cada empresa.

Para começar, essa estratégia não se alinha aos objetivos estratégicos do negócio . Quando pontua como vulnerabilidades, o CVSS considera fatores ambientais, com ênfase em questões como confidencialidade, integridade e disponibilidade de um ativo, o que pode parecer muito promissor.

Porém, ao enviar as vulnerabilidades para o banco de dados, o pesquisador de segurança tende a maximizar as pontuações e este é o problema.

Obviamente, em certos negócios, essas vulnerabilidades realmente serão catastróficas, mas em outros não.

Os pesquisadores não conseguem, em suas análises, levam em consideração as especificidades dos negócios , suas estratégias e seus objetivos táticos e operacionais.

Ou seja, o que ocorre é uma generalização que pode tornar o gerenciamento de riscos de vulnerabilidades ineficiente se outras questões não forem consideradas.

O CVSS não considera se e como as vulnerabilidades estão sendo exploradas e se uma empresa específica, segmento de negócios ou ativo é um alvo provável, ou seja, ele enfatiza as ameaças potenciais e não as reais , além de aumentar a gravidade da vulnerabilidade.

Um questionamento importante a se fazer é o seguinte: quando várias vulnerabilidades são aparentemente muito sérias, qual delas será a mais significativa?

Outro aspecto a ser considerado é o fato de que as vulnerabilidades com avaliação mais baixa também podem ter um impacto maior.

Por exemplo, em uma escala de 1 a 10, a vulnerabilidade Heartbleed — que comprometia a criptografia OpenSSL, afetava milhares de organizações e exigia segurança considerável e suporte de operações de TI para remediar — recebeu apenas uma recepção CVSS inicial de 5.

Um último fator relevante é que o gerenciamento de riscos de vulnerabilidades com base no CVSS, vinculado a ele acordos de nível de serviço (SLAs).

Como sabemos, as empresas estabelecem os níveis de serviço para atender aos requisitos de conformidade, rastrear a eficiência operacional e reduzir as janelas de risco.

Quando pontuações CVSS são criadas em políticas e padrões, as equipes de operações de tecnologia e nuvem tornam-se responsáveis ​​​​por vulnerabilidades que podem não representar o maior impacto potencial nos processos de negócios ou a maior probabilidade de exploração.

Gerenciamento de riscos de vulnerabilidade baseado em três elementos primordiais

A Forrester, empresa norte-americana de pesquisa de mercado que presta assessoria sobre o impacto existente e o potencial da tecnologia, criou uma tríade de priorização que aprimorou o gerenciamento de risco de vulnerabilidade, tornando-o bem mais eficiente.

Essa tríade engloba os principais elementos a serem considerados na avaliação do risco de vulnerabilidade. São eles: probabilidade de ameaça , a importância do ativo , a força e a eficácia dos controles de compensação .

Ao considerar esses três elementos, você melhora a precisão da avaliação dos riscos cibernéticos e fornece maior garantia de que as correções sejam devidamente priorizadas.

Portanto, temos aqui uma estratégia bem mais interessante do que a autoridade das correções com base apenas nas pontuações do CVSS.

Para estruturar melhor o seu gerenciamento de riscos de vulnerabilidade, você pode continuar a três fatores adicionais que estão associados a cada um dos três elementos.

Vamos falar em seguida sobre os três elementos e suas respectivas intensidades.

Probabilidade de ameaças

Ao considerar a probabilidade de ameaças específicas do seu negócio, você restringe o foco do seu gerenciamento de riscos de vulnerabilidade.

Esse primeiro elemento da tríade de priorização exige a compreensão da atividade de uma ameaça , além de sua oportunidade e contexto.

As equipes que trabalham com o gerenciamento de riscos de vulnerabilidade muitas vezes não têm suas previsões que podem impedir um ataque validado.

Por outro lado, seu trabalho é examinado sempre que há um erro de previsão e um ataque é bem-sucedido.

É realmente difícil saber se as soluções escolhidas são as mais adotadas, sobretudo com base apenas em informações sobre a exploração da vulnerabilidade em outro lugar e outro contexto.

É nesse ponto que surge a necessidade de considerar os três avanços relacionados à probabilidade de ameaças para potencializar os resultados do seu gerenciamento de riscos de vulnerabilidade.

Vejamos cada um deles.

inteligência

Ao trabalhar com a inteligência de ameaças cibernéticas, você tem acesso a informações específicas do setor em tempo real sobre as atividades de possíveis invasores .

Alguns exemplos são as conversas na deep web e na dark web, códigos de exploração disponíveis publicamente e explorações que estão ativas.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) criou um conhecido catálogo de vulnerabilidades exploradas em 2021 e exige que as agências federais dos Estados Unidos as corrijam em prazos explícitos, além de incentivar as entidades federais não a fazerem o mesmo.

Quando o código de exploração está disponível, a empresa corre maiores riscos de ser comprometida, portanto, sua segurança de estratégias deve procurar códigos de exploração disponíveis e ataques ativos.

Dificuldade

Os cibercriminosos sempre vão seguir o caminho de menor resistência . Isso significa que se as vulnerabilidades estiverem acessíveis pela Internet, visíveis, não exigirem nenhuma ou poucas credenciais privilegiadas ou puderem ser exploradas à distância, o trabalho do invasor será facilitado.

As métricas de exploração da avaliação de gravidade do CVSS abordam a facilidade de ataque por meio do vetor de ataque, complexidade, privilégios necessários e interação do usuário.

É claro que estas informações são valiosas, considerando a previsão das vulnerabilidades que serão exploradas. Mas você não deve se restringir a elas.

Contexto

O contexto costuma incluir inteligência e oportunidade, mas conta com um escopo muito mais amplo .

Os modelos preditivos baseados em vulnerabilidades acomodadas nas mídias sociais indicam um potencial de probabilidade.

Outras considerações possíveis são configurações de software específicas, a solução do fornecedor e o momento das divulgações de vulnerabilidade.

Em alguns ativos, as vulnerabilidades permitem que os invasores girem e causem mais danos, mesmo que essa vulnerabilidade não esteja no ativo mais importante.

Todavia, os investigadores de segurança não podem prever com 100% de confiança se ou quando uma exploração autônoma.

O contexto do invasor que não pode ser captado em modelos preditivos inclui motivação, clima, economia, política, resultados de eventos esportivos e infraestrutura pública.

Importância do ativo

A importância dos ativos permite que você saiba o que está em jogo ao fazer o seu gerenciamento de riscos de vulnerabilidade.

Este é o segundo elemento da tríade de priorização, que também contém três preceitos: estratégia, dados e conexões.

Os ativos de tecnologia dão suporte às operações da missão e visão de um empreendimento.

Nos últimos anos, houve uma expansão considerável dos tipos de ativos , recursos e, consequentemente, de seus riscos.

Nesse sentido, alguns ativos como servidores de banco de dados, suportam milhões de transações por hora, enquanto outros, como laptops, têm apenas um usuário principal.

Mas isso não significa necessariamente que um seja mais ou menos importante que o outro. Veja abaixo os três critérios fundamentais para a avaliação da importância do ativo:

Estratégia

Os gestores de negócios precisam garantir que a estratégia de negócios seja clara, concisa e comunicada de forma eficiente aos profissionais que lidam com o gerenciamento de riscos de vulnerabilidade.

Se as equipes que lidam com as vulnerabilidades não estiverem a par da missão, da visão e dos objetivos táticos, podem errar totalmente o alvo ao priorizar quais ativos proteger.

Esses colaboradores também precisam saber se as vulnerabilidades descobertas são ativas que oferecem suporte a processos de negócios críticos ou não críticos.

Ao fazer uma análise de impacto nos negócios, você consegue inventariar e classificar todos os processos organizacionais .

Além disso, você vincula cada processo ao aplicativo e sistema que o suporta e o objetivo de tempo de recuperação necessário para esse aplicativo ou sistema.

Se o objetivo de tempo de recuperação for menor, o aplicativo ou sistema deve obter prioridade mais alta para a recuperação durante um desastre.

dados

É importante manter a governança de dados e a governança de ativos sempre unidas . Assim, será mais fácil entender os dados que uma empresa possui, onde eles estão e como são usados.

Portanto, é preciso rotular os dados acessíveis e os secretos bem como os ativos que os armazenam e transmitem.

As informações publicamente visíveis ou pessoais não públicas que podem vazar devido à exploração de uma vulnerabilidade também aumentam os riscos regulatórios e de suspeita.

As equipes de vulnerabilidade não precisam conhecer todas as especificidades dos dados críticos, mas sim saber onde eles estão e se são sensíveis , considerando o esquema de classificação de dados.

Conexões

É importante também saber que o volume de um ativo e o tipo de conexões de rede tornam acessíveis as informações sobre sua criticidade , complementando o elemento de probabilidade de ameaça da tríade.

Os ativos expostos à Internet têm potencial para afetar a experiência do cliente ou do colaborador , além de servirem como uma porta aberta para invasores.

Se um dispositivo conta com milhares de conexões, isso pode indicar sua confiança para os principais processos de negócios, e os cibercriminosos podem aproveitar esses dados para outros ataques.

As informações sobre os tipos de usuários conectados a um dispositivo também são valiosas.

Por exemplo, o tipo, a frequência e a quantidade de credenciais privilegiadas que acessam um servidor indicam a confiança de uma organização em sua função.

Força e poder dos controles de compensação

Os controles de compensação podem viabilizar alguma proteção contra vulnerabilidades não corrigidas.

Este último elemento da tríade de priorização de correção a ser aplicada em seu gerenciamento de riscos de vulnerabilidade tem como ver com a detecção e a resposta a explorações de vulnerabilidades específicas .

A importância do ativo e a probabilidade de ameaças demonstram o risco inerente de uma vulnerabilidade, porém, para obter o verdadeiro risco residual, você deve considerar os controles de garantia .

Portanto, priorize os controles com base em sua eficácia na avaliação e mitigação dos riscos de vulnerabilidade.

Veja abaixo os tipos de controles de compensação a serem avaliados em seu gerenciamento de riscos de vulnerabilidade:

Preventivos

Contar com uma política forte de identidade e acesso entre os seus sistemas vai reduzir as ameaças das vulnerabilidades que levam a credenciais expostas, que, por sua vez, os cibercriminosos podem usar para promover uma invasão.

Por isso, é importante acompanhar os recursos como login multifator, o gerenciamento de acesso remoto e o gerenciamento de identidade privilegiado.

Eles diminuem a capacidade de um invasor de causar mais danos depois de acessar um ambiente por meio de uma exploração de vulnerabilidade.

Além disso, o treinamento de segurança e conscientização pode ajudar os usuários a identificar definitivamente os métodos que os invasores usam para acesso inicial, como phishing.

A segurança dos dados, incluindo criptografia e destruição de dados e políticas de leitura e gravação, também limita a ação dos invasores.

Também é válida a adoção de uma maternidade zero trust , que se estende à proteção de comunicação e controle de redes e identidades.

Detetives

As empresas que dão prioridade aos recursos de registro em conjunto com a priorização de ativos fortalecem sua capacidade de detectar anomalias que ameaçam processos de negócios, dados ou objetivos corporativos corporativos.

A identificação de um código malicioso só vai impedir as invasões se os provedores de detecção e resposta mantiverem assinaturas atualizadas e se houver colaboradores disponíveis para verificar os alertas.

Sendo assim, você precisa considerar a frequência das atualizações de assinatura do fornecedor e maturidade do SOC.

As equipes hospitalares ao gerenciamento de riscos de vulnerabilidade precisam estar cientes das lacunas na coleta de registros.

Assim, será possível entender como seus controles de detecção podem reduzir o risco de uma vulnerabilidade identificada.

Responsivos

A rapidez com que uma vulnerabilidade precisa ser resolvida pode ser experimentada pela capacidade que uma organização tem de responder a uma invasão devido à exploração de uma vulnerabilidade específica.

Assim, para que as equipes entendam a capacidade de resposta da empresa, é preciso reconhecer os pontos fortes ou lacunas na equipe de SOC, agendamento, conjuntos de habilidades, requisições não atendidas, além de força de processos, playbooks e automação.

Enfim, ao longo deste artigo foi possível perceber a íntimo de considerar o contexto do negócio ao estabelecer um gerenciamento de riscos de vulnerabilidade com priorização.

Essa perspectiva coincide com os princípios do EcoTrust , plataforma de cibersegurança que antecipa ameaças e atua na redução de ataques cibernéticos a empresas.

O EcoTrust utiliza uma abordagem de inteligência em riscos cibernéticos, dando visibilidade aos riscos e permitindo uma tomada de decisão rápida e assertiva na prevenção de ameaças internas e externas.

Para aprimorar o seu gerenciamento de riscos de vulnerabilidade, conheça nossa plataforma . Até o próximo artigo!

Inscreva-se para mais como este.

Enter your email
Subscribe