O gerenciamento adequado de patches é um componente importante da higiene da segurança cibernética. Se as organizações não aplicarem correções a bugs de software em tempo hábil, elas correm o risco de se expor a uma variedade de ameaças. Mas lutar para corrigir bugs identificados pelo programa Common Vulnerabilities and Exposures (CVE) não é uma solução completa. As organizações precisam fazer muito mais.
Os programas CVE e CVSS são componentes essenciais dos sistemas de gerenciamento de segurança da informação (ISMS) na maioria das organizações, mas eles claramente apresentam problemas. O programa CVE oferece uma referência para vulnerabilidades e exposições conhecidas publicamente. O CVSS fornece uma maneira de capturar as principais características de uma vulnerabilidade e produzir uma pontuação numérica que reflita sua gravidade. Entre os muitos desafios desses programas, o CVSS não é uma indicação verdadeira do risco que um CVE representa para uma organização. Isso ocorre porque ele tenta levar o meio ambiente em consideração, mas tem sucesso limitado ao fazê-lo.
A quantidade de risco para uma organização depende inteiramente de suas condições de negócios, não da pontuação CVSS. Além disso, o modelo matemático que sustenta os CVEs é falho, em parte porque as pontuações baixas de CVE estão sub-representadas nos dados. Um CVE baixo pode ser justamente a vulnerabilidade que impacta sua empresa. (Mais detalhes sobre o problema com a matemática podem ser encontrados aqui no Theory of Predictable Software, que faz uma análise profunda da matemática por trás do CVE pontuações para”entender como funciona, o que faz bem e o que não faz.”)
Além disso, há mais de 50 CVEs publicados todos os dias. Não é razoável esperar que uma equipe de segurança passe por todos eles e, mesmo que o fizesse, nem todo CVE contém todas as informações de que a equipe precisa para efetivamente colocar os patches no lugar. A equipe pode priorizar os CVEs importantes, mas nem sempre fica claro quais realmente apresentam maior risco para um determinado ambiente. Considere plug-ins de terceiros, por exemplo. Se uma organização estiver usando uma plataforma como o WordPress, o gerenciamento de patches eficaz e oportuno deve manter o aplicativo principal seguro. Mas com o WordPress – como muitas outras plataformas – a maioria dos usuários depende de plug-ins e complementos para aprimorar os aplicativos que criam. Em muitos casos, esses plug-ins não são cobertos por processos de relatórios formais.
Execução de uma abordagem proativa para segurança abrangente
As organizações precisam ser mais proativas. O gerenciamento reativo de patches sempre terá um lugar importante em uma estratégia de segurança abrangente. Mas o tempo de espera entre a identificação de uma vulnerabilidade e o momento em que os malfeitores podem explorar a falha diminuiu. Isso torna a superfície de ataque muito difícil de gerenciar apenas tentando acompanhar os patches para as vulnerabilidades à medida que são identificadas. Na realidade, a maioria das organizações não consegue acompanhar o gerenciamento de patches.
A pesquisa recentemostra que 76 por cento das vulnerabilidades que estão sendo exploradas atualmente são conhecidas desde antes de 2020. As empresas estão claramente sobrecarregados e incapazes de corrigir efetivamente as vulnerabilidades que realmente afetam seus negócios. As empresas precisam olhar para o gerenciamento de patches no contexto de soluções holísticas de segurança cibernética.
O que as empresas precisam para enfrentar os desafios de segurança assustadores de hoje é testes de penetração contínuos que fornecem gerenciamento abrangente de superfície de ataque externo (EASM).
Um programa EASM forte e abrangente responde a quatro perguntas fundamentais:
Quais ativos voltados para a Internet a organização possui? Quais vulnerabilidades ou anomalias ela possui e como elas afetam o ambiente que você está protegendo? Onde a equipe de segurança deve concentrar sua atenção? Como a equipe pode corrigir quaisquer vulnerabilidades ou riscos existentes?
Nos últimos anos, as organizações migraram rapidamente para a nuvem, com diferentes grupos de negócios lançando uma variedade de serviços em nuvem que nem sempre são gerenciados centralmente. Isso criou desafios de segurança porque as equipes de TI e segurança podem nem estar cientes dos ativos de nuvem que podem expor dados pela Internet. É por isso que é importante para o programa EASM descobrir todos os ativos antes que os agentes mal-intencionados tenham a chance de executar ferramentas automatizadas para descobrir e monitorar a superfície de ataque da organização.
A descoberta de ativos pode ser obtida por meio da verificação constante de novos subdomínios para descobrir novos serviços à medida que se tornam disponíveis. Depois que os ativos digitais forem descobertos, verifique-os para encontrar vulnerabilidades e anomalias. A chave é usar ferramentas que executem as mesmas tarefas de reconhecimento que um cibercriminoso usaria para atacar a organização.
O próximo passo é priorizar vulnerabilidades e anomalias do mais para o menos crítico. Dessa forma, as equipes de segurança podem concentrar seus esforços imediatamente no que representa o maior risco para eles. Como parte da priorização, as equipes podem agrupar ativos com base em vários critérios predefinidos. A etapa final é corrigir quaisquer vulnerabilidades que precisem ser corrigidas. Como muitas organizações carecem de recursos ou experiência para fornecer correções, é importante usar processos e ferramentas que proporcionem conselhos acionáveis sobre como resolver uma vulnerabilidade. Por exemplo, certifique-se de equipar as equipes com informações como URL de solicitação, carga útil usada para identificar a vulnerabilidade, trechos de código e capturas de tela quando estiverem disponíveis.
Os métodos atuais de localização e correção de vulnerabilidades, baseados em CVE e CVSS, têm seus méritos. Mas, em última análise, essas são soluções defeituosas que não fornecerão o nível de segurança que as organizações precisam hoje. Eles estão potencialmente deixando as empresas expostas a níveis de risco mais altos do que provavelmente imaginam. As empresas precisam ter estratégias e soluções que forneçam o conhecimento e a automação necessários para ajudar as equipes de segurança a lidar com as vulnerabilidades da maneira mais eficiente possível. Ao fazer isso, as organizações podem ser mais proativas com segurança.
Crédito da imagem: Rawpixel /depositphotos.com
Rickard Carlsson é CEO e cofundador da Detectify .