Como conduzir avaliações de vulnerabilidade: Essencial para 2021

Os hackers estão vasculhando a Internet em busca de pontos fracos o tempo todo, e se você não quer que sua organização seja vítima, você precisa ser o primeiro a encontrar esses pontos fracos. Em outras palavras, você deve adotar uma abordagem proativa para gerenciar suas vulnerabilidades, e uma primeira etapa crucial para conseguir isso é realizar uma avaliação de vulnerabilidade.

Ferramentas de avaliação de vulnerabilidade

As avaliações de vulnerabilidade são processos automatizados executados por scanners. Isso os torna acessíveis a um público amplo. Muitos dos scanners são voltados para especialistas em segurança cibernética, mas existem soluções personalizadas para gerentes e desenvolvedores de TI em organizações sem equipes de segurança dedicadas.

Os scanners de vulnerabilidade vêm em vários tipos: alguns se destacam em varredura de rede, outros em aplicativos da web, dispositivos IoT ou segurança de contêiner. Se você for uma pequena empresa, provavelmente encontrará um único scanner de vulnerabilidade cobrindo todos ou a maioria dos seus sistemas. No entanto, empresas maiores com redes complexas podem preferir combinar vários scanners para atingir o nível de segurança desejado.

Como você pode realizar uma avaliação de vulnerabilidade?

Com as ferramentas certas em mãos, você pode realizar uma avaliação de vulnerabilidade trabalhando através das seguintes etapas:

1. Busca por ativos 2. Priorizar os ativos 3. Scan de Vulnerabilidade 4. Análise da Vulnerabilidade e remediação 5. Continuação da segurança
  1. Busca por ativos

Primeiro, você precisa decidir o que deseja escancear , o que nem sempre é tão simples quanto parece. Um dos desafios de segurança cibernética mais comuns que as organizações enfrentam é a falta de visibilidade de sua infraestrutura digital e de seus dispositivos conectados. Alguns motivos para isso incluem:

  • Dispositivos móveis: Smartphones, laptops e dispositivos semelhantes são projetados para desconectar e reconectar com frequência do escritório, bem como das casas dos funcionários e, muitas vezes, outros locais remotos.
  • Dispositivos IoT: os dispositivos IoT fazem parte da infraestrutura corporativa, mas podem ser conectados principalmente a redes móveis.
  • Infraestrutura baseada em nuvem: os provedores de serviços em nuvem facilitam a conectividade de novos servidores conforme necessário, sem o envolvimento de TI.

Todos nós adoraríamos trabalhar em uma organização perfeitamente organizada, mas a realidade costuma ser mais complicada. Pode ser difícil simplesmente controlar o que as diferentes equipes estão colocando online ou mudando a qualquer momento. Essa falta de visibilidade é problemática porque é difícil proteger o que você não pode ver. Felizmente, o aspecto de descoberta desse processo pode ser amplamente automatizado.

Por exemplo, algumas ferramentas modernas de avaliação de vulnerabilidade podem realizar a descoberta em sistemas voltados para o público e se conectar diretamente a provedores de nuvem para identificar a infraestrutura baseada em nuvem.

F-Secure Radar | Vulnerability management and scanning with web topology  mapping | F-Secure

2. Priorização dos ativos

Depois de saber o que você tem, a próxima pergunta é se você pode se dar ao luxo de executar uma avaliação de vulnerabilidade em tudo isso. Em um mundo perfeito, você executaria uma avaliação de vulnerabilidade regularmente em todos os seus sistemas. No entanto, os fornecedores costumam cobrar por ativo, então a priorização pode ajudar onde os orçamentos não podem cobrir todos os ativos que a empresa possui.

Alguns exemplos de onde você pode querer priorizar são:

  • Servidores voltados para a Internet
  • Aplicativos voltados para o cliente
  • Bancos de dados contendo informações confidenciais

É importante notar que os dois vetores mais comuns para ataques não direcionados ou em massa são:

  • Sistemas voltados para a Internet
  • Laptops de funcionários (por meio de ataques de phishing)

3. Escaneamento de Vulnerabilidades

Os scanners de vulnerabilidade são projetados para identificar pontos fracos de segurança conhecidos e fornecer orientação sobre como corrigi-los. Como essas vulnerabilidades são comumente relatadas publicamente, há muitas informações disponíveis sobre o software vulnerável.

Os scanners de vulnerabilidade usam essas informações para identificar dispositivos e softwares vulneráveis ​​na infraestrutura de uma organização. O scanner inicialmente envia sondas aos sistemas para identificar:

  • Portas abertas e serviços em execução
  • Versões de software
  • Definições de configuração

Com base nessas informações, o mecanismo de varredura pode frequentemente identificar muitas vulnerabilidades conhecidas no sistema que está sendo testado.

Além disso, o mecanismo de varredura envia investigações específicas para identificar vulnerabilidades individuais, que só podem ser testadas enviando um exploit seguro que prova que a fraqueza está presente.

Esses tipos de sondagens podem identificar vulnerabilidades comuns, como ‘injeção de comando’ ou ‘script entre sites (XSS)’ ou o uso de nomes de usuário e senhas padrão para um sistema.

Dependendo da infraestrutura que você está verificando (e particularmente de quão expansivos são os sites), a verificação de vulnerabilidades pode levar de alguns minutos a algumas horas.

4. Análise de resultados e remediação

Depois que a varredura de vulnerabilidade é concluída, o scanner fornece um relatório de avaliação. Ao ler e desenvolver planos de remediação com base neste relatório, você deve considerar o seguinte:

  • Gravidade: um scanner de vulnerabilidade deve definir uma vulnerabilidade potencial com base em sua gravidade. Ao planejar a correção, concentre-se primeiro nas vulnerabilidades mais graves, mas evite ignorar o resto para sempre. Não é incomum para os hackers encadear várias vulnerabilidades leves para criar um exploit. Um bom scanner de vulnerabilidade irá sugerir prazos para corrigir cada problema.
  • Exposição à vulnerabilidade: Lembrando a priorização acima – nem todas as vulnerabilidades estão em sistemas voltados para o público. Os sistemas voltados para a Internet têm maior probabilidade de serem explorados por qualquer invasor aleatório que escaneie a Internet, o que os torna uma prioridade mais alta para correção. Depois disso, você deve priorizar os laptops de todos os funcionários com software vulnerável instalado. Além disso, qualquer sistema que hospede dados particularmente confidenciais ou possa afetar negativamente seus negócios pode precisar ser priorizado antes de outros.
    Na maioria dos casos, existe um patch lançado publicamente para corrigir uma vulnerabilidade detectada, mas muitas vezes pode exigir uma mudança de configuração ou outra solução alternativa. Depois de aplicar uma correção, também é uma boa ideia verificar novamente o sistema para garantir que a correção foi aplicada corretamente.

5. Segurança cibernética contínua

Uma varredura de vulnerabilidade fornece um snapshot das vulnerabilidades presentes na infraestrutura digital de uma organização. No entanto, novas implantações, alterações de configuração, vulnerabilidades recém-descobertas e outros fatores podem tornar a organização vulnerável novamente. Por esse motivo, você deve tornar o gerenciamento de vulnerabilidade um processo contínuo, em vez de um exercício único.

Como muitas vulnerabilidades são introduzidas quando o software é desenvolvido, as empresas de desenvolvimento de software mais progressistas integram avaliações automatizadas de vulnerabilidade em seus pipelines de integração e implantação contínuas (CI / CD).

Isso permite que eles identifiquem e corrijam vulnerabilidades antes que o software seja lançado, evitando o potencial de exploração e a necessidade de desenvolver e enviar patches para códigos vulneráveis.

Para finalizar

Avaliações regulares de vulnerabilidade são essenciais para uma postura sólida de segurança cibernética. O grande número de vulnerabilidades existentes e a complexidade da infraestrutura digital de uma empresa média significam que é quase garantido que uma organização tenha pelo menos uma vulnerabilidade não corrigida que a coloca em risco.

Encontrar essas vulnerabilidades antes de um invasor pode significar a diferença entre um ataque malsucedido e uma violação de dados ou infecção de ransomware embaraçosa.

Uma das melhores coisas sobre as avaliações de vulnerabilidade é que você pode fazer isso sozinho e até automatizar o processo. Obtendo as ferramentas certas e realizando varreduras regulares de vulnerabilidade, você pode diminuir drasticamente o risco de segurança cibernética.

Referências:

https://thehackernews.com/2021/04/how-to-conduct-vulnerability.html

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2021. Todos os direitos reservados.