Um relatório de dados publicado recentemente mostra que as empresas ainda estão levando 215 dias para corrigir uma vulnerabilidade relatada. Mesmo para vulnerabilidades críticas, geralmente leva mais de 6 meses para corrigir.
Um bom gerenciamento de vulnerabilidades não significa ser rápido o suficiente para corrigir todas as possíveis brechas. Trata-se de focar no risco real usando a priorização de vulnerabilidades para corrigir as falhas mais significativas e reduzir ao máximo a superfície de ataque da empresa. Os dados da empresa e a inteligência de ameaças precisam ser correlacionados e automatizados. Isso é essencial para permitir que as equipes internas concentrem seus esforços de remediação. As tecnologias adequadas podem assumir a forma de uma Plataforma de Inteligência de Vulnerabilidade global. Essa plataforma pode ajudar a priorizar vulnerabilidades usando uma pontuação de risco e permitir que as empresas se concentrem em seu risco organizacional real.
Começando:
Três fatos a ter em mente antes de estabelecer um programa eficaz de gerenciamento de vulnerabilidades:
1. O número de vulnerabilidades descobertas aumenta a cada ano. Uma média de 50 novas vulnerabilidades são descobertas todos os dias, então podemos entender facilmente que é impossível corrigir todas elas.
2. Apenas algumas vulnerabilidades são exploradas ativamente e representam um risco muito alto para todas as organizações. Cerca de 6% de todas as vulnerabilidades são exploradas na natureza: precisamos reduzir o ônus e nos concentrar no risco real.
3. A mesma vulnerabilidade pode ter um impacto completamente diferente nos negócios e na infraestrutura de duas empresas distintas, portanto, tanto a exposição do negócio quanto a gravidade da vulnerabilidade precisam ser consideradas. Com base nesses fatos, entendemos que não faz sentido corrigir todas as vulnerabilidades. Em vez disso, devemos nos concentrar naqueles que representam um risco real com base no cenário de ameaças e no contexto organizacional
O conceito de gerenciamento de vulnerabilidade baseado em risco
O objetivo é focar nos ativos mais críticos e nos ativos com maior risco de serem alvo de ameaças. Para abordar um programa de gerenciamento de vulnerabilidade baseado em risco, precisamos considerar dois ambientes.
O ambiente interno
A cenário dos Clientes representa o ambiente interno. As redes das empresas estão crescendo e se diversificando, assim como sua superfície de ataque. A superfície de ataque representa todos os componentes do sistema de informação que podem ser alcançados por hackers. Ter uma visão clara e atualizada do seu sistema de informação e da sua superfície de ataque é o primeiro passo. Também é importante considerar o contexto do negócio. Com efeito, as empresas podem ser um alvo maior dependendo do seu setor de atividade devido a dados e documentos específicos que possuem (propriedade intelectual, defesa de classificados…). O último elemento-chave a considerar é o contexto único da empresa, individualmente. O objetivo é classificar os ativos de acordo com sua criticidade e destacar os mais importantes. Por exemplo:
O ambiente externo
O cenário de ameaças representa o ambiente externo. Esses dados não estão acessíveis na rede interna. As organizações precisam ter os recursos humanos e financeiros para encontrar e gerenciar essas informações. Como alternativa, essa atividade pode ser terceirizada para profissionais que monitorarão o cenário de ameaças em nome da organização.
Conhecer as vulnerabilidades que são ativamente exploradas é uma obrigação, pois representam um risco maior para uma empresa. Essas vulnerabilidades exploradas ativamente podem ser seguidas graças aos recursos de inteligência de ameaças combinados com dados de vulnerabilidade. Para ter os resultados mais eficientes, é ainda melhor multiplicar as fontes de inteligência de ameaças e correlacioná-las. Compreender a atividade do invasor também é valioso, pois ajuda a antecipar possíveis ameaças. Por exemplo: a inteligência sobre um novo ataque de dia zero ou ransomware pode ser acionada em tempo hábil, para evitar um incidente de segurança.
Combinar e entender os dois ambientes ajudará as organizações a definir seu risco real e identificar com mais eficiência onde as ações preventivas e de remediação devem ser implantadas. Não é necessário aplicar centenas de patches, mas sim dez deles, selecionados, que reduzirão drasticamente a superfície de ataque de uma organização.
Cinco etapas principais para implementar um programa de gerenciamento de vulnerabilidade baseado em risco
Identificação: Identifique todos os seus ativos para descobrir sua superfície de ataque: uma varredura de descoberta pode ajudar a ter uma primeira visão geral. Em seguida, inicie verificações regulares em seus ambientes internos e externos e compartilhe os resultados com a sua ferramenta e seus analistas.
Contextualização: configure seu contexto de negócios, bem como a criticidade de seus ativos na Vulnerability Intelligence Platform. Os resultados da varredura serão então contextualizados com uma pontuação de risco específica por ativo.
Enriquecimento: os resultados da verificação precisam ser enriquecidos usando fontes adicionais fornecidas pela Vulnerability Intelligence Platform, como inteligência de ameaças e atividade do invasor, que ajudará a priorizar considerando o cenário de ameaças.
Remediação: Graças à pontuação de risco dada por vulnerabilidade, que pode ser combinada com critérios de inteligência de ameaças como “facilmente explorável”, “explorado em estado selvagem” ou “amplamente explorado”, por exemplo, priorizar a remediação de forma eficaz é muito mais fácil.
Avaliação: monitore e meça o progresso do seu programa de gerenciamento de vulnerabilidade usando KPIs e painéis e relatórios personalizados. É um processo de melhoria contínua!
Mais informações sobre vulnerabilidades e outras coisas interessantes, incluindo análise de malware e extorsão cibernética, bem como toneladas de fatos e números sobre o cenário de segurança, serão atualizadas semanalmente em nosso blog.
REFERÊNCIAS:
https://thehackernews.com/2023/01/patch-where-it-hurts-effective.html