Como as organizações devem priorizar as vulnerabilidades de segurança

As organizações nem sempre estão vinculando os dados reais sobre vulnerabilidades com os riscos específicos de seus negócios, diz Vulcan Cyber.

Com tantas vulnerabilidades de segurança colocando as empresas em risco, determinar quais devem ser enfrentadas pode ser um desafio. Concentrar-se em todas as vulnerabilidades é praticamente impossível. Concentrar-se apenas nos críticos é uma abordagem mais sólida. Mas, em última análise, você quer enfrentar aqueles que têm o maior impacto em sua organização, uma estratégia que muitos profissionais de segurança não seguem necessariamente.

VEJO: Política de gerenciamento de patches (TechRepublic )

Para seu novo relatório “Como as equipes de segurança cibernética estão priorizando o risco de vulnerabilidade?” O fornecedor de segurança Vulcan Cyber ​​pesquisou 200 tomadores de decisão de segurança de TI na América do Norte para descobrir como o risco de vulnerabilidade é priorizado, gerenciado e reduzido. A pesquisa foi realizada de 23 de setembro a 17 de outubro de 2021.

Questionados sobre como eles agrupam vulnerabilidades internamente para decidir quais priorizar, 64% disseram que fazem isso por infraestrutura, 53% por função de negócios, 53% por aplicativo, 42% por parte interessada e 40% por departamento de negócios. Para ajudá-los nesse processo, 86% dos entrevistados disseram que confiam em dados com base na gravidade da vulnerabilidade, 70% recorrem à inteligência de ameaças, 59% usam relevância de ativos e 41% usam sua própria pontuação de risco personalizada.

Os profissionais de segurança recorrem a diferentes modelos e diretrizes para ajudar a priorizar falhas de segurança. Cerca de 71% dos entrevistados disseram que confiam no Common Vulnerability Scoring System (CVSS), 59% usam o OWASP Top 10, 47% dependem da verificação de gravidade, 38% do CWE Top 25 e 22% do modelo de pontuação Bespoke. Cerca de 77% dos entrevistados revelaram que usam pelo menos dois desses modelos para pontuar e priorizar vulnerabilidades.

Apesar de todas as informações e modelos disponíveis, a maioria dos profissionais entrevistados itiu que nem sempre classifica as vulnerabilidades adequadamente. Questionados se muitas das vulnerabilidades classificadas como altas deveriam ser classificadas como mais baixas para seu ambiente específico, 78% dos entrevistados concordaram fortemente ou parcialmente. E perguntado se muitas das vulnerabilidades que eles consideram baixas deveriam ter uma classificação mais alta para sua organização, 69% concordaram fortemente ou parcialmente.

“Em um mundo ideal, cada vulnerabilidade receberia a mesma atenção que o Log4Shell”, disse o CEO e cofundador da Vulcan Cyber, Yaniv Bar-Dayan. “Mas, considerando o fato de que o NIST divulga e relata cerca de 400 novas vulnerabilidades a cada semana, as equipes de segurança de TI mal têm tempo para avaliar e priorizar apenas as mais críticas.”

VEJO: Como gerenciar senhas: práticas recomendadas e dicas de segurança (PDF grátis) (TechRepublic)

Os entrevistados também foram questionados sobre quais das áreas mais vulneráveis ​​eram de maior preocupação. Cerca de 54% apontaram para a exposição de dados confidenciais, 44% citaram autenticação quebrada, 39% mencionaram configurações incorretas de segurança, 35% citaram log e monitoramento insuficientes e 32% apontaram ataques de injeção. Outras preocupações incluíam scripts entre sites, usando componentes com vulnerabilidades conhecidas e controle de o quebrado.

E perguntado quais tipos específicos de vulnerabilidades os preocupavam mais, 62% citaram o MS14-068 (contas de usuários sem privilégios do Microsoft Kerberos), 40% mencionaram o MS08-067 (Windows SMB, também conhecido como Conficker, Downadup, Kido, etc.), 32% apontaram para CVE-2019-0708 (BlueKeep), 32% citaram CVE-2014-0160 (OpenSSL, também conhecido como Heartbleed) e 30% listaram MS17-010 (EternalBlue).

Outras falhas de segurança preocupantes foram MS01-023 (Microsoft IIS, também conhecido como Nimda) Spectre/Meltdown (vulnerabilidades da U), CVE-2008-1447 (DNS, também conhecido como Kaminsky), CVE-2014-6271 (Bash, também conhecido como Shellshock) e MS02- 039 (SQL Slammer).

Recomendações para profissionais de segurança de TI

Como a priorização de vulnerabilidades pode ser tão desafiadora, o que os profissionais de segurança podem fazer para melhorar seu processo?

“Saber onde sua organização está vulnerável é fundamental para executar uma estratégia eficaz de gerenciamento de risco cibernético, mas você também precisa converter rapidamente a análise de risco cibernético em processos eficazes de mitigação”, disse Bar-Dayan. “Isso requer uma compreensão profunda de como priorizar quais vulnerabilidades e riscos você precisa abordar primeiro. A maneira mais eficaz de fazer isso é consolidar o gerenciamento do ciclo de vida de vulnerabilidades e riscos cibernéticos para infraestrutura, aplicativos e ativos de nuvem em um só lugar. Isso é necessário para garantir que todos os departamentos trabalhem juntos para identificar e mitigar os riscos em toda a sua superfície de ataque.”

Bar-Dayan aconselha as organizações a se concentrarem apenas nas vulnerabilidades de maior impacto em seus negócios específicos. Para conseguir isso, é necessário coletar e agregar dados sobre seus ativos por meio de scanners, gerenciamento de ativos, colaboração, gerenciamento de serviços de TI e gerenciamento de patches e configurações. Essas informações precisam ser vinculadas aos dados CVE de segurança, bem como à inteligência de ameaças, gravidade da vulnerabilidade e capacidade de exploração de ativos. Com tantas informações para coletar e correlacionar, a maioria das organizações deve considerar uma abordagem automatizada, de acordo com Bar-Dayan.

“O objetivo final na priorização de vulnerabilidades é gerar uma métrica que seja mais significativa do que o risco atômico de qualquer instância de vulnerabilidade ou a massa de risco de um agrupamento de instâncias vulneráveis”, acrescentou Bar-Dayan. “Uma combinação de entradas para gerar uma classificação de postura de segurança para uma unidade de negócios ou um grupo de ativos oferece às equipes de segurança de TI uma chance realista de redução bem orquestrada de riscos cibernéticos.”