As pontuações do Common Vulnerability Scoring System (CVSS) têm sido vistas como a medida de fato para priorizar vulnerabilidades. As vulnerabilidades são atribuídas a pontuações CVSS que variam de 1 a 10, sendo 10 a mais grave. No entanto, eles nunca foram concebidos como um meio de priorização de risco. Se você confiou apenas nas pontuações do CVSS para proteger sua organização, eis um motivo provável de uso incorreto.
Por causa de sua reputação como um padrão do setor, e as taxas de vulnerabilidades estarem crescendo, as organizações confiaram nas pontuações do CVSS para uma estrutura de priorização. Mas as pontuações do CVSS vêm com uma série de armadilhas. Por exemplo, é uma prática geral entre as organizações considerar qualquer coisa acima de uma pontuação de gravidade 7, como um alto risco. Uma grande parte do total de vulnerabilidades descobertas todos os anos cai nessa faixa.
Das 787 vulnerabilidades e exposições comuns (CVEs – Common Vulnerabilities and Exposures) publicadas pela Microsoft 2019, 731 delas tiveram uma classificação de gravidade 7 ou superior.
Pior ainda, apenas uma pequena porcentagem delas foi aproveitada em ataques cibernéticos. Isso ocorre porque uma exploração de uma vulnerabilidade é baseada no benefício que um invasor pode aproveitar ao explorá-la. Ou, em outras palavras, o impacto que o invasor pode causar em uma organização. Fatores como a viabilidade técnica de uma exploração e a disponibilidade pública de prova de conceito também influenciam a decisão do hacker de qual vulnerabilidade explorar.
As pontuações CVSS são estabelecidas para vulnerabilidades dentro de duas semanas de sua descoberta e nunca são revisadas. Às vezes, as vulnerabilidades com níveis de gravidade mais baixos são exploradas após a divulgação e nunca são refletidas nas pontuações CVSS.
Você sabia? 9 das 12 vulnerabilidades amplamente exploradas relatadas em 2019 no sistema operacional Windows da Microsoft e seus aplicativos foram rotulados apenas como Importante, não Crítico.
Organizações que priorizam vulnerabilidades com base apenas em CVSS e classificações de gravidade, lidam com um número substancial de vulnerabilidades classificadas como Graves, mas que representam pouco ou nenhum risco, anulando todo o propósito de priorização de vulnerabilidade. Como resultado, muitos esforços de correções são dispersos em vulnerabilidades menos exploráveis, enquanto as importantes que requerem atenção imediata permanecem expostas. Esta pode ser uma ladeira escorregadia que lhe dá uma falsa sensação de segurança.
Para que os esforços de gerenciamento de vulnerabilidade sejam recompensados, as organizações devem aumentar suas avaliações derivadas de pontuações CVSS, adotando um processo de priorização multifacetado e baseado em risco com base em fatores como idade da vulnerabilidade, disponibilidade de exploração, atividade de exploração atual, número de ativos afetados, criticidade de ativos afetados, tipo de impacto e disponibilidade de patch.
Agora que estabelecemos as variáveis essenciais para avaliar rigorosamente seu risco, vamos discutir como elas o ajudam a direcionar sua atenção para as áreas mais alarmantes e adotar o melhor curso de ação possível.
Compreenda a disponibilidade e a atividade de exploit
Saber se uma exploração está disponível publicamente para uma vulnerabilidade é fundamental para a priorização da vulnerabilidade. Essas são as vulnerabilidades que precisam de atenção imediata, independentemente dos níveis de gravidade, uma vez que a exploração está à solta e qualquer pessoa pode aproveitá-la para invadir sua rede e roubar dados confidenciais.
As equipes de segurança devem se manter atualizadas sobre as atividades do invasor, aproveitando ativamente as vulnerabilidades recém-divulgadas e concentrando sua atenção e esforços em livrar seus endpoints de problemas de alto perfil.
Incluir contagem de ativos afetados e criticidade para priorização de vulnerabilidade
Alguns ativos são mais importantes do que outros. Como os servidores web que estão no perímetro da sua rede e estão expostos à Internet, eles são alvos fáceis para os hackers. Servidores de banco de dados – que registram uma grande quantidade de informações como informações pessoais de seus clientes e detalhes de pagamento – também devem ser priorizados em relação a outros ativos ao definir o escopo de sua avaliação, uma vez que, mesmo uma vulnerabilidade de classificação mais baixa em um ativo crítico de negócios como este pode, representa um alto risco.
Além disso, se for descoberto que uma vulnerabilidade de nível moderado a crítico está afetando uma proporção maior dos ativos de TI, então só faz sentido corrigi-los imediatamente para reduzir o risco geral. Em casos como esses, uma ferramenta de gerenciamento de vulnerabilidade que elimina um grupo de vulnerabilidades em vários endpoints usando uma única tarefa de implantação de patch pode ser extremamente útil.
Identifique há quanto tempo uma vulnerabilidade está à espreita de seu endpoint
Depois que as informações sobre uma vulnerabilidade são divulgadas, o tempo começa a contar e o jogo entre suas equipes de segurança e os atores da ameaça começa. É essencial manter o controle de quanto tempo as vulnerabilidades de alto perfil estão à espreita de seus endpoints. Deixar uma vulnerabilidade residir em sua rede por muito tempo é uma indicação de segurança fraca.
Uma vulnerabilidade que parece menos crítica no início, pode acabar sendo fatal com o tempo, já que os invasores desenvolvem programas que podem tirar proveito dessas falhas. Uma prática recomendada é resolver imediatamente as vulnerabilidades que têm uma exploração conhecida ou são ativamente exploradas livremente, seguidas por vulnerabilidades que são rotuladas como Críticas. Vulnerabilidades categorizadas como Importantes são geralmente mais difíceis de explorar, mas, como regra geral, devem ser corrigidas em 30 dias.
Triagem de vulnerabilidades com base no tipo de impacto
Embora a facilidade de exploração desempenhe um papel significativo na avaliação de risco, as vulnerabilidades exploráveis não garantem necessariamente um ataque. Na verdade, os invasores não pegam vulnerabilidades apenas porque têm uma exploração prontamente disponível ou exigem o mínimo de esforço para explorá-la, mas porque a vulnerabilidade promove seus objetivos. Só então a disponibilidade e a facilidade de um exploit são levadas em consideração.
O impacto das vulnerabilidades pode incluir, mas não se limitando a, negação de serviço, execução remota de código, corrupção de memória, elevação de privilégio, script entre sites e divulgação de dados confidenciais. Mais assustadoras são as vulnerabilidades wormable, que permitem que qualquer malware futuro que as explore se propague de um computador vulnerável para outro, sem a intervenção do usuário.
As pontuações CVSS não são as únicas áreas problemáticas do gerenciamento de vulnerabilidade. Você provavelmente também já se debateu com algumas ou todas estas questões:
Com que freqüência devo verificar minha rede? Em quais áreas devo me concentrar primeiro? O gerenciamento de vulnerabilidades realmente reduzirá os riscos ou é apenas uma tarefa de conformidade? Devo empregar ferramentas diferentes para avaliação de vulnerabilidade e gerenciamento de patch? Minha arquitetura de segurança deve ser totalmente dependente de patch? E se eu encontrar uma vulnerabilidade de zero day em minha rede?
Se você está buscando por essas respostas, clique aqui e acesse o e-book: 7 perguntas essenciais de gerenciamento de vulnerabilidades respondidas, que visa não apenas fornecer percepções penetrantes sobre essas questões, mas também servir como um guia abrangente para adotar o melhor curso de ação possível em vários estágios de seus esforços de gerenciamento de vulnerabilidade.
Empregar soluções que analisam vulnerabilidades com base nos fatores de risco discutidos acima ajuda a fazer uma melhor triagem das vulnerabilidades e a adotar uma resposta de segurança apropriada para sua organização. O Vulnerability Manager Plus da ManageEngine, é uma solução de gerenciamento de vulnerabilidades e ameaças orientada por priorização, que realiza essa tarefa vital.
Execute agora mesmo uma avaliação de vulnerabilidade gratuita de 30 dias do Vulnerability Manager Plus da ManageEngine, contando sempre com o apoio da equipe ACSoftware.
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
