Qual é a diferença entre vulnerabilidades e configurações incorretas?

A avaliação de vulnerabilidades é um componente necessário de qualquer cadeia completa de ferramentas de segurança e o ponto de partida mais óbvio para quem quer melhorar sua segurança. Ironicamente, começar com a avaliação de vulnerabilidades pode realmente degradar a defesa geral de uma organização, mudando o foco da causa da maioria das interrupções e violações: configurações incorretas.

Configurações incorretas - não muito legal, mas extremamente importante

Ataques cibernéticos sofisticados e de alto perfil recebem mais atenção, em parte porque são aterrorizantes e, em parte, vamos admitir, porque são legais. Transmitir um binário entre sistemas isolados usando flutuações de temperatura causadas pelo uso da CPU é legal. Fazer login em um sistema onde o nome de usuário e a senha não foram alterados dos padrões, ou estão em um post-it pendurado no monitor, não é legal. Um desses vetores de ataque é muito mais provável de acontecer com você do que o outro. Dados os recursos limitados, seria melhor investir no risco muito mais provável.

Para colocar em termos cotidianos, pular a integridade da configuração para ir direto para a detecção de vulnerabilidades é como ter aulas sobre como lutar com jacarés e dirigir até lá com o cinto de segurança desafivelado. Embora você possa se sair muito melhor em um encontro com um jacaré, você aumentou seu risco geral de mortalidade ao perder os fundamentos.

Saiba mais sobre as principais configurações incorretas de segurança que causam violações de dados >

Integridade, disponibilidade e confidencialidade - não apenas para slogans de campanha

"Colocar os fundamentos da segurança da informação em primeiro plano fornece os meios para priorizar iniciativas concorrentes e tornar as configurações incorretas uma das principais preocupações."

A importância da integridade da configuração e da avaliação de vulnerabilidades deve ser medida por sua capacidade de aumentar a segurança das informações. Os três componentes da segurança da informação são integridade, disponibilidade e confidencialidade dos dados. Uma perda de integridade de dados significa que eles foram corrompidos; disponibilidade significa que não pode mais ser entregue ao usuário apropriado; e confidencialidade significa que foi disponibilizado a um usuário incorreto. Colocar os fundamentos da segurança da informação em primeiro plano fornece os meios para priorizar iniciativas concorrentes e tornar as configurações incorretas uma das principais preocupações.

Fazendo uma lista e verificando-a duas vezes

O que a avaliação de vulnerabilidade captura? Uma vulnerabilidade de software significa que uma entrada específica criada para um programa pode resultar em perda de segurança da informação, desde ataques de negação de serviço de baixa gravidade até vazamentos de dados que abalam os negócios. A avaliação de vulnerabilidades é uma maneira de melhorar a segurança da informação, comparando o software que você possui com uma lista de softwares conhecidos por terem vulnerabilidades. (Obter a lista e executar a comparação é complexo, mas pelo menos a ideia é direta.) A lista de softwares vulneráveis cresce com o tempo, à medida que os pesquisadores de segurança experimentam novas maneiras de fazer com que os programas façam algo que não deveriam. Uma vez que um programa é conhecido por ter uma vulnerabilidade, o provedor emite um patch, os usuários atualizam e não estão mais sujeitos a essa vulnerabilidade.

Pelo menos em teoria.

Leia nosso post completo sobre avaliação de vulnerabilidades >

Verificação da realidade, por favor

A aplicação de patches básicos é uma atividade crítica para a infosec, mas é mais fácil falar do que fazer. Patches para vulnerabilidades de dia zero são lançados às pressas para mitigar um risco urgente e podem introduzir problemas operacionais - ou seja, perda de disponibilidade - devido a uma janela de teste limitada, recursos de desenvolvimento limitados para software de código aberto e a complexidade permutacional dos próprios sistemas. Eles também podem exigir patches subsequentes adicionais para resolver métodos mais sofisticados de exploração do mesmo problema subjacente. (E alguns problemas podem ser tão fundamentais que não há solução fácil e infalível.)

A avaliação de vulnerabilidade é, para emprestar a frase do Gartner, bimodal. Por um lado, as organizações querem acompanhar qualquer que seja a exploração mais recente que estão vendo no zdnet. Por outro lado, eles provavelmente já estão muito atrasados na lista cada vez maior de vulnerabilidades conhecidas. 99% das explorações de vulnerabilidades em 2014 tinham patches com mais de um ano. Ou seja, seria 99 vezes melhor ignorar o que está na primeira página da internet e, em vez disso, consertar algo que está quebrado há mais de um ano.

Além do cinto de segurança - consertando o carro

-Gartner

Os patches podem resolver vulnerabilidades, mas também podem apenas resolver bugs, fornecendo mais evidências de que as boas práticas de segurança da informação estão em um continuum, desde manobrar invasores inteligentes até evitar erros estúpidos. Se continuarmos no continuum além da correção básica, chegaremos a configurações incorretas. Assim como a aplicação de patches tem um impacto maior na segurança do que a detecção de vulnerabilidades de ponta, a integridade da configuração novamente tem um efeito maior em sua capacidade de manter a segurança das informações. Numerosos estudos descobriram que configurações incorretas são responsáveis pela maioria das violações e interrupções. De acordo com o Gartner, 99% de todas as violações de firewall serão causadas por configurações incorretas, não por vulnerabilidades. A análise anterior do Gartner acrescenta que as configurações incorretas são responsáveis por cerca de 70% das violações móveis e as configurações incorretas da nuvem também são responsáveis por 80% das violações da nuvem. Em algum momento, parece um abuso de linguagem culpar vulnerabilidades quando o próprio software está muito desatualizado ou até mesmo no fim da vida útil.

A avaliação de vulnerabilidades é uma preocupação válida, mas que deve vir após processos repetíveis e auditáveis para corrigir configurações incorretas. Não apenas as configurações incorretas têm maior probabilidade de levar à interrupção dos negócios devido a um lapso de segurança da informação, mas é improvável que você consiga corrigir efetivamente as vulnerabilidades sem os processos. Por uma questão de clareza, vale a pena continuar a usar "avaliação de vulnerabilidade" para significar a comparação de versões reais de software com aquelas em uma lista negra. Para profissionais pragmáticos de operações e segurança que se perguntam "estou vulnerável a uma perda de integridade, disponibilidade ou confidencialidade", as configurações incorretas devem ser as primeiras coisas que eles verificam.