O que é Gerenciamento de Vulnerabilidades?

O gerenciamento de vulnerabilidades é o processo de identificar, avaliar, priorizar, corrigir e relatar vulnerabilidades de segurança em aplicativos da web, computadores, dispositivos móveis e software.

O gerenciamento contínuo de vulnerabilidades é parte integrante da segurança cibernética e da segurança de rede e está na lista de controles básicos de segurança do Center for Internet Security (CIS), citando que as organizações precisam "adquirir, avaliar e agir continuamente sobre novas informações para identificar vulnerabilidades e remediar e minimizar a janela de oportunidade para os invasores. ”

Em suma, o gerenciamento de vulnerabilidades fornece às organizações um processo para identificar, priorizar e corrigir possíveis vetores de ataque e minimizar sua superfície de ataque.

O que é uma vulnerabilidade?

Uma vulnerabilidade é uma fraqueza que pode ser explorada por um ataque cibernético para obter acesso não autorizado ou executar ações não autorizadas em um sistema de computador. As vulnerabilidades podem permitir que invasores executem código, acessem a memória de um sistema, instalem malware e roubem, destruam ou modifiquem dados confidenciais.

As vulnerabilidades mais preocupantes para as equipes de segurança são vulnerabilidades wormable, como o ataque de ransomware cryptoworm WannaCry. Os worms de computador são um tipo de software malicioso que se auto-replica, infectando outros computadores enquanto permanece ativo em sistemas infectados.

Os worms geralmente dependem de ações e da exploração de vulnerabilidades em protocolos de rede, sistemas operacionais ou backdoors para se propagar sem o conhecimento do usuário.

Um dos primeiros exemplos é o worm Morris. O worm Morris foi um dos primeiros worms da Internet e foi escrito para destacar falhas de segurança em vez de causar danos.

Ele se espalhou explorando vulnerabilidades conhecidas, como aquelas que agora estariam listadas no CVE, no Unix sendmail finger, rsh/rexec, bem como senhas fracas. No auge, o Morris Worm estava rodando em quase 10% de todos os computadores habilitados para internet na época.

O Morris Worm destaca a necessidade de software de gerenciamento de vulnerabilidades e por que as equipes de segurança devem manter seus sistemas atualizados.

Dito isso, as vulnerabilidades mais perigosas são conhecidas como vulnerabilidades de dia zero. Vulnerabilidades de dia zero são vulnerabilidades não corrigidas que são desconhecidas para os desenvolvedores de software, hardware ou firmware e, portanto, não têm um patch.

O BlueKeep (CVE-2019-0708) é um exemplo de falha de execução remota de código que afeta aproximadamente um milhão de sistemas (em 29 de maio de 2019) executando versões mais antigas dos sistemas operacionais da Microsoft.

Essa vulnerabilidade de dia zero ganhou as manchetes durante o Patch Tuesday de maio de 2019 da Microsoft devido à sua capacidade de worm.

Isso significa que ataques cibernéticos bem-sucedidos usando o BlueKeep podem se propagar de maneira semelhante ao exploit EternalBlue do WannaCry.

A Microsoft viu o BlueKeep como uma ameaça cibernética tão grande à segurança da informação e à segurança cibernética que lançou patches para sistemas operacionais sem suporte e em fim de vida útil, como o Windows 2003 e o Windows XP.

Por que o gerenciamento de vulnerabilidades é necessário?

O crescente crescimento do crime cibernético e o crescente escrutínio regulatório estão forçando as organizações a se concentrarem mais na segurança da informação. Um processo de gerenciamento de vulnerabilidades deve fazer parte da estratégia geral de gerenciamento de riscos de informações de uma organização.

Esse processo permite que as organizações obtenham uma visão geral contínua das vulnerabilidades em seu ambiente de TI e dos riscos associados a elas.

Somente identificando e mitigando vulnerabilidades as organizações podem reduzir o risco de invasores explorarem novas vulnerabilidades, corrigir vulnerabilidades identificadas conforme listadas no CVE e em outros bancos de dados de vulnerabilidades é uma estratégia eficaz de gerenciamento de riscos que reduz o risco de segurança cibernética.

Conheça os principais recursos de um software eficaz de remediação de riscos >

O que é o processo de gerenciamento de vulnerabilidades?

O processo de gerenciamento de vulnerabilidades é uma prática cíclica de identificar, classificar, remediar e mitigar vulnerabilidades de segurança. Os elementos essenciais para qualquer programa de gerenciamento de vulnerabilidades são a detecção, a avaliação de vulnerabilidades e a geração de relatórios.

Leia nosso post completo sobre avaliação de vulnerabilidades aqui.

Como as vulnerabilidades são detectadas?

No centro de uma ferramenta típica de gerenciamento de vulnerabilidades está um scanner de vulnerabilidades.

Um scanner de vulnerabilidades é um software projetado para avaliar computadores, redes ou aplicativos em busca de vulnerabilidades conhecidas, como as listadas no CVE. A verificação de vulnerabilidades pode identificar e detectar vulnerabilidades decorrentes de configuração incorreta e programação falha em uma rede e executar verificações autenticadas e não autenticadas:

• Verificações autenticadas: permita que os scanners de vulnerabilidade acessem recursos de rede usando protocolos administrativos remotos, como Secure Shell (SSH) ou Remote Desktop Protocol (RDP), e autentiquem usando as credenciais do sistema fornecidas. O benefício das verificações autenticadas é que elas fornecem acesso a dados de baixo nível, como serviços específicos, detalhes de configuração e informações precisas sobre sistemas operacionais, software instalado, problemas de configuração, controle de acesso, controles de segurança e gerenciamento de patches.
• Verificações não autenticadas: não fornecem acesso a recursos em rede, o que pode resultar em falsos positivos e informações não confiáveis sobre sistemas operacionais e software instalado. Esse tipo de verificação geralmente é usado por invasores cibernéticos e analistas de segurança de TI para tentar determinar a postura de segurança de ativos externos, fornecedores terceirizados e para encontrar possíveis vazamentos de dados.

Como qualquer serviço de segurança, os scanners de vulnerabilidade não são perfeitos, e é por isso que outras técnicas, como testes de penetração e hacking do Google, são empregadas pelas organizações.

O teste de penetração é a prática de testar um ativo de tecnologia da informação para encontrar vulnerabilidades exploráveis e pode ser automatizado com software ou executado manualmente.

Seja automatizado ou manual, o teste de penetração coleta informações sobre seu alvo, identifica possíveis vetores de ataque e tenta explorá-los. Os testadores de penetração relatarão suas descobertas. Ele também pode ser usado para testar controles de segurança no local, adesão às políticas de segurança da informação, suscetibilidade dos funcionários a ataques de engenharia social, como phishing ou spear phishing, bem como para testar planos de resposta a incidentes.

O hacking do Google é o uso de um mecanismo de pesquisa para localizar vulnerabilidades de segurança. As equipes de TI e os invasores podem usar operadores de pesquisa avançada em consultas que localizam informações difíceis de encontrar ou informações que estão sendo expostas acidentalmente por meio de configuração incorreta de ferramentas de segurança e serviços em nuvem. Essas vulnerabilidades tendem a se enquadrar em duas categorias, ou seja, vulnerabilidades de software e configurações incorretas.

O que é o Processo de Avaliação de Vulnerabilidades?

O processo de avaliação de vulnerabilidades pode ser dividido em cinco etapas:

1. Identifique vulnerabilidades: analisar verificações de rede, resultados de testes de penetração, logs de firewall e resultados de verificação de vulnerabilidades para encontrar anomalias que sugerem que um ataque cibernético pode tirar proveito de uma vulnerabilidade.
2. Verifique as vulnerabilidades: decida se a vulnerabilidade identificada pode ser explorada e classifique a gravidade da exploração para entender o nível de risco de segurança.
3. Priorização de vulnerabilidades: Avalie quais vulnerabilidades serão mitigadas ou corrigidas primeiro com base em sua capacidade de wormability e outros riscos.
4. Mitigar vulnerabilidades: Decida sobre contramedidas e como medir sua eficácia caso um patch não esteja disponível.
5. Corrigir vulnerabilidades: remover e corrigir vulnerabilidades conhecidas para evitar mais exploração.

Depois que as vulnerabilidades são identificadas, elas precisam ser avaliadas para entender quais riscos elas representam, possíveis soluções de segurança e como serão tratadas de acordo com a estratégia de gerenciamento de riscos da sua organização.

As soluções de gerenciamento de vulnerabilidades podem fornecer classificações de segurança, como pontuações do Common Vulnerability Scoring System (CVSS), que podem ajudar as organizações a entender em quais vulnerabilidades devem ser focadas primeiro.

Algumas coisas adicionais a considerar incluem:

• A vulnerabilidade é um falso positivo?
• Essa vulnerabilidade pode ser explorada pela Internet ou um invasor precisaria de acesso físico
• Quão difícil é explorar essa vulnerabilidade?
• Existe código de exploração disponível publicamente para esta vulnerabilidade?
• Qual é o impacto nos negócios se essa vulnerabilidade for explorada?
• Sua organização está empregando uma estratégia de defesa em profundidade que reduz a probabilidade e/ou o impacto dessa vulnerabilidade ser explorada?
• Quantos anos tem a vulnerabilidade?
• Sua organização tem requisitos regulatórios como CCPA, FISMA, GLBA, PIPEDA ou o NIST Cybersecurity Framework?
• Qual é o custo médio de uma violação de dados em seu setor?

Uma vez que uma vulnerabilidade tenha sido considerada um risco de segurança cibernética aceitável, o próximo passo é priorizar como ela será tratada:

• Correção: A vulnerabilidade foi corrigida e não pode ser explorada.
• Mitigação: A probabilidade ou o impacto de que a vulnerabilidade possa ser explorada é minimizada.
• Aceitação: Nenhuma ação é tomada porque a vulnerabilidade é considerada de baixo risco ou o custo é substancialmente maior do que o custo incorrido por sua organização se ela for explorada.

Muitos sistemas de gerenciamento de vulnerabilidades fornecerão técnicas de correção recomendadas para vulnerabilidades comuns, que podem ser tão simples quanto instalar patches de segurança prontamente disponíveis ou tão complexas quanto substituir o hardware.

As vulnerabilidades devem ser relatadas publicamente?

Há um debate em andamento sobre se novas vulnerabilidades devem ser relatadas por organizações que as encontram, continua sendo uma questão controversa com dois lados opostos:

1. Divulgação completa imediata: alguns especialistas em segurança cibernética defendem a divulgação imediata, incluindo informações específicas sobre como explorar a vulnerabilidade. Os defensores da divulgação imediata acreditam que isso leva a um software seguro e patches mais rápidos, melhorando a segurança do software, a segurança do aplicativo, a segurança do computador, a segurança do sistema operacional e a segurança da informação.
2. Limitado a nenhuma divulgação: enquanto outros são contra a divulgação de vulnerabilidades porque acreditam que a vulnerabilidade será explorada. Os defensores da divulgação limitada acreditam que limitar as informações a grupos selecionados reduz o risco de exploração.

Como a maioria dos argumentos, ambos os lados têm pontos válidos.

Saiba mais sobre os programas de divulgação de vulnerabilidades aqui >

Devo me preocupar com as vulnerabilidades de meus fornecedores terceirizados?

O gerenciamento de risco do fornecedor (VRM) é uma parte frequentemente negligenciada do gerenciamento de vulnerabilidades. Não é mais suficiente focar apenas em sua segurança cibernética interna. Se seus fornecedores terceirizados não tiverem as mesmas soluções de segurança e padrões de segurança em vigor, você e os dados confidenciais de seus clientes estarão em risco.

Sim, a terceirização pode introduzir vantagens estratégicas (custos mais baixos, acesso a expertise e foco organizacional). Dito isso, ele também pode introduzir vulnerabilidades adicionais que não estão sob seu controle imediato, possibilitando ataques cibernéticos e espionagem corporativa.

Fornecedores terceirizados com pouca segurança da informação introduzem riscos significativos de segurança cibernética na forma de risco de terceiros e risco de terceiros.

É aqui que o VRM pode ajudar. Os programas VRM se preocupam com o gerenciamento e monitoramento de riscos de terceiros e terceiros, além de garantir que os dados do cliente e da empresa não sejam expostos a violações de dados de terceiros ou terceiros e vazamentos de dados.

O aumento do escrutínio regulatório significa que as equipes de gerenciamento de risco do fornecedor estão espalhadas e precisam procurar automatizar o máximo possível, incluindo questionários de fornecedores.

Não cometa o erro de negociar apenas acordos de nível de serviço com fornecedores em potencial, monitore fornecedores em tempo real e solicite correção de vulnerabilidades de alto risco ou altere fornecedores.

A política de segurança da informação da sua organização precisa se concentrar nas posturas de segurança primária, de terceiros e de terceiros, o que significa investir tempo para desenvolver uma estrutura robusta de gerenciamento de riscos de terceiros. E peça o relatório SOC 2 do seu fornecedor.

Você pode até ser legalmente responsável por violações de dados de terceiros que resultam de um gerenciamento inadequado de vulnerabilidades, dependendo do seu setor.

Empresas como Intercontinental Exchange, Taylor Fry, Bolsa de Valores de Nova York, IAG, First State Super, Akamai, Morningstar e NASA usam o UpGuard para proteger seus dados, evitar violações de dados, monitorar vulnerabilidades e evitar malware.

Somos especialistas em violações e vazamentos de dados, nossa pesquisa foi apresentada no New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters e Techcrunch.

O UpGuard Vendor Risk pode minimizar a quantidade de tempo que sua organização gasta gerenciando relacionamentos com terceiros, automatizando questionários de fornecedores e monitorando continuamente a postura de segurança de seus fornecedores ao longo do tempo, comparando-os com seu setor.

Cada fornecedor é classificado de acordo com 70+ critérios, como presença de SSL e DNSSEC, bem como risco de sequestro de domínio, ataques man-in-the-middle e falsificação de e-mail para phishing.

Todos os dias, nossa plataforma classifica seus fornecedores com uma classificação de segurança cibernética de 950. Alertaremos você se a pontuação deles cair.

O UpGuard BreachSight pode ajudar a monitorar o DMARC, combater o typosquatting, evitar violações e vazamentos de dados, evitar multas regulatórias e proteger a confiança de seus clientes por meio de classificações de segurança cibernética e detecção contínua de exposição.