Pesquisa mostra probabilidades de empresas serem atacadas

Com uma média de 55 novas vulnerabilidades de software publicadas todos os dias em 2021, um recorde de 20.130 no ano, mesmo as melhores equipes de TI com recursos não podem corrigir todas as brechas em suas infraestruturas. Isso é o que mostra a nova pesquisa Prioritization to Prediction, Volume 8: Measuring and Minimizing Exploitability, conduzida pela Kenna Security, empresa recém-adquirida pela Cisco, em conjunto com o Cyentia Institute, mostrando que priorizar adequadamente as vulnerabilidades para correção é mais eficaz do que aumentar a capacidade de uma organização para corrigi-las. Mas ter ambos pode reduzir em 29 vezes as chances de ser vítima de um ataque bem-sucedido.

“Agora podemos mostrar a probabilidade de uma determinada organização ser explorada, que é o que sempre quisemos fazer. Isso dá às organizações uma chance muito melhor de combater ameaças cibernéticas potenciais de forma eficaz e a pesquisa mostra que nossos clientes estão gerenciando com sucesso seu risco de vulnerabilidade todos os dias” disse Ed Bellis, cofundador e diretor de Tecnologia da Kenna Security. A explorabilidade foi determinada usando o Exploit Prediction Scoring System (EPSS) aberto, um esforço intersetorial, incluindo Kenna Security e o Cyentia Institute, mantido por First.org .

A pesquisa confirma uma diretiva recente da Agência de Segurança Cibernética e Infraestrutura (CISA), que sugere que é mais sensato deixar de priorizar a correção de vulnerabilidades com base nas pontuações do CVSS e se concentrar em vulnerabilidades de alto risco. A análise mostra que fatores como código de exploração e até mesmo menções no Twitter são sinais melhores do que as pontuações do CVSS.

“Está claro que uma mudança para a capacidade de exploração fará uma enorme diferença com base nos dados e descobertas deste relatório. Uma análise das vulnerabilidades publicadas pela CISA sugere que elas também podem estar se afastando das pontuações do CVSS enquanto conduzíamos esta pesquisa”, disse Wade Baker, sócio e cofundador do Cyentia Institute. “Demos um passo adiante para levar em conta a velocidade de correção ao fazer nossos cálculos, o que deve informar melhor as equipes de segurança”, observou.

A pesquisa também sugere que:

– Quase todos (95%) os ativos de TI têm pelo menos uma vulnerabilidade altamente explorável.

– A priorização de vulnerabilidades com código de exploração é 11 vezes mais eficaz do que o CVSS na minimização da exploração.

– A maioria (87%) das organizações tem vulnerabilidades abertas em pelo menos um quarto de seus ativos ativos e 41% delas apresentam vulnerabilidades em três de cada quatro ativos.

– Uma forte maioria de 62% das vulnerabilidades tem menos de 1% de chance de exploração.  Apenas 5% dos CVEs excedem 10% de probabilidade.

Serviço
www.cisco.com