Gestores devem gerenciar vulnerabilidades com estratégias definidas por risco

O centro de pesquisa da Tenable, empresa de gerenciamento de Cyber Exposure, vem notando ao longo dos anos um aumento significativo no número de vulnerabilidades (CVE) divulgadas por diversos fabricantes. No ano passado, apenas o Banco de Dados Nacional de Vulnerabilidades dos Estados Unidos (NVD) registrou mais de 20 mil CVE e o fato de que várias destas vulnerabilidades podem exigir correções em vários produtos, torna inviável para as equipes de segurança e de TI aplicar e consertar tudo dada a alta complexidade dos ambientes de rede atuais.

Para ter um panorama do que está por vir este ano, já em janeiro, a Microsoft lançou um pacote de 98 CVEs (11 críticas) e a Oracle seguiu com um pacote ainda maior de 183 CVEs (71 críticas). Estes dois fabricantes correspondem a uma parcela significativa de sistemas em operação no mundo todo, sistemas que são usados por milhões empresas e, indiretamente, pessoas, para manter o mundo digital funcionando.

Até recentemente, as estruturas e padrões usados no setor para ajudar a identificar e priorizar quais vulnerabilidades corrigir primeiro não estão cumprindo completamente sua função. Há muitos fatores que podem ser considerados para determinar o que torna uma vulnerabilidade mais importante para corrigir do que outra, e cada organização terá seus próprios requisitos e expectativas exclusivos.

No entanto, Lucas Tamagna-Darr, diretor de Engenharia da Tenable, explica que em todos os casos, há três elementos fundamentais que devem ser considerados para adotar uma abordagem baseada em riscos para o gerenciamento de vulnerabilidades. Esses elementos são:

 Impacto: Qual é o impacto no aplicativo ou sistema afetado, bem como na organização, se a vulnerabilidade for explorada com sucesso? Compreender o impacto que uma determinada vulnerabilidade pode ter em sua organização específica é fundamental para priorizar quais devem ser corrigidas primeiro.

Probabilidade de exploração: Nem todas as vulnerabilidades são criadas igualmente e algumas são mais fáceis de explorar do que outras. Muitos invasores visam o que há de mais barato, portanto, entender quais vulnerabilidades são realmente exploráveis ou estão sendo exploradas ativamente é fundamental.
Valor do ativo: os invasores procuram ativos com o valor mais alto. Por exemplo, comprometer um sistema de desenvolvimento que não tem nada de valor pode fornecer uma base, mas não será um alvo tão interessante quanto comprometer o controlador de domínio ou o sistema de (ERP) de uma empresa. Nos sistemas e ambientes complexos com os quais as empresas operam hoje, o valor do ativo nem sempre é tão simples quanto descobrir se o próprio sistema está executando um software crítico. As funções e permissões concedidas aos usuários desse sistema podem ser igualmente importantes quando consideramos o valor do ativo. Determinar o valor do ativo também requer uma visão abrangente dos dados de identidade.

Como priorizar com riscos informados
O desenvolvimento de um programa de gerenciamento de exposição requer uma abordagem informativa sobre o risco para correção de vulnerabilidade que vai muito além de métricas usadas no mercado como o CVSS (sigla em inglês para Sistema de Pontuação de Vulnerabilidade Comum) ou EPSS (Sistema de pontuação de previsão de exploração) ou SSVC (Categorização de vulnerabilidades específicas de Stalkeholders).

Nenhuma solução é certa para todas as organizações. Tamagna-Darr explica que “embora tenhamos visto passos positivos nas estruturas da indústria nos últimos dois anos, ainda há uma série de obstáculos a serem superados. Esteja você pronto para iniciar um programa de gerenciamento de exposição ou simplesmente procurando adotar uma abordagem mais informativa sobre riscos para a correção de vulnerabilidades”.

Ao planejarem suas ações de correção baseada em risco, CIOs e CISOs devem levar em conta ferramentas para priorizar vulnerabilidades e ativos que não apenas fornecem métricas básicas de impacto de vulnerabilidade, probabilidade de exploração e criticidade de ativos, mas o fazem de maneira escalável, sem exigir que os clientes mantenham sistemas complexos de rastreamento de dados. Além disso, precisam de ferramentas que forneçam relatórios e painéis que focam nas ações mais eficazes para reduzir o risco em seus ativos.