0
0
As organizações estão sob crescente pressão para implementar práticas eficazes de gerenciamento de vulnerabilidades e patches: em várias violações recentes de dados, os invasores mostraram uma tendência a explorar falhas de software não corrigidas para obter acesso a aplicativos e sistemas empresariais críticos. Mesmo vulnerabilidades corrigidas há muito tempo e antigas continuam sendo exploradas.
Um exemplo é o EternalBlue, uma exploração vazada da NSA que visa uma falha no protocolo SMB da Microsoft. Embora a Microsoft tenha corrigido a vulnerabilidade de execução remota de código no início de 2017, quase 1 milhão de sistemas – mais de 400.000 deles apenas nos EUA – permaneceu sem patch ainda em junho. Os invasores estão explorando ativamente a falha para fornecer cavalos de Troia bancários e outros malwares.
Iniciativas e tendências de transformação digital, como migração na nuvem e mobilidade corporativa, também expandiram significativamente a superfície de ataque em muitas organizações, ressaltando a necessidade de melhores estratégias de prevenção, detecção e mitigação de vulnerabilidades. A adoção do DevOps, integração e entrega contínuas (CI / CD) e outros modelos de desenvolvimento e entrega de aplicativos nos últimos anos concentraram a mesma atenção na integração de varredura e correção de vulnerabilidades muito antes no ciclo de vida de desenvolvimento de software.
Para organizações que buscam implementar programas formais de vulnerabilidade e gerenciamento de patches, aqui estão oito tendências principais para manter um olho.
Uma maioria de violações envolve vulnerabilidades não corrigidas
Seis em cada 10 violações de dados que as organizações sofreram este ano envolveram vulnerabilidades de segurança que não haviam sido corrigidas. Uma pesquisa recente de quase 3.000 organizações conduzida pelo Instituto Ponemon em nome da ServiceNow mostrou que os atrasos nas correções de vulnerabilidades custam às organizações 30% mais em tempo de inatividade este ano em comparação com 2018.
As organizações não lidam com vulnerabilidades mais rapidamente por vários motivos. Eles incluem uma falta de conhecimento de possíveis vulnerabilidades causadoras de violações, silos organizacionais e guerras por território, falta de recursos e nenhuma visão comum de aplicativos e ativos. Os entrevistados também disseram que “os invasores estão superando suas organizações com tecnologias como aprendizado de máquina / inteligência artificial”, observou o relatório.
As pressões de gerenciamento de vulnerabilidades estão gerando contratações
Quase sete em cada 10 organizações disseram que planejam contratar pelo menos cinco funcionários durante o próximo ano para lidar com o gerenciamento de vulnerabilidades, de acordo com a pesquisa da ServiceNow / Ponemon. Os custos médios anuais esperados para as organizações para essas contratações: US $ 650.000.
Além do aumento de pessoal, muitas organizações estão recorrendo à automação como uma maneira de enfrentar os desafios de correção. Quarenta e cinco por cento dos participantes da pesquisa disseram que poderiam melhorar o tempo de aplicação de patches automatizando o processo de gerenciamento de patches. Setenta por cento disseram que implementariam melhores processos de gerenciamento de patches se fossem obrigados por leis que responsabilizavam as empresas por violações de dados.
Regulamentos estimularam a implantação de programas de gerenciamento de vulnerabilidades
A maioria dos regulamentos de segurança de dados, como PCI DSS e HIPAA, exige que as entidades cobertas tenham programas de gerenciamento de vulnerabilidades. Não surpreendentemente, 84% das organizações relataram ter um em funcionamento, de acordo com uma pesquisa realizada pelo Instituto SANS sobre Bromium . Cerca de 55% deles disseram ter um programa formal de gerenciamento de vulnerabilidades, enquanto o restante descreveu seus programas como informais. Outros 15% disseram que planejam implementar um programa de gerenciamento de vulnerabilidades nos próximos 12 meses.
A pesquisa também descobriu que a maioria das organizações com um programa de gerenciamento de vulnerabilidades em uso usava um processo de classificação de risco para determinar a criticidade de uma falha de segurança. Um terço afirmou ter um processo formal de classificação de risco e quase 19% possuíam um processo informal para avaliar o risco. Alguns dos fatores mais comuns usados para classificação de risco, de acordo com a pesquisa, incluem a gravidade do CVSS, a criticidade dos ativos de negócios, a pontuação dos feeds de inteligência de ameaças e as classificações de gravidade do fornecedor
Os custos para prevenir, detectar e corrigir vulnerabilidades estão aumentando
As empresas e outras organizações este ano gastaram uma média de 139 horas por semana monitorando sistemas quanto a vulnerabilidades e ameaças e 206 horas por semana aplicando patches em aplicativos e sistemas, em comparação com 127 horas e 153 horas, respectivamente, em 2018. Com base nos números por semana , as organizações gastarão mais de 23.000 horas em tarefas relacionadas a vulnerabilidades e patches este ano, de acordo com a pesquisa da ServiceNow / Ponemon.
Os custos médios por semana para as organizações corporativas para prevenção, detecção, aplicação de patches, documentação e geração de relatórios sobre o processo de gerenciamento de patches e também o tempo de inatividade associado à aplicação de patches foram de US $ 27.688, ou cerca de US $ 1,44 milhão por ano, segundo a pesquisa. Isso é cerca de 24,4% superior aos US $ 1,16 milhão de organizações gastos em 2018.
A frequência das verificações de vulnerabilidade afeta o tempo de resposta
As organizações que examinam os aplicativos com mais frequência tendem a ser substancialmente mais rápidas na correção de vulnerabilidades do que as organizações que analisam com menos frequência, de acordo com uma pesquisa da Veracode . O fornecedor de segurança descobriu que as organizações de desenvolvimento de software que varrem seu código diariamente exigem um tempo médio de apenas 19 dias para corrigir as vulnerabilidades, em comparação com 68 dias para aqueles que varrem uma vez ou menos por mês.
Segundo a Veracode, cerca de metade de todos os aplicativos estão acumulando vulnerabilidades antigas e não corrigidas – ou dívidas de segurança – em seus softwares, porque as equipes de desenvolvimento tendem a se concentrar primeiro nas mais novas. A tendência é aumentar os riscos de violação de dados para as organizações. “O principal 1% dos aplicativos com a maior frequência de varredura possui cinco vezes menos dívidas de segurança do que o terço inferior”, afirmou a Veracode.
Os dados sugerem que a varredura frequente não apenas ajuda as empresas a encontrar falhas, mas também reduz significativamente o risco cibernético. “As organizações devem abordar as novas descobertas de segurança enquanto se esquivam das antigas”, disse Veracode.
A maioria das organizações leva menos de uma semana para implantar um patch
Uma pesquisa patrocinada pela Tripwire com 340 profissionais de infosegurança constatou que 9% das organizações implantam um patch de segurança imediatamente quando o obtêm, enquanto 49% o instalam em sete dias. As demais organizações levam de duas semanas a mais de um ano. Dezesseis por cento, por exemplo, disseram que implantaram patches em menos de duas semanas, outros 19% disseram que levaram até um mês e 6% disseram que instalaram patches em três meses.
A maioria das organizações da pesquisa Tripwire – 40% – corrige menos de 10 vulnerabilidades por mês e 29% implantam entre 10 e 50 no mesmo período. No entanto, uma proporção relativamente pequena de organizações parece estar corrigindo substancialmente mais vulnerabilidades em um período de 30 dias. Nove por cento, por exemplo, disseram que corrigem de 50 a 100 vulnerabilidades por mês, enquanto para 6% o número excede 100. Uns 15% surpreendentes disseram que não sabiam quantas vulnerabilidades de segurança, em média, suas organizações corrigiam todos os meses.
Vários fatores contribuem para atrasos na aplicação de patches
Embora a maioria das organizações de segurança entenda a importância do patch em tempo hábil, o processo pode demorar por vários motivos. Setenta e seis por cento dos que responderam ao ServiceNow / Ponemon disseram que um dos motivos era a falta de uma visão comum de aplicativos e ativos nas equipes de TI e segurança. Uma proporção quase idêntica (74%) disse que seus processos de correção costumavam ser atrasados devido a preocupações em colocar aplicativos e sistemas críticos offline. Para 72%, a priorização de patches foi o principal problema. A equipe foi outro motivo, com apenas 64% dos entrevistados que disseram ter pessoas suficientes disponíveis para implantar patches em tempo hábil.
A pesquisa mostrou que a equipe de operações de TI é responsável pelo patch na maioria (31%) das organizações. A equipe de operações de segurança é responsável pela missão em 26% das organizações e a equipe do CISO em 17%. A equipe de resposta a incidentes de segurança de computadores (CSIRT) é responsável pela aplicação de patches em 12% das organizações empresariais.
A maioria de organizações deseja correções rápidas
Quando uma falha de segurança é descoberta no software, a maioria das organizações espera que o desenvolvedor aja rapidamente para resolver o problema. Quando os participantes da pesquisa da Tripwire foram questionados sobre o que consideravam um período aceitável entre a descoberta de vulnerabilidades e o lançamento de um patch, 18% disseram que nenhuma espera é aceitável. Cerca de metade – 48% – disse que está disposto a dar ao desenvolvedor sete dias para emitir um patch, e 16% estão bem com um prazo de duas semanas. Surpreendentes 17% disseram que estão preparados para esperar até seis meses, se necessário, por um adesivo.
A pesquisa da Tripwire mostrou que uma alta porcentagem de organizações espera que os desenvolvedores de software continuem lançando patches para os produtos, mesmo após o término da vida útil dos produtos. Trinta e seis por cento disseram que esperam que os desenvolvedores lancem patches entre um e dois anos após o final da vida útil, enquanto 15% desejam que o produto seja suportado por três a cinco anos. Curiosamente, 11% disseram que estão bem, pois o fornecedor interrompe todo o suporte a patches imediatamente quando um produto chega ao fim de sua vida útil.
FONTE: Dark Reading