0
0
A análise veio à tona o que muitos considerariam uma visão surpreendente: as organizações que sempre atualizam para as versões mais recentes de todos os seus softwares têm aproximadamente o mesmo risco de serem comprometidas em campanhas de espionagem cibernética, como aquelas que aplicam apenas atualizações específicas após a divulgação de uma vulnerabilidade.
Um olhar quantitativo de dados de 350 campanhas avançadas de ameaça persistente (APT) entre 2008 e 2020 por pesquisadores da Universidade de Trento, itália, mostra que organizações com uma estratégia de atualização de software puramente reativa tiveram aproximadamente a mesma exposição de risco a ataques cibernéticos avançados que aqueles que mantêm-se atualizados em tudo. Isso apesar do fato de que os sujeitos implantaram apenas 12% das atualizações que as organizações sempre atualizaram imediatamente fizeram.
Os dados mostram que o mesmo vale para organizações que podem aplicar atualizações para corrigir vulnerabilidades com base em informações que receberam com antecedência — por exemplo, pagando por informações sobre zero-dias. Mesmo essas entidades não têm uma vantagem significativa sobre aquelas que se remendam apenas em uma base reativa quando se trata de risco de violação, mostra o estudo.
Por que patching reativo pode ser ok para APTs
Embora isso voe no fato da sabedoria convencional, os resultados do estudo refletem duas realidades: 1) Os APTs tendem a ser reacionários e 2) métricas de tempo para remendar importam.
Ao analisar cerca de 350 campanhas que datam de 2008 (incluindo informações sobre vulnerabilidades exploradas, vetores de ataque e produtos de software afetados), os pesquisadores descobriram que os APTs visavam publicamente as vulnerabilidades divulgadas com mais frequência do que em zero-dias, no geral. Eles também tendem a compartilhar ou atingir frequentemente as mesmas vulnerabilidades conhecidas em suas campanhas.
Ao todo, os pesquisadores identificaram 86 diferentes grupos APT explorando um total de 118 vulnerabilidades únicas em suas campanhas entre 2008 e 2020. Apenas oito desses grupos de ameaças usaram vulnerabilidades exclusivas em suas campanhas: Stealth Falcon, APT17, Equation, Dragonfly, Elderwood, FIN8, DarkHydrus e Rancor.
Isso significa que há uma oportunidade para as equipes de TI priorizarem esses bugs que são conhecidos por serem favoritos do APT, a fim de eliminar a maior parte do risco de compromisso.
O risco permanece aproximadamente o mesmo
As organizações que podem aplicar atualizações de software assim que são liberadas naturalmente ainda enfrentam as menores chances de serem comprometidas, mostrou o estudo. No entanto, a necessidade de fazer testes de regressão antes de aplicar uma atualização significa que as entidades geralmente demoram muito mais para atualizar seu software. É aqui que os pesquisadores encontraram pouca diferença na exposição ao risco entre aqueles que aplicam todas as atualizações de software, aquelas que se aplicam de forma reativa, e aquelas que atualizam com base em informações que podem ter recebido antes de outras.
Afinal, a vantagem de receber informações de vulnerabilidade com antecedência desaparece completamente quanto mais tempo uma organização demora para agir sobre as informações.
Por exemplo, as organizações que aplicaram todas as atualizações de software dentro de um mês após a liberação das atualizações tinham aproximadamente cinco e seis vezes mais risco de serem comprometidas do que as organizações que se atualizaram imediatamente. Esse número foi menor do que (mas não significativamente) para aqueles que remendaram em uma base reativa (aproximadamente entre cinco e sete vezes mais risco); e aqueles que agem com informações prévias (aproximadamente entre cinco e sete vezes maiores).
Os pesquisadores descobriram que as organizações que agiram de forma reativa implantaram muito menos atualizações do que aquelas que aplicaram todas as atualizações. “Esperar para atualizar quando um CVE é publicado apresenta oito vezes menos atualizações”, disseram os pesquisadores. “Assim, se uma empresa não pode acompanhar as atualizações e precisa esperar antes de implantá-las, ela pode considerar ser simplesmente reaativa [como uma alternativa].”
Uma questão crítica
A questão da priorização de patches tornou-se cada vez mais crítica para departamentos de TI e organizações de segurança com recursos e tempo. O uso crescente de componentes de código aberto – muitos com vulnerabilidades neles – só agravou o problema. Um estudo realizado pelo Skybox Research Lab no ano passado mostrou um total de 20.175 vulnerabilidades divulgadas em 2021. Outro estudo da Kenna Security mostrou que quase 95% de todos os ativos corporativos contêm pelo menos uma vulnerabilidade explorável. A tendência aumentou o interesse na priorização de patches baseados em riscos e levou a Agência de Cibersegurança e Infraestrutura dos EUA a publicar um catálogo de vulnerabilidades exploradas para que as organizações saibam em quais se concentrar primeiro.
Por sua vez, o estudo da Universidade de Trento se concentrou especificamente na eficácia e no custo de diferentes estratégias de atualização de software para cinco produtos de software corporativo amplamente utilizados: Office, Acrobat Reader, Air, JRE e Flash Player para o ambiente do Sistema Operacional Windows.
“Em resumo, para os produtos amplamente utilizados que analisamos, se você não pode continuar atualizando sempre e imediatamente (por exemplo, porque você deve fazer testes de regressão antes de implantar uma atualização), então ser puramente reativo nas versões vulneráveis conhecidas publicamente tem o mesmo perfil de risco do que atualizar com um atraso, mas custa significativamente menos”, disseram os pesquisadores.
FONTE: DARK READING