0
0
Embora as vulnerabilidades do catálogo KEV sejam alvos frequentes dos grupos APT, uma superfície de ataque grande e explorável permanece devido à falta de conscientização e ação dos fornecedores de software, de acordo com Rezilion.
O catálogo Known Exploited Vulnerabilities (KEV), mantido pela Cybersecurity and Infrastructure Security Agency ( CISA ), fornece uma fonte confiável de informações sobre vulnerabilidades que foram exploradas no passado ou estão atualmente sob exploração ativa por invasores.
Em um estudo recente, a equipe de pesquisa da Rezilion analisou todas as vulnerabilidades atualmente incluídas no catálogo KEV e identificou mais de 15 milhões de instâncias vulneráveis, sendo a maioria instâncias vulneráveis do Microsoft Windows.
Catálogo KEV
O catálogo CISA KEV contém atualmente 896 vulnerabilidades, adicionando novas entradas quase semanalmente. A maioria dos KEVs são classificados como CRÍTICOS ou ALTOS (250 marcados como CRÍTICOS e 535 marcados como ALTOS). Ainda assim, os pesquisadores descobriram que as vulnerabilidades no catálogo CISA KEV são apenas uma fração (menos de 1%) das vulnerabilidades descobertas a cada ano pelas organizações.
No entanto, essas vulnerabilidades costumam ser as mais ativamente exploradas por grupos APT e agentes de ameaças motivados financeiramente e devem ser altamente priorizadas. Os grupos que os exploram são frequentemente identificados ou patrocinados por vários Estados-nação, como Rússia, Irã, China e Coréia do Norte.
A pesquisa da Rezilion revela que milhões de sistemas permanecem expostos a vulnerabilidades exploradas conhecidas, embora já existam patches para resolvê-las.
“Apesar da disponibilidade de patches para essas vulnerabilidades, milhões de sistemas permanecem expostos a ataques. Isso deixa as organizações vulneráveis à exploração de agentes de ameaças e grupos de ameaças persistentes avançadas (APT), que geralmente visam vulnerabilidades conhecidas publicamente”, disse Yotam Perkal , diretor de pesquisa de vulnerabilidades da Rezilion.
O estudo também revelou que, embora as equipes de segurança priorizem novas vulnerabilidades e aquelas que fazem manchetes, os agentes de ameaças tendem a visar vulnerabilidades conhecidas publicamente que existem há anos.
Priorizando vulnerabilidades
Nesse contexto, a priorização com base na probabilidade de exploração pode ajudar as equipes de segurança a concentrar seus esforços de triagem e aplicação de patches de forma eficaz.
A equipe de pesquisa da Rezilion recomenda priorizar o backlog de vulnerabilidades com um processo de duas etapas:
- Primeiro, identifique quais vulnerabilidades podem ser exploradas por meio da validação de tempo de execução. Como a maioria das vulnerabilidades no código nunca é carregada na memória ou executada, essa etapa elimina 85% do backlog inicial.
- Use o catálogo CISA KEV ou outras fontes de inteligência de ameaças como parte de uma estratégia contínua de gerenciamento de vulnerabilidades para identificar vulnerabilidades que requerem correção imediata à medida que os invasores as exploram.
Em outras palavras: use a validação de tempo de execução para entender o que é importante para seu ambiente exclusivo e, em seguida, use KEV para identificar o que é iminente, pois os invasores estão aproveitando isso em estado selvagem.
“É crucial que as organizações priorizem a correção de vulnerabilidades que já foram exploradas na natureza. O catálogo KEV oferece um excelente ponto de partida para isso. Combinado com a validação do tempo de execução, ele reduz enormes atrasos a um punhado de patches que devem ser aplicados o mais rápido possível”, acrescentou Perkal.