0
0
O gerenciamento de vulnerabilidades sempre foi tanto arte quanto ciência. No entanto, as rápidas mudanças nas redes de TI e no cenário de ameaças externas na última década tornaram exponencialmente mais difícil identificar e corrigir as vulnerabilidades com maior impacto potencial na empresa.
Com um registro de 18.378 vulnerabilidades relatadas pelo National Vulnerability Database em 2021 e um influxo de novas técnicas de ataque direcionadas a ambientes cada vez mais complexos e distribuídos, como os CISOs podem saber por onde começar?
Por que manter a visibilidade da rede se tornou um desafio tão grande?
Investimentos pesados em transformação digital e migração para a nuvem resultaram em mudanças significativas e fundamentais no ambiente de TI empresarial. O Gartner prevê que os gastos do usuário final em serviços de nuvem pública chegarão a quase 600 bilhões em 2023, acima dos estimados US$ 494,7 bilhões este ano e US$ 410,9 em 2021.
Longe vão os dias em que as equipes de segurança podiam se preocupar apenas com conexões de e para o data center; agora eles devem estabelecer visibilidadee controle efetivos de uma rede extensa e complexa que inclui várias nuvens públicas, serviços SaaS, infraestrutura legada, redes domésticas de usuários remotos etc. Os ativos corporativos não estão mais limitados a servidores, estações de trabalho e algumas impressoras ; as equipes agora devem proteger máquinas virtuais no local e na nuvem, dispositivos IoT, dispositivos móveis, microsserviços, armazenamentos de dados em nuvem e muito mais, tornando a visibilidade e o monitoramento infinitamente mais complexos e desafiadores.
Em muitos casos, os investimentos em segurança não acompanharam o rápido aumento do escopo e da complexidade da rede. Em outros casos, os processos ágeis superaram os controles de segurança. Isso resulta em equipes de segurança lutando para obter visibilidade e controle eficazes de suas redes, resultando em configurações incorretas, violações de conformidade, riscos desnecessários e vulnerabilidades priorizadas incorretamente que fornecem aos agentes de ameaças caminhos fáceis de ataque.
Os adversários visam especificamente esses pontos cegos e falhas de segurança para violar a rede e evitar a detecção.
Quais são os erros mais comuns cometidos na tentativa de acompanhar as ameaças?
Com o custo médio de uma violação de dados subindo para US$ 4,35 milhões em 2022 , os CISOs e suas equipes estão sob pressão extraordinária para reduzir o risco cibernético o máximo possível. Mas muitos são prejudicados pela falta de visibilidade abrangente ou pressão para oferecer agilidade além do que pode ser entregue sem comprometer a segurança. Um dos problemas mais comuns que encontramos é a incapacidade de priorizar com precisão as vulnerabilidades com base no risco real que elas representam para a empresa. Com milhares de vulnerabilidades descobertas todos os anos, determinar quais vulnerabilidades precisam ser corrigidas e quais podem ser aceitas como risco incremental é um processo crítico.
O Common Vulnerability Scoring System (CVSS) tornou-se um guia útil, fornecendo às equipes de segurança informações generalizadas para cada vulnerabilidade. Priorizar as vulnerabilidades com a pontuação CVSS mais alta pode parecer uma abordagem lógica e produtiva. No entanto, todo CISO deve reconhecer que as pontuações do CVSS por si só não são uma maneira precisa de medir o risco que uma vulnerabilidade representa para sua empresa individual.
Para medir o risco com precisão, são necessárias mais informações contextuais. As equipes de segurança precisam entender como uma vulnerabilidade se relaciona com seu ambiente específico. Embora ameaças de alto perfil como Heartbleed possam parecer uma prioridade óbvia, uma vulnerabilidade menos pública com uma pontuação CVSS mais baixa exposta à Internet na DMZ pode expor a empresa a um risco real maior.
Esses desafios são exacerbados pelo fato de que as equipes de TI e segurança geralmente perdem o controle de ativos e aplicativos à medida que a propriedade é transferida para novas equipes corporativas e a nuvem torna mais fácil do que nunca para qualquer pessoa na empresa gerar novos recursos. Como resultado, muitas empresas estão repletas de ativos que não são monitorados e permanecem perigosamente atrasados nas atualizações de segurança.
Por que o contexto é crítico
Com recursos como o National Vulnerability Database na ponta dos dedos, nenhum CISO carece de dados sobre vulnerabilidades. Na verdade, a maioria das empresas também não carece de dados contextuais. As pilhas de segurança corporativa, TI e GRC fornecem um fluxo contínuo de dados que pode ser aproveitado em processos de gerenciamento de vulnerabilidades. No entanto, esses fluxos brutos de dados devem ser cuidadosamente selecionados e combinados com informações de vulnerabilidade para serem transformados em contexto acionável – e é nesse processo que muitas empresas falham.
Infelizmente, a maioria das empresas não tem recursos para corrigir todas as vulnerabilidades. Em algumas circunstâncias, pode haver um caso de negócios para não corrigir uma vulnerabilidade imediatamente ou de todo. O contexto de fontes de informações em toda a empresa permite que decisões de risco padronizadas sejam tomadas, permitindo que os CISOs aloquem seus recursos limitados onde terão o maior impacto na segurança da empresa.
Aproveitando ao máximo os recursos limitados com automação
Houve um tempo em que um profissional de segurança experiente podia avaliar instintivamente o risco contextual de uma ameaça com base em sua experiência e familiaridade com a infraestrutura da organização. No entanto, essa abordagem não pode ser dimensionada com a rápida expansão da rede corporativa e o número crescente de vulnerabilidades que devem ser gerenciadas. Mesmo antes da escassez contínua de habilidades de segurança global, nenhuma organização tinha recursos para agregar e correlacionar manualmente milhares de fragmentos de dados para criar um contexto acionável.
No cenário de ameaças em constante evolução de hoje, a automação oferece a melhor chance de acompanhar vulnerabilidades e ameaças. Uma abordagem automatizada pode extrair dados relevantes das pilhas de segurança, TI e GRC e correlacioná-los em informações contextualizadas que podem ser usadas como base para decisões de risco automatizadas ou manuais.
FONTE: HELPNET SECURITY