0
0
Uma estratégia de gerenciamento de vulnerabilidade que depende exclusivamente do CVSS para priorização de vulnerabilidade está se mostrando insuficiente, na melhor das hipóteses, de acordo com Rezilion.
Na verdade, confiar apenas em uma pontuação de gravidade do CVSS para avaliar o risco de vulnerabilidades individuais mostrou-se equivalente a selecionar vulnerabilidades aleatoriamente para correção.
Contexto adicional é necessário para permitir uma estratégia de priorização mais escalável e eficaz. Esse contexto deve partir de fontes internas — também conhecidas como ambiente-alvo (criticidade do ativo, controles de mitigação, acessibilidade) —, bem como de fontes externas, que permitirão uma melhor avaliação da probabilidade e viabilidade da exploração.
No início deste ano, Rezilion identificou o problema flagrante de milhões de sistemas expostos a vulnerabilidades exploradas conhecidas (KEVs), apesar dos patches disponíveis em um relatório no catálogo CISA KEV.
Ao longo da nova pesquisa, os pesquisadores de vulnerabilidade da Rezilion revelaram mais de 30 vulnerabilidades exploradas ativamente com uma pontuação EPSS alta que não estavam listadas no catálogo CISA KEV, destacando a lacuna de cobertura no catálogo CISA KEV.
A chave para o gerenciamento eficaz de vulnerabilidades
O relatório estabelece que a probabilidade de exploração é empiricamente maior para vulnerabilidades que receberam uma pontuação EPSS alta do que aquelas com pontuações EPSS baixas.
“Essas descobertas acentuam a necessidade de considerar mais do que apenas uma métrica para o gerenciamento eficaz de vulnerabilidades”, disse Yotam Perkal , diretor de pesquisa de vulnerabilidades da Rezilion.
“Nossa pesquisa mostra que a interação de CVSS , KEV da CISA e EPSS oferece a abordagem mais abrangente para o gerenciamento de vulnerabilidades. Ignorar qualquer um desses componentes pode levar a lacunas na postura de segurança de uma organização. A combinação certa dessas ferramentas permite uma priorização precisa, garantindo que as vulnerabilidades mais perigosas sejam tratadas prontamente”, acrescentou Perkal.
O método convencional de priorizar vulnerabilidades geralmente fica aquém. Uma abordagem holística, incluindo CVSS, KEV da CISA e EPSS, combinada com validação de tempo de execução para determinar a capacidade de exploração de vulnerabilidades detectadas nos contextos em que aparecem, oferece a melhor defesa.
As organizações têm uma capacidade limitada de correção
O catálogo KEV sozinho é insuficiente devido ao atraso na adição de vulnerabilidades recém-descobertas. Vulnerabilidades com alto escore EPSS têm maior probabilidade de serem exploradas, enfatizando a importância dessa informação na priorização.
A maioria das organizações tem uma capacidade limitada de correção afetada pelas ferramentas, processos e habilidades à sua disposição. O desafio é direcionar essa capacidade limitada de correção para as vulnerabilidades mais importantes em termos de redução de riscos. Assim, a tarefa de filtrar o sinal através do ruído está se tornando cada vez mais importante.
Uma estratégia de correção que considera CVSS, contexto do ambiente interno (como análise de acessibilidade, criticidade de ativos e proveniência) e fontes adicionais de inteligência de ameaças, como CISA KEV combinado com EPSS, pode ajudar as organizações a tomar decisões informadas e baseadas em risco de gerenciamento de vulnerabilidade e melhorar a postura geral de segurança de sua organização.
FONTE: HELP NET SECURITY