0
0
Foi observado que os invasores tentarão começar a explorar as vulnerabilidades nos primeiros quinze minutos após sua divulgação. À medida que o tempo de correção diminui, as organizações precisam ser mais pragmáticas quando se trata de corrigir vulnerabilidades , especialmente quando se trata de priorização.
As organizações precisam encontrar o equilíbrio entre realizar a devida diligência antes de aplicar o patch e, em seguida, aplicar o patch o mais rápido possível para se defender contra ameaças emergentes. Algumas coisas devem ser consideradas para tornar isso mais fácil:
Entendendo sua superfície de ataque
As superfícies de ataque evoluem e mudam constantemente à medida que novos aplicativos são desenvolvidos, sistemas antigos são desativados e novos ativos são registrados. Além disso, mais e mais organizações estão migrando para a infraestrutura hospedada na nuvem, o que muda o risco e a responsabilidade de proteger esses ativos. Portanto, é essencial realizar avaliações contínuas ou regulares para entender quais sistemas estão em risco, em vez de apenas obter um instantâneo pontual de como a superfície de ataque está naquele momento.
O primeiro passo seria mapear os tipos de ativos “tradicionais” – aqueles facilmente associados a uma organização e fáceis de monitorar, como domínios e endereços IP. A propriedade desses ativos pode ser facilmente identificada por meio das informações disponíveis (por exemplo, dados WHOIS ).
Os tipos de ativos menos tradicionais (como repositórios GitHub ) não são de propriedade direta da organização, mas também podem fornecer alvos ou informações de alto valor para invasores. Além disso, é bom considerar os cenários de ataque menos óbvios que podem ser introduzidos devido a funcionários trabalhando em casa e contando com soluções de acesso remoto e configurações de rede doméstica.
Também é importante entender quais tecnologias estão em uso para fazer julgamentos sólidos com base nas vulnerabilidades relevantes para a organização. Por exemplo, de cem vulnerabilidades lançadas em um mês, apenas 20% podem afetar as tecnologias da organização.
Priorização e contexto
Uma vez que as organizações tenham uma boa compreensão de quais ativos podem estar em risco, o contexto e a priorização podem ser aplicados às vulnerabilidades que afetam esses ativos. A inteligência de ameaças pode ser utilizada para determinar quais vulnerabilidades já estão sendo exploradas na natureza. Portanto, a partir do exemplo acima, embora apenas 20% dessas cem vulnerabilidades possam afetar as tecnologias da organização, apenas 8% desses 20% são ativamente explorados na natureza. Portanto, a lista de vulnerabilidades com as quais você deve se preocupar é reduzida e muito mais gerenciável.
Também é crucial entender as ameaças específicas à sua organização. Por exemplo, os ataques baseados em skimmer da Web têm maior probabilidade de atingir empresas de varejo. Da mesma forma, se os ataques de ransomware forem uma ameaça específica para sua organização, considere os prováveis vetores de acesso e priorize a correção de problemas relacionados.
Corrija com base na probabilidade de exploração – é uma nova vulnerabilidade ou já está bem estabelecida e amplamente discutida online? Por exemplo, as vulnerabilidades mais exploradas durante o primeiro semestre de 2022 foram todas lançadas no final de 2021, demonstrando que as vulnerabilidades mais populares têm maior probabilidade de serem exploradas.
Pode, no entanto, funcionar de outra maneira. Por exemplo, quando uma vulnerabilidade afetando o Apache Commons chamada Text4Shell foi lançada, a mídia percebeu que a vulnerabilidade era muito mais séria do que parecia, em parte devido ao nome e aos flashbacks do Log4Shell. Levou um momento para que os pesquisadores de segurança investigassem e assegurassem às organizações que era, de fato, muito menos sério do que a maioria dos meios de comunicação fazia parecer.
Mas isso é suficiente?
Ver as estatísticas acima pode deixar as organizações com a sensação de que nunca conseguirão corrigir a tempo, então talvez seja necessário considerar uma abordagem diferente.
Por exemplo, o OpenSSL notificou recentemente os clientes de que um patch de segurança seria lançado na terça-feira seguinte para tratar de uma vulnerabilidade de gravidade crítica que afeta as versões 3.0.0 e 3.0.6.
Embora o anúncio tenha causado algum pânico, também deu às organizações tempo para se preparar para o lançamento do patch e minimizar o tempo de exposição. Em um mundo ideal, se as organizações já tiverem uma boa compreensão de sua superfície de ataque, elas podem preparar proativamente os sistemas afetados para aplicação de patches. No entanto, isso não leva em consideração o tempo necessário para testar os patches antes de lançá-los nos sistemas de produção.
Qual é então a resposta correta para este enigma? A resposta é que não há resposta! Em vez disso, as organizações devem considerar uma mudança de mentalidade e procurar prevenir problemas enquanto adotam uma abordagem de defesa em profundidade; concentre-se em minimizar o impacto e o risco, priorizando os ativos mais importantes e reduzindo o tempo gasto para lidar com aqueles que não importam. Isso pode ser alcançado ao entender a superfície de ataque da sua organização e priorizar os problemas com base no contexto e na relevância.
FONTE: HELPNET SECURITY