0
0
A Qualys Threat Research Unit (TRU) tem trabalhado duro na detecção de vulnerabilidades em todo o mundo, e seu último relatório está pronto para agitar a indústria.
Nesta entrevista da Help Net Security, Travis Smith, vice-presidente da Qualys TRU, fala sobre o Relatório de Pesquisa de Ameaças Qualys TruRisk 2023, que fornece às equipes de segurança insights com base em dados para ajudá-las a entender melhor como os adversários exploram vulnerabilidades e geram ataques.
Quais são as ameaças cibernéticas mais perigosas a serem observadas em 2023? Como essas ameaças se comparam às de anos anteriores e o que as torna particularmente perigosas?
Em primeiro lugar (como esperado), o ransomware continua a ser uma das principais ameaças para as organizações em todo o mundo. Mas como essa tendência evoluiu e continua a evoluir está se tornando mais sofisticada e específica.
Nos últimos anos, os agentes de ameaças mudaram as táticas para amadurecer em software de extorsão, pelo qual exfiltram e criptografam dados. Além disso, os grupos de ransomware como serviço estão diminuindo a barreira de entrada para que os agentes de ameaças menos sofisticados monetizem suas intenções nefastas, fornecendo manuais de ataque passo a passo.
Os ataques à cadeia de suprimentos, como visto com o recente comprometimento do software 3CX Desktop App, são outra ameaça a ser prestada muita atenção em 2023. Estes são especialmente perigosos para as organizações, uma vez que eles inerentemente confiam em software legítimo para ser executado dentro de sua organização. É importante que as organizações não apenas reduzam sua superfície de ataque corrigindo e abordando configurações incorretas, mas também concentrando-se em estratégias de detecção que procuram comportamentos anormais.
Quais táticas os agentes de ameaças usaram para explorar as vulnerabilidades mais críticas e o que as organizações podem fazer para se proteger?
As táticas de alto nível que os agentes de ameaças continuam a alavancar permanecem relativamente inalteradas ano após ano. No entanto, o que está em constante estado de fluxo são as vulnerabilidades que os agentes de ameaças procuram aproveitar nos ambientes de suas vítimas. Em 2022, houve mais de 25.000 vulnerabilidades publicadas no setor, com apenas uma pequena parcela armada ou conhecida por ser explorada por agentes de ameaças.
É fundamental que todas as organizações sigam uma estratégia defensiva informada sobre ameaças que lhes permita priorizar a correção em seu ambiente exclusivo.
Embora o relatório TruRisk Research de 2023 tenha realizado uma revisão aprofundada das 163 principais vulnerabilidades, houve 500 vulnerabilidades adicionais lançadas antes de 2022 que foram armadas ou exploradas pela primeira vez em 2022. Embora os agentes de ameaças adicionem vulnerabilidades novas e novas ao seu canivete suíço de ferramentas, eles também visam vulnerabilidades não corrigidas mais antigas da mesma forma.
Por que as configurações incorretas estão entre os principais motivos para violações de dados em aplicativos da Web?
Detecções anônimas em 2022 do Qualys Web Application Scanner – que analisou globalmente 370.000 aplicativos da web e dados correlacionados contra o OWASP Top 10 – revelaram mais de 25 milhões de vulnerabilidades, 33% das quais foram classificadas como OWASP Categoria A05: Configuração incorreta. Essas vulnerabilidades de configuração incorreta fazem com que agentes mal-intencionados espalhem malware em cerca de 24.000 aplicativos da Web.
As configurações incorretas de segurança são um dos principais motivos para violações de dados, pois abrangem uma categoria mais ampla de áreas – dependentes de administradores. Configurações incorretas implicam em grande parte controles impróprios usados para proteger aplicativos da Web. Muitas vezes, isso ocorre quando as práticas recomendadas de segurança não são seguidas, como não alterar permissões ou senhas padrão.
Outro tipo de configuração incorreta pode ser aplicativos que compartilham muitas informações, como rastreamentos detalhados de pilha para erros. Ao não seguir as práticas recomendadas de segurança, esses aplicativos Web ficam vulneráveis a vários ataques. Por exemplo, invasores sofisticados podem usar informações divulgadas em um rastreamento de pilha detalhado para identificar tecnologias de aplicativos da Web e montar um ataque mais avançado para violar um site. Mesmo um erro simples, como não desabilitar listagens de diretórios, pode desencadear problemas de longo prazo se as informações de identificação pessoal (PII) forem inadvertidamente expostas por meio de configurações incorretas.
Todas as organizações devem apertar os processos nas várias plataformas – desenvolvimento, teste, preparação e produção. Um sistema mal configurado pode ser abusado por várias razões, com muitos problemas de configuração em 2022 relacionados ao ransomware. A utilização do “Nível 1 dos Benchmarks de Fortalecimento do CIS” é um ponto de partida eficaz para enfrentar essa ameaça e melhorar a postura de segurança. Os controles individuais associados a técnicas específicas de ransomware devem ser revisados cuidadosamente quando encontrados com falha em seu ambiente. Além disso, é vital entender o modelo de segurança compartilhada para infraestrutura de nuvem. Aproveitar os Benchmarks de Proteção do CIS ou outras práticas recomendadas para proteger as cargas de trabalho na nuvem reduzirá o risco geral para sua organização.
Qual é o tempo médio que as organizações levam para corrigir vulnerabilidades armadas e qual é a taxa de sucesso de patching?
Em média, as vulnerabilidades armadas são corrigidas dentro de 30,6 dias (cerca de um mês), enquanto apenas são corrigidas uma média de 57,7% do tempo. Os invasores armam essas mesmas vulnerabilidades em 19,5 dias (cerca de 3 semanas), em média. Isso significa que os invasores têm 11,1 dias (cerca de uma semana e meia) de oportunidades de exploração antes que as organizações comecem a corrigir.
Indiscutivelmente, a atividade de remediação acelera depois que o armamento acontece. Portanto, é essencial prever quais vulnerabilidades podem ser armadas e corrigi-las o mais cedo possível para evitar um exercício de emergência.
O tempo médio de remediação (MTTR) de um defensor mostra uma pequena mudança na forma como as organizações respondem a ameaças urgentes. As vulnerabilidades conhecidas por serem aproveitadas por agentes de ameaças nomeados foram remediadas oito dias mais rapidamente do que aquelas sem associação com agentes de ameaças conhecidos. Enquanto os defensores são rápidos em lidar com isso, os atacantes são rápidos em armá-los.
Qual é o tempo médio para remediar vulnerabilidades armadas relacionadas ao Chrome ou ao Windows e qual é a taxa de patch efetiva? Como as taxas de aplicação de patches para Windows e Chrome se comparam a outros aplicativos?
A maioria das vulnerabilidades armadas discutidas no Relatório de Pesquisa TruRisk de 2023 estava no Chrome ou no Windows – devido à alta prevalência desse navegador e sistema operacional. O Chrome e o Windows compreendem um terço do conjunto de dados de vulnerabilidades armadas, com 75% aproveitados por agentes de ameaças nomeados. Sabendo que esses são os principais vetores de risco, as organizações normalmente os corrigem primeiro e mais completamente.
O tempo médio de remediação para esses produtos globalmente é de 17,4 dias (cerca de duas semanas e meia) com uma taxa efetiva de adesivos de 82,9%. Isso significa que o Windows e o Chrome são corrigidos duas vezes mais rápido e duas vezes mais frequentemente do que outros aplicativos.
O principal diferencial entre as vulnerabilidades encontradas no Windows e no Chrome versus o conjunto maior de vulnerabilidades armadas foi a maturidade dos processos de patching. Isso ressalta que a capacidade de automatizar a correção de vulnerabilidades faz uma enorme diferença. Na verdade, todas as vulnerabilidades automatizáveis são corrigidas mais rapidamente e com mais frequência em toda a linha.
Qual é o tempo médio para corrigir vulnerabilidades do IAB e como ele se compara ao tempo de correção para Windows e Chrome?
Uma tendência crescente no cenário de agentes de ameaças é uma categoria chamada Initial Access Brokers (IABs), às vezes chamada de “afiliados”. Os IABs adicionam principalmente novas explorações aos seus kits de ferramentas fora do Windows e do Chrome. Embora eles ainda achem essas explorações atraentes quando as encontram, os sistemas voltados para o exterior foram os mais visados em 2022 – provavelmente porque essas vulnerabilidades foram corrigidas ao longo do ano.
Os cronogramas de correção para a alavancagem de CVEs pelos IABs são muito piores do que para o Windows e o Chrome. As vulnerabilidades do IAB têm um tempo médio de correção de 45,5 dias, em comparação com 17,4 dias para o Windows e o Chrome. As taxas de patch também são menores, corrigidas a uma taxa de 68,3% em comparação com 82,9% para Windows e Chrome.
Alguma das descobertas no relatório o pegou desprevenido enquanto trabalhava nele? Como você vê o cenário de ameaças evoluindo no futuro próximo?
Para mim, este relatório reafirmou em grande parte que os adversários continuam a fazer do seu negócio compreender as vulnerabilidades e fraquezas dentro dos ambientes das suas vítimas. O relatório ressalta que isso poderia mudar o equilíbrio de poder e controle a seu favor, permitindo que os cibercriminosos explorem vulnerabilidades que as organizações podem não estar cientes.
A parte mais atraente desta pesquisa foi o estado das configurações incorretas – especificamente relacionadas à prevenção de ransomware. O fato de que ele estava pairando em torno de uma taxa de aprovação de 50% foi uma descoberta chocante – especialmente considerando a taxa de aprovação padrão de uma instância do Windows 10 em 34%. A melhoria de 16% na taxa de aprovação do padrão sinaliza que as organizações estão abordando os riscos de configuração incorreta em seu ambiente. No entanto, ainda há espaço para melhorias que reduzem o risco representado pelo ransomware.
No final do dia, ninguém tem uma bola de cristal para poder prever o que o futuro reserva. O que sabemos é que os agentes de ameaças só continuarão a se tornar cada vez mais sofisticados, encontrando maneiras novas e únicas de entrar nos ambientes de suas vítimas. Eles continuarão a adicionar quaisquer novas vulnerabilidades ao seu canivete suíço de exploits, além de visar aqueles que permanecem sem patch.
FONTE: HELPNET SECURITY