O que devo fazer sobre vulnerabilidades sem correções?

Views: 584
0 0
Read Time:1 Minute, 46 Second

Pergunta: O que devo fazer sobre vulnerabilidades sem correções?

Tsvi Korren, CTO de campo da Aqua Security: Os fornecedores de segurança estão melhorando na identificação de vulnerabilidades e disponibilizando os resultados no início do ciclo de desenvolvimento de software. Mudar para a esquerda fornecendo dados de vulnerabilidade para desenvolvedores de aplicativos e tornando-os uma parte ativa da remediação de riscos é uma coisa boa. No entanto, isso introduz um novo desafio para os profissionais de segurança: o que fazer sobre vulnerabilidades em componentes de código aberto onde uma correção não está disponível ou quando uma versão fixa não pode ser usada devido a dependências de software?

Quando as vulnerabilidades só foram examinadas após a implantação, você pode estar potencialmente em risco, mas o fato de que você não sabia sobre elas antes, pelo menos, significava que você não estava sendo negligente introduzindo risco na produção. Agora você enfrenta algumas opções difíceis quando apresentado com uma vulnerabilidade para a qual nenhuma correção existe ou quando uma correção não pode ser usada:

  1. Pare o pipeline e potencialmente atrase a implantação do aplicativo até que uma correção esteja disponível (ou até mesmo derrube um aplicativo implantado).
  2. Coordeie sua própria equipe de desenvolvimento com a criação de uma correção (assumindo que você tenha o código e a experiência) ou encontrando uma solução.
  3. Seguir em frente aceitando o risco, limpando-o com pessoas de conformidade adequadas, o que certamente não é o ideal.

Outra opção é executar o aplicativo em um ambiente nativo da nuvem e controlar de perto seu comportamento de tempo de execução. Como os contêineres e funções são deterministas, é possível identificar e interromper a execução de códigos que não estejam alinhados com a finalidade pretendida pela carga de trabalho. Ao bloquear o acesso a usuários específicos, comandos, arquivos, portas ou chamadas do sistema, a segurança pode desanivar uma vulnerabilidade para que qualquer tentativa de explorá-la seja interrompida ou pelo menos claramente identificada. Essa habilidade faz a ponte entre a lacuna, permitindo que a implantação do aplicativo prossiga, até que uma correção permanente do código se torne disponível.

FONTE: DARK READING

POSTS RELACIONADOS