O perfil de vulnerabilidades e exposições comuns (CVEs) aumentou nos últimos anos. As organizações agora prestam muito mais atenção a eles do que costumavam. Claro, ainda há muitos casos registrados de empresas que foram invadidas devido à falha em corrigir um CVE de um ano ou mais atrás. Existem inúmeros exemplos de empresas que levam semanas e às vezes meses para agir uma vez que um CVE de alta prioridade é emitido.
No entanto, na grande maioria dos casos, os CVEs recebem um status quase evangélico nas organizações. Alguns constroem seus programas de resposta de segurança em grande parte em torno de CVEs emitidos. Por exemplo, se um CVE tiver uma classificação de gravidade 7 ou superior, as empresas tendem a colocá-lo no topo da fila, deixando patches de prioridade mais baixa para serem implantados posteriormente – ou, em muitos casos, nunca mesmo.
Existem inúmeras falhas neste modo de operação. Os cibercriminosos aprenderam a usar essa tática. Sim, os hackers procuram cuidadosamente endpoints e sistemas que falharam ao implantar patches de alta prioridade para lidar com CVEs – e eles esfregam as mãos de alegria quando encontram mais uma vítima desatenta. Mas agora eles também montam ataques multifacetados que tiram vantagem de falhas de menor prioridade que eles sabem que são frequentemente ignoradas. Assim, eles lançarão uma campanha que sonda simultaneamente os CVEs de prioridade mais alta e de prioridade mais baixa que não foram corrigidos. Se apenas os inferiores estiverem disponíveis, eles podem ser usados para ganhar uma posição na empresa da qual podem causar mais danos.
Nova pesquisa afirma ameaças de código aberto superestimadas
A JFrog acaba de anunciar outra falha nos programas de defesa de segurança orientados para CVE. Seus pesquisadores analisaram as 10 vulnerabilidades de software de código aberto mais prevalentes em 2022. Suas descobertas? As classificações de gravidade da maioria dos CVEs para sistemas de código aberto foram superestimadas.
As classificações de gravidade no National Vulnerability Database (NVD) seguem esta rubrica de pontuação: Os níveis de gravidade crítica são classificados entre 9 e 10. A gravidade alta é de 7 a 8,9. Uma classificação Média está entre 4 e 6,9, e uma classificação Baixa vai até 3,9. No entanto, quando os pesquisadores do JFrog avaliaram o impacto no mundo real dessas vulnerabilidades e aplicaram análises contextuais às suas avaliações, eles descobriram que muitas das pontuações atribuídas a bugs de código aberto eram exageradas. Como leva cerca de 246 dias para remediar completamente um problema de segurança, eles recomendaram que as equipes de segurança implementassem recursos apenas nas vulnerabilidades que realmente importam.
De acordo com o relatório, a maioria das vulnerabilidades de código aberto avaliadas eram muito mais difíceis de explorar do que as relatadas e, portanto, não mereciam uma alta classificação de gravidade de NVD. A consequência de seguir o sistema NVD, portanto, às vezes pode fazer com que as organizações “desperdicem tempo e recursos valiosos para mitigar uma vulnerabilidade que é extremamente improvável de ter qualquer impacto no mundo real em seus sistemas”, disse o relatório.
Priorizar a correção de vulnerabilidades requer contexto
A Syxsense, por exemplo, encontra um problema muito semelhante em na base de clientes. Muitas organizações se concentram em corrigir as vulnerabilidades mais graves, mas muitas vezes não têm tempo para lidar com as vulnerabilidades de gravidade média ou baixa. Eles foram simplesmente inundados com o CVE de perfil mais grave ou mais alto do dia. No entanto, isso não significa que essas vulnerabilidades não eram relevantes. Nos últimos anos, vimos muitas vulnerabilidades de gravidade média ou baixa sendo exploradas para obter uma posição inicial em uma empresa.
É por isso que desenvolvemos uma classificação de risco e priorização com base na superfície de ataque de uma organização com vulnerabilidades e postura de endpoint. O Syxscore aproveita as avaliações de gravidade do NIST e do fornecedor em relação ao status de integridade dos endpoints em seu ambiente. É uma avaliação personalizada de quais dispositivos são vulneráveis e a criticidade das atualizações para a proteção geral de sua rede, dando a você a capacidade de direcionar endpoints que representam os níveis de risco mais sérios.
Embora as pontuações de gravidade da vulnerabilidade possam ser úteis, é simplesmente outro ponto de dados. O que as organizações realmente precisam é de um contexto personalizado, incluindo a postura de segurança de seus endpoints e os controles de segurança existentes que podem reduzir o risco de uma vulnerabilidade.
A aplicação de patches é a chave para o sucesso da correção de CVE
Além do contexto, a aplicação de patches é um componente crítico para o gerenciamento de vulnerabilidades. Muitas vezes, vulnerabilidades críticas terão patches lançados rapidamente – às vezes no mesmo dia em que a vulnerabilidade se torna pública. Nesses casos, manter-se atualizado é a parte mais difícil.
É por isso que automação, inventário e implantação de patches podem eliminar longos atrasos nos programas de patches. Se você puder priorizar constantemente as vulnerabilidades com contexto baseado em seu ambiente, corrigir as mais importantes rapidamente e validar se essas correções foram aplicadas adequadamente, você reduzirá o risco organizacional e a superfície de ataque.
Se você quiser saber mais sobre como automatizar seu programa de patches, agende uma demonstração hoje.
