Por que Scans de Vulnerabilidades não são o suficiente

Resumo:

• As empresas estão realizando scan de vulnerabilidades automatizados: a IA e as ameaças sofisticadas aumentaram a urgência por proteção.
• Scans automáticos são rápidos, mas nem sempre eficientes: podem gerar falsa sensação de segurança.
• Um scan automático de vulnerabilidades é: uma ferramenta que varre infraestrutura em busca de falhas e configurações inseguras.
• Ele baseia-se em: bases como o CVE para identificar e classificar vulnerabilidades, gerando relatórios usados pelas equipes de segurança para correções.
• O scan de vulnerabilidades automatizado possui limitações: falhas complexas podem passar batidas; são limitados a vulnerabilidades já conhecidas (não detectam zero-days); são incapazes de entender lógica de negócio e perdem vulnerabilidades contextuais.
• Por conta disso: scan de vulnerabilidades produzem relatórios sem contextualização, gerando muito volume sem priorização, e levam a falsos positivos e falsos negativos, prejudicando a proteção efetiva.
• O que é CVE: é um Catálogo de vulnerabilidades e exposições com identificadores e descrição de falhas. Ele facilita interoperabilidade entre ferramentas e a discussão na comunidade.
• O CVE apresenta limitações: geralmente são publicados após exploração, deixando uma janela de exposição; seu foco maior é em softwares, e hardwares podem ficar de fora; não contemplam probabilidade de exploração, impacto real no negócio ou contexto específico.
• Isso pode causar: priorização inadequada (gastar tempo em itens de baixo risco e ignorar perigos reais).
• Entre as vulnerabilidades CVE: 8% já foram exploradas antes da publicação; 40% são exploradas em até um mês; 70% são exploradas em até um ano.
• Conclusão: scans automatizados não bastam. Para segurança robusta é preciso ir além do básico.
• Para montar uma postura de segurança robusta: adote proteção em camadas, combinando diferentes serviços e abordagens em ciclo contínuo. Sempre classifique vulnerabilidades por gravidade, impacto no negócio, risco de exploração e contexto específico da organização. Contrate um fornecedor externo confiável para imparcialidade e avaliação mais precisa.

Por que muitas empresas estão optando pelos scans automatizados?

A Inteligência Artificial, que tornou as ameaças de segurança mais sofisticadas e complexas, despertou em muitas empresas a urgência de cuidar de sua proteção.

Para isso, o scan de vulnerabilidades automático parece ser a opção mais rápida. Porém, isso não significa que seja a opção mais eficiente.

Na verdade, os scans automatizados de vulnerabilidades identificam somente vulnerabilidades CVEs, o que pode gerar uma série de problemas para o negócio. O principal deles? Uma falsa sensação de segurança, que deixa a organização vulnerável a incidentes.

O que é um scan automático de vulnerabilidades?

O scan de vulnerabilidades automatizado é uma ferramenta automática que realiza uma varredura na infraestrutura de TI da organização em busca de falhas de segurança, erros de configuração e outros tipos de vulnerabilidades.

Ele utiliza bases de dados, geralmente o CVE, para classificar a vulnerabilidade ao gerar os relatórios.

Com base nesses resultados, a equipe de segurança realiza as correções das ameaças encontradas.

O scan de vulnerabilidades automatizado têm limitações?

Apesar de ser uma ferramenta útil, o scan de vulnerabilidades automatizado pode trazer alguns problemas, como:

• Por serem automatizados, procuram somente por aquilo que foram treinados para encontrar. Falhas mais complexas podem passar despercebidas por essas ferramentas.
• São limitados a falhas já conhecidas, o que significa que não identificam vulnerabilidades zero-day, ou seja, que nunca foram exploradas antes.
• Não conseguem compreender a lógica de negócios, deixando passar vulnerabilidades ligadas ao contexto da aplicação e da empresa.
• Geram relatórios sem contextualização, podendo trazer um alto volume de vulnerabilidades sem as classificar, exigindo um olhar humano para isso.
• Por conta de tudo isso, podem ser gerados muitos falsos positivos e falsos negativos, prejudicando a verdadeira proteção da empresa.

O que é CVE?

CVE significa Common Vulnerabilities and Exposures, ou seja, Vulnerabilidades e Exposições comuns. Ele foi criado em 1999 pela MITRE Corporation.

Resumidamente, CVE é um programa que cataloga falhas de segurança conhecidas, atribuindo a elas um número identificador e uma descrição.

Para se qualificar como CVE, a vulnerabilidade precisa atender a alguns critérios:

• Ser corrigível separadamente de outras vulnerabilidades.
• Ser reconhecida pelo fornecedor, por meio de documentos ou relatórios que confirmem o impacto negativo do bug na segurança.
• Afetar pelo menos uma base de dados de códigos (ou seja, um produto).

Qual é a importância do CVE?

Seu objetivo é facilitar a comunicação entre ferramentas, bancos de dados, etc., melhorando a interoperabilidade e facilitando a comunicação.

Além disso, também permite que a comunidade de segurança discuta entre si sobre aquela falha, desafios encontrados e possíveis soluções.

O CVE é o identificador usado pelo NIST (Instituto Nacional de Padrões e Tecnologia dos Estados Unidos) no seu banco de dados de vulnerabilidades, o NVD (National Vulnerability Database), um dos principais do mundo.

O CVE possui limitações?

Apesar de ser muito importante para a comunidade de segurança, o CVE possui algumas limitações quando as vulnerabilidades são identificadas por meio de scans automatizados.

Isso acontece porque:

• Os CVEs geralmente são publicados depois que a falha já foi explorada, o que deixa a organização vulnerável.
• Apesar de ter algumas exceções, o CVE foca muito mais em falhas relacionadas a softwares, muitas vezes deixando de lado aquelas ligadas a hardwares.
• Uma vulnerabilidade CVE não considera a probabilidade de exploração da falha, o potencial de impacto, o contexto e as particularidades do negócio. Ou seja, a empresa pode gastar muito tempo corrigindo falhas irrelevantes e deixando o verdadeiro perigo de lado.
• Por conta de tudo isso, podem ser gerados muitos falsos positivos e falsos negativos, prejudicando a verdadeira proteção da empresa.

Afinal, se somente os scans automatizados fossem capazes de oferecer proteção verdadeira e duradoura, a quantidade de incidentes com certeza estaria diminuindo e não aumentando no mundo tudo.

Uma pesquisa revelou que:

• Antes mesmo da publicação do CVE, 8% das vulnerabilidades já foram exploradas.
• Em um mês, 40% das vulnerabilidades CVE são exploradas.
• Em um ano, 70% delas já foram exploradas.

Portanto, para uma postura de segurança robusta, é preciso ir além do básico que um scan de vulnerabilidades pode oferecer.

Como ter uma postura de segurança robusta e eficiente?

Uma postura de segurança robusta e eficiente envolve uma proteção em camadas, que combina diferentes serviços com diferentes abordagens de forma cíclica.

A sua empresa pode, sim, utilizar o scan de vulnerabilidades, desde que os resultados sejam analisados e filtrados, e que essa não seja a única estratégia de segurança.

Confira algumas dicas para ajudar você a montar seu programa:

• Cubra diversas frentes.

Use a Revisão Segura de Código para verificar se o código-fonte possui falhas; o Pentest busca por vulnerabilidades da perspectiva de um atacante; o Threat Intelligence permite que você se antecipe às ameaças; e assim por diante.

Lembre-se: a melhor defesa é um bom ataque.

• Sempre classifique a vulnerabilidade.

Verifique, em todas as falhas, a gravidade, o potencial de impacto para o negócio, o risco de exploração, e sempre considere o contexto do negócio.

Uma vulnerabilidade de baixo risco para uma organização pode representar um risco gravíssimo para outra, dependendo de suas particularidades.

Contexto importa.

• Execute os serviços com um fornecedor externo.

Isso é exigido por muitas normas regulatórias justamente por trazer dados imparciais e permitir uma avaliação mais precisa.

Além disso, um fornecedor de confiança pode ajudar você a montar um programa adequado para as particularidades da sua empresa.

 

A Vantico é especialista em Segurança Ofensiva. Nossos serviços já ajudaram centenas de empresas a se protegerem contra as ameaças cibernéticas.

Fale conosco e descubra como construir seu programa de segurança ofensiva.

Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.