Guia para priorização de vulnerabilidades de cibersegurança

Picture of Kaique Bonato

Kaique Bonato

Senki_thumbnail_Guia-para-a-priorização-de-vulnerabilidades

Nos primeiros meses de 2022, um levantamento da Kapersky indicou que o Brasil sofreu cerca de 1.500 tentativas de ciberataque por minuto, sendo o principal alvo da América Latina – e a tendência é que, para o próximo ano, os números continuem a crescer. 

Isso é uma evidência de que, cada vez mais, os hackers têm identificado vulnerabilidades de cibersegurança nas empresas e as atacado a partir disso. 

Em vários casos, o pentest revela não apenas uma, mas diversas vulnerabilidades dentro do sistema, rede ou plataforma testada. Em situações assim, pode ser difícil para o time avaliar quais são as vulnerabilidades mais críticas, que devem ser corrigidas com maior urgência, e as que podem ficar para outro momento – afinal, todas elas representam algum nível de risco para a empresa. 

Além disso, é importante considerar que cada empresa possui um modelo de negócio diferente, por isso, não podemos generalizar, dizendo que uma vulnerabilidade deve ser prioridade para todas, uma vez que o que representa um grande risco para uma empresa pode representar uma pequena ameaça para a outra. 

PRIORIZAÇÃO DE VULNERABILIDADES

Por conta disso, existem parâmetros criados por organizações mundialmente conhecidas para guiar a priorização dessas vulnerabilidades, que levam em consideração as particularidades das empresas, como a OWASP (Open Web Application Security Project) Risk Rating Methodology¹ e a FIRST Exploit Prediction Scoring System². 

FIRST EPSS 

A Forum of Incident Response and Security Teams (FIRST)³ é uma organização líder em resposta a incidentes e permite que equipes da área atuem com maior efetividade em resposta a incidentes de cibersegurança, assumindo uma postura tanto reativa quanto proativa. Ela também oferece guias de boas práticas, aulas, conferências, entre outros. 

A FIRST criou o Exploit Prediction Scoring System (EPSS), uma base de dados aberta que calcula a probabilidade de uma vulnerabilidade ser explorada. O modelo gera uma porcentagem entre 0 e 100%, sendo que quanto maior o número, maiores as chances de acontecer um ciberataque utilizando aquela vulnerabilidade. 

Segundo eles, existem pesquisas que indicam que as empresas só conseguem corrigir de 5% a 20% das vulnerabilidades conhecidas por mês, além de que apenas 2% a 7% dessas vulnerabilidades são, de fato, exploradas pelos hackers. Por isso, os parâmetros de priorização são tão importantes. 

O cálculo é feito com base na fórmula Risk = Threat x Vulnerability x Impact  

OWASP RISK RATING METHODOLOGY 

A OWASP (Open Web Application Security Project ou Projeto Aberto de Segurança de Aplicações Web) também é uma comunidade internacional, que tem objetivo é ajudar organizações a conceber, desenvolver, adquirir, operar e manter aplicações confiáveis. 

Além de produzir materiais ligados a boas práticas de cibersegurança, pesquisas, ferramentas, entre outros, a OWASP também criou uma calculadora que avalia os riscos de uma vulnerabilidade. Nesse caso, porém, diferentemente da FIRST, o cálculo leva em consideração mais detalhes, como fatores de probabilidade e impacto técnico. 

Segundo a própria organização⁴, “esse sistema vai ajudar a garantir que as empresas não se distraiam com pequenos riscos enquanto ignoram riscos mais sérios que são menos compreendidos”. 

 Calculo de vulnerabilidades - OWASP

Imagem: Calculadora de Risco da OWASP. Fonte: OWASP, 2022. 

Segundo a OWASP, é necessário percorrer 3 passos para identificar a gravidade dos riscos. 

Passo 1: identificar a existência do risco; 

Passo 2: identificar os fatores que estimam a probabilidade; 

Passo 3: identificar os fatores que estimam o impacto; 

Passo 4: determinar a gravidade da vulnerabilidade; 

Passo 5: decidir o que será corrigido; 

Passo 6: customizar a calculadora de riscos da OWASP. 

 

Todas as vulnerabilidades devem ser tratadas com seriedade e atenção pela empresa, já que podem ser uma porta de entrada para pessoas mal-intencionadas. Entretanto, como esse é um processo que demanda tempo e profissionais qualificados, ter critérios que ajudem as equipes a identificarem quais devem ser priorizadas é fundamental para melhorar a efetividade e precisão. 

Ter uma empresa que fornece o máximo de detalhes sobre as vulnerabilidades, como a Vantico, também ajuda a determinar essa priorização! Fale conosco e saiba mais. 

Página vulnerabilidades Vantico

Imagem: Plataforma da Vantico 

¹ OWASP Risk Rating Calculator

² Exploit Prediction Scoring System

³ FIRST

⁴OWASP Risk Rating Methodology

veja também

Outros conteúdos sobre Segurança Cibernética