O que são Known Exploited Vulnerabilities (KEVs)?

Picture of Kaique Bonato

Kaique Bonato

Thumbnail - Known Exploited Vulnerabilities

A sigla KEVs representa Known Exploited Vulnerabilities, e pode ser definida como as vulnerabilidades de segurança de um sistema, rede ou software, que já foram ativamente exploradas por cibercriminosos.

É importante incluir as KEVs como parte das estratégias de segurança de uma organização, em especial na priorização de vulnerabilidades.

O que são Known Exploited Vulnerabilities?

Na maior parte das vezes, quando se descobre que uma vulnerabilidade foi explorada com sucesso (Known Exploited Vulnerabilities), ela é documentada e compartilhada entre a comunidade de profissionais de segurança e órgãos responsáveis por sua correção.

Dessa forma, outros desenvolvedores, pentesters, administradores de sistemas e outros profissionais, tornam-se cientes de sua existência e podem tomar medidas para descobrir e mitigá-las.

Pensando em potencializar o alcance e o compartilhamento dessas informações, algumas organizações da área decidiram criar bancos de dados que reúnam as KEVs em um único lugar, como é o caso da CISA e NIST.

CISA

A CISA (Cybersecurity and Infrastructure Security Agency) é a agência de cibersegurança dos Estados Unidos.

Desde 2021, a CISA possui um banco de dados conhecido como Known Exploited Vulnerabilities Catalog, em que reúne informações sobre as vulnerabilidades – que vão desde sua criticidade até soluções e ferramentas.

NIST

A NIST representa o National Institute of Standards and Technology, ou Instituto Nacional de Padrões e Tecnologia dos Estados Unidos. Essa agência possui o Banco de Dados Nacional de Vulnerabilidades, ou National Vulnerability Database (NVT).

O NVT também publica informações sobre as vulnerabilidades conhecidas.

Em ambos os casos, elas são enviadas por profissionais de tecnologia e segurança de outras empresas e organizações, após realizar a descoberta de que algum ativo ou aplicação foi comprometido e registrar todas as informações sobre o ocorrido.

Known Exploited Vulnerabilities Catalog (3)

Imagem: Exemplo de Vulnerabilidade publicada pela CISA.

Por que usar as KEV na sua estratégia de segurança?

Muitos times, quando pensam em priorização de vulnerabilidades, pensam diretamente na criticidade da vulnerabilidade. Quanto mais crítica, maior deve ser a prioridade para sua eliminação, e só depois disso é que são mitigadas as de menor risco.

Entretanto, considerar apenas esse critério pode não ser a melhor opção.

Isso porque, além de sua criticidade, outros fatores também são considerados pelos cibercriminosos ao tentar hackear uma aplicação.

Se uma vulnerabilidade representa baixa criticidade, mas é simples, ela pode ser mais visada do que uma que é crítica, porém muito complexa.

De acordo com a própria CISA, 50% das KEVs são exploradas em até 2 dias após serem identificadas como uma vulnerabilidade conhecida – após 28 dias, esse número sob para 75%.

Ou seja, depois de descobertas, as chances de ser exploradas são altas. Isso porque os hackers também publicam informações em grupos e fóruns, especialmente na dark web.

Como usar as KEV na sua estratégia de segurança?

As Known Exploited Vulnerabilities podem ser usadas de diversas formas na estratégia de segurança de uma organização. Algumas delas são:

  1. Monitoramento de vulnerabilidades

Monitorar essas vulnerabilidades é importante para entender se alguma delas pode estar também afetando a sua aplicação de alguma forma. Esse acompanhamento pode ser feito por meio de boletins de segurança, grupos, fóruns e comunidades de profissionais, entre outros.

  1. Priorização de vulnerabilidades

Caso alguma das KEVs tenha relevância para os seus ativos e aplicações, dê prioridade para analisar como ela pode impactar a empresa.

Além disso, caso uma vulnerabilidade seja encontrada por seu próprio time ou durante a execução de testes de segurança, verifique se já é conhecida – se sim, também a priorize.

  1. Resposta a incidentes

As KEVs também podem ser úteis pensando em práticas de resposta a incidentes.

No caso de um ataque, bem-sucedido ou não, usar o banco de dados de vulnerabilidade pode contribuir para determinar os próximos passos e para a mitigação completa da falha.

 

Aqui na Vantico, após a execução de um teste de intrusão, nosso time de pentesters também utiliza as KEVs para fornecer detalhes e recomendações sobre as vulnerabilidades encontradas.

Clique aqui e fale com nossos especialistas para saber mais.

veja também

Outros conteúdos sobre Segurança Cibernética