Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

Otimizando seus oito esforços essenciais de gerenciamento de vulnerabilidades

Andrew Kay
,
Diretor de Engenharia de Vendas, APJ
May 7, 2020
6 leitura mínima

Sistemas interconectados díspares e, agora, funcionários remotos em todo o mundo aumentam nossa exposição e oportunidades de crimes cibernéticos. As equipes de segurança aqui na Austrália, particularmente nos departamentos do governo federal e estadual da Austrália, estão continuamente enfrentando obstáculos para adotar e manter os conselhos e requisitos fornecidos pelo Centro Australiano de Segurança Cibernética (ACSC) na forma do ISM Essential Oito.

Conversas recentes que tivemos com agências sobre a redução do custo e do esforço de higiene de segurança destacaram os desafios contínuos relacionados à correção de sistemas operacionais e aplicativos, além de outras práticas “fundamentais” que as equipes de segurança têm dificuldade em resolver. Apesar do acesso a tecnologias maduras que detectam e aconselham sobre como manter os sistemas e os aplicativos COTS atualizados e de um programa de sprint desenvolvido para ajudar os NCCE a melhorar sua maturidade no Essential Eight, permanecem dúvidas sobre se as ramificações de gerenciamento de vulnerabilidades as descobertas são totalmente compreendidas e onde gastar o esforço de recursos já esgotados para obter o maior retorno na mitigação de riscos.

Obviamente, o gerenciamento de vulnerabilidades é uma prática fundamental no arsenal de todas as equipes de segurança e deve ser a base de qualquer estratégia de defesa, o que fica evidente por sua inclusão no Top 4 original de 2011 e por sua relevância contínua no Essential 8 expandido. No entanto, devido à crescente complexidade da infraestrutura, das arquiteturas de aplicativos e das vulnerabilidades de software, as agências não conseguem ou acham cada vez mais difícil corrigir todas as vulnerabilidades nos prazos descritos, muitas vezes com dificuldades na implantação de patches devido ao medo de quebrar seus aplicativos ou interromper a produtividade.

Com o nível de conformidade com o INFOSEC-4 documentado no governo australiano Relatório de conformidade com o Proactive Security Policy Framework (PSPF) (relacionado à segurança cibernética e de sistemas de TIC, incluindo: Estratégias para mitigar incidentes de segurança cibernética) permanecendo o mais baixo de todos os 36 requisitos obrigatórios e mal melhorando em relação aos anos anteriores, alguns talvez se considerem sortudos porque “o governo federal considerará a obrigatoriedade dos Oito Essenciais apenas quando a maturidade da segurança cibernética aumentar”.

Os temas comuns de nossas discussões recentes com agências incluem:

  • O volume de software e sistemas e a cadência ou ausência dos patches necessários, especialmente para software produzido internamente
  • Priorização com a percepção de que nem tudo sempre será corrigido
  • A inevitabilidade de correr o risco de aceitar vulnerabilidades sem uma avaliação completa de seu impacto

Aqui estão três áreas principais nas quais focar e onde as soluções integradas podem ajudar.

1. Repriorize com base na exposição, não apenas na criticidade

A tradição e a natureza nos dizem que devemos buscar primeiro o que consideramos “mais crítico”. Apesar de terem excelentes ferramentas de detecção e sistemas de pontuação que refletem a importância das vulnerabilidades conhecidas, eles não consideram a conectividade de uma carga de trabalho em relação a outras cargas de trabalho em um ambiente. Sistemas com menos volume ou vulnerabilidades potencialmente de menor classificação, negligenciados apenas pela importância, que são mais acessíveis e conectados, podem deixar uma agência aberta a ataques. Ter uma abordagem de gerenciamento de vulnerabilidades baseada em volume e a mais recente, e simplesmente progredir em sistemas que parecem iguais em número e classificação do problema identificado, não abordará a maior oportunidade de exploração em primeiro lugar. Na verdade, isso só cria a ilusão de progresso e sucesso, deixando a agência exposta a riscos significativos.

Uma forma de ajudar a manter uma superfície de ataque mínima e obter o retorno de seus esforços de correção é reordenar a lista de prioridades com base na “exposição”. Veja as vulnerabilidades em um contexto mais amplo, onde a acessibilidade da vulnerabilidade e a conectividade do sistema desempenham um papel vital para que ela seja vista primeiro. Vincular a ferramenta de verificação de vulnerabilidades escolhida aos fluxos de tráfego em tempo real em seu data center ajuda as equipes de operações de segurança e TI a priorizar as decisões de segurança e de aplicação de patches nos sistemas com as mais altas taxas pontuações de exposição.

2. Caminhos visualizados para a vulnerabilidade

Sem uma compreensão ou visualização de como uma vulnerabilidade pode ser alcançada ou aproveitada para acessar outros sistemas confidenciais em seu ambiente, as equipes de segurança e aplicativos geralmente acabam avaliando a necessidade ou o cronograma de aplicação de patches em silos. Como estão voando às cegas, não conseguem apreciar os efeitos a montante e a jusante de suas decisões. Isso é particularmente impactante ao escolher aceitar riscos em um aplicativo que interage com outros.

Não apreciar o contexto mais amplo ou mesmo a eficácia dos controles adotados provavelmente contribuiu para os dados apresentados no Relatório de Conformidade do PSPF, onde a conformidade com o INFOSEC-3 “implementar políticas e procedimentos para a classificação de segurança e controle protetor de ativos de informação” diminuiu em mais de cinco por cento com a constatação de deficiências nessa área.

Visualização capaz de mapear os caminhos que um invasor poderia usar, fornecerá às equipes de segurança a visão necessária para garantir que as decisões não sejam tomadas sem considerar os sistemas interconectados. Eles podem se concentrar em avaliar com precisão o impacto que uma vulnerabilidade tem no ecossistema mais amplo, avaliando com antecedência o nível de “exposição” que se tem à exploração dessas vulnerabilidades latentes e garantindo que as correções mais impactantes sejam tomadas primeiro.

3. Opção de mitigar sem acesso imediato ao patch

Os patches não estão necessariamente disponíveis quando você precisa deles. Os congelamentos de mudanças na produção impedem sua implantação imediata ou, como costuma acontecer, as equipes de projeto não podem ser recomissionadas para retrabalhar o software produzido sob medida. Na verdade, os ciclos gastos na preparação e no teste de patches para que eles não afetem negativamente a disponibilidade dos serviços comerciais se tornam o verdadeiro inibidor para equipes de segurança sobrecarregadas, não a implantação em si. As equipes correm o risco de se tornarem vulneráveis até conseguirem corrigir e não terem sensores para alertar se o tráfego for detectado em um serviço vulnerável.

O mais recente Níveis de maturidade do ACSC prescreva metas para durações de implantação de patches especificamente para sistemas de risco extremo. Embora as agências devam buscar o Nível 3 e uma meta de patch de 48 horas, muitos patches podem nem mesmo atingir a meta de 1 mês de Nível 1, e sistemas de menor risco não estarão sob os mesmos níveis de escrutínio. Dessa forma, haverá janelas de exposição, independentemente de onde você esteja na escala de maturidade. Embora você possa se sentir atolado nos fundamentos com o risco de exposição por meio de sistemas não corrigidos, o controle da extensão das tocas dos coelhos por trás de tudo o que é violado pode ser introduzido com eficiência para minimizar esse risco.

Microsegmentação se bem feito, pode ser rapidamente mobilizado para atuar como o controle compensatório subjacente, economizando um tempo muito valioso. Se o tráfego estiver se conectando a uma porta com uma vulnerabilidade conhecida, os alertas para informar o centro de operações de segurança (SOC) agilizam os processos de resposta e, melhor ainda, as políticas de segmentação aplicadas eliminariam ou restringiriam o acesso a eles sem interromper os aplicativos. Isolar os serviços vulneráveis do resto da rede evita que as ameaças se movam lateralmente e satisfaz seus requisitos de conformidade até que os patches sejam aplicados.

Como demonstraram os eventos globais atuais e os incidentes de violação, rastrear e compreender o alcance de uma ameaça, o isolamento preventivo e a garantia de que os controles estejam em vigor para “impedir” a propagação ou o impacto de um incidente que explore as vulnerabilidades existentes em seu data center são vitais. Especialmente quando as alternativas de “cura” são difíceis de serem testadas e aplicadas em tempo hábil.


Para obter mais informações sobre o Illumio, confira como estamos ajudando a otimizar os regimes de gerenciamento de vulnerabilidades e permitindo que as equipes de segurança se livrem da carga dos fundamentos.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Nossas histórias favoritas de Zero Trust de janeiro de 2024
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de janeiro de 2024

Veja um resumo das notícias do Zero Trust deste mês, incluindo por que construir resiliência e confiança será uma referência comercial crítica em 2024.

Leia mais
Luzes, câmera, hackeamento: especialistas cibernéticos criticam hackers de Hollywood
Resiliência cibernética

Luzes, câmera, hackeamento: especialistas cibernéticos criticam hackers de Hollywood

Junte-se a dois especialistas em segurança cibernética enquanto eles analisam cenas de alguns dos filmes mais famosos de Hollywood para destacar o tratamento impreciso e desatualizado da pirataria e da cibersegurança em filmes.

Leia mais
Hacks em caixas eletrônicos: uma ameaça cibernética oculta à segurança bancária
Resiliência cibernética

Hacks em caixas eletrônicos: uma ameaça cibernética oculta à segurança bancária

Saiba como os cibercriminosos exploram caixas eletrônicos para acessar redes e como a Illumio ajuda a conter brechas rapidamente com a microssegmentação.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais