Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Resiliência cibernética

Conheça a pontuação: Explicação da exposição à vulnerabilidade

PJ Kirner
,
Cofundador e Conselheiro
August 3, 2018
23 leitura mínima

Neste post, explico os vários fatores no cálculo do Illumio Vulnerability Exposure Score (VES), que permite às organizações: combinar medidas de pontuação de vulnerabilidade padrão do setor com contexto de seu próprio ambiente único. O VES também ajuda os profissionais de segurança a priorizar os controles de segurança para minimizar a exposição da superfície de ataque e o impacto potencial das vulnerabilidades.

O que é exposição?

A exposição no contexto da cibersegurança é normalmente definida pela “superfície de ataque”. Aqui está uma definição que VESPA usa:

A superfície de ataque descreve todos os diferentes pontos em que um invasor pode entrar em um sistema e de onde pode obter dados.

O Illumio VES está diretamente alinhado com essa definição. Simplificando, a exposição é uma tentativa de quantificar a soma dos “buracos” ou dos diferentes pontos a partir dos quais um invasor pode tentar entrar em um sistema pela rede.

Digamos, por exemplo, que você tenha um Partner Portal — uma carga de trabalho executando um aplicativo web na porta 443. Seguindo o princípio do menor privilégio, você pode ter acesso limitado a esse aplicativo da web a apenas três parceiros externos. Neste exemplo, a pontuação de exposição desse aplicativo é 3. Embora isso pareça óbvio, muitas vezes as organizações não têm esse nível de conhecimento ou visibilidade em sua exposição leste-oeste, aplicação por aplicação, sem falar nas ramificações do agregado dessas exposições em seu ambiente.

O que é uma pontuação de vulnerabilidade?

O Illumio VES emprega o Common Vulnerability Scoring System (CVSS), padrão aberto da indústria, aceito pela comunidade, originalmente pioneiro pela Conselho Consultivo Nacional de Infraestrutura (ÚNICO). A adoção de um padrão do setor nos permite interoperar com muitas soluções de segurança existentes, incluindo gerenciamento de vulnerabilidades fornecedores, além de fornecer uma pontuação aceita pela maior variedade de profissionais de segurança.

As pontuações de vulnerabilidade são comuns na maioria das soluções de gerenciamento de vulnerabilidades e geralmente são avaliadas e atribuídas por carga de trabalho. Por exemplo, a carga de trabalho A tem cinco vulnerabilidades. A pontuação de vulnerabilidade pode ser a média combinada das pontuações CVSS desses cinco. Embora essa seja uma métrica valiosa para entender a vulnerabilidade potencial de uma única carga de trabalho isolada, ela perde alguns detalhes importantes para entender o quão realmente vulnerável essa carga de trabalho é em um ambiente ativo.

Implementando a microssegmentação para mitigar o risco associado às vulnerabilidades

Para entender o quão vulnerável algo é, você precisa analisar vários fatores. Uma vulnerabilidade só é realmente um risco se for exposta em seu ambiente e puder ser explorada.

Para um exemplo simples, vamos considerar uma única carga de trabalho com uma única vulnerabilidade crítica. Por ser classificado como severidade “Crítica”, pode ser altamente explorável. A recomendação típica de uma equipe de segurança pode ser: “Precisamos corrigir isso!”. Mas vamos considerar quantas outras cargas de trabalho podem se conectar a essa carga de trabalho e potencialmente explorar essa vulnerabilidade. Vamos também examinar as portas de rede que estão expostas como parte dessa vulnerabilidade. Como costuma acontecer em redes planas, a carga de trabalho estará bem conectada a muitas outras cargas de trabalho.

Corrigir essa vulnerabilidade específica pode não ser viável, seja porque um patch ainda não existe ou devido a requisitos e restrições em relação ao tempo de atividade da produção, às janelas de alteração e aos SLAs. Nesses casos, podemos usar a microssegmentação para reduzir o número de cargas de trabalho que podem se conectar a essa carga de trabalho vulnerável e à porta vulnerável específica.

Microsegmentação torna-se um controle de mitigação de riscos por meio de:

  • Reduzindo os vetores de ataque à carga de trabalho.
  • Reduzir a “exposição” da carga de trabalho.
  • Reduzir o risco de que a vulnerabilidade nessa carga de trabalho possa realmente ser explorada, mesmo que a vulnerabilidade seja “crítica” e não possa ser corrigida atualmente.

Qual é a vulnerabilidade Exposição Pontuação?

O Illumio VES é um meio de controlar tanto a “capacidade de exploração” de uma vulnerabilidade (normalmente representada pela pontuação do CVSS) quanto a “acessibilidade” real da carga de trabalho vulnerável por meio de vetores de ataque em seu ambiente — o que chamamos de “exposição”.

Agora, para a matemática real. O VES é calculado multiplicando uma pontuação de vulnerabilidade em escala (CVSS) por uma medição de exposição em escala para um determinado serviço, onde s e p são fatores de escala para ajudar o logaritmo a dimensionar essas medidas, que é uma técnica matemática comum quando há uma grande variedade de valores:

VES = s (CVSS) * p (medição de exposição)

Como mencionei no meu Artigo da Forbes nas aulas de segurança corporativa aprendidas com a MVP da NBA, Steph Curry, essa medição fornece uma maneira de um profissional de segurança entender as informações sobre vulnerabilidades e ameaças relacionadas no contexto de ambientes segmentados.

Especificamente, as soluções tradicionais de gerenciamento de vulnerabilidades usam classificações de Crítica, Alta, Média, Baixa e Informação para categorizar as vulnerabilidades e ajudar a priorizar os esforços de mitigação. Críticos e altos recebem atenção imediata, como deveriam. No entanto, há um grande número de vulnerabilidades médias que não são priorizadas e acabam se transformando em um acúmulo significativo que não passou despercebido pelos criadores de malware.

As vulnerabilidades críticas geralmente são altamente exploráveis (baixo custo para o atacante), mas por um curto período de tempo, porque as equipes de segurança rapidamente corrigem ou encontram outras formas de remover a exposição. Os atacantes, sempre em busca de um novo ângulo, estão cada vez mais atacando vulnerabilidades médias que geralmente se perdem no ruído e permanecem sem correção por longos períodos de tempo — um alvo muito mais eficaz de violação. Eles podem ser considerados um pouco mais “caros” de explorar (maior barreira de entrada, se preferir), mas o fato de estarem disponíveis por mais tempo do que as vulnerabilidades críticas e altas os torna muito mais atraentes quando o atacante calcula o ROI em relação ao investimento.

O propósito e a recompensa

O VES torna muito mais fácil para uma organização combinar a pontuação CVSS das melhores práticas do setor com fatores exclusivos do ambiente de cada cliente. As equipes de segurança podem priorizar melhor sua estratégia de mitigação com base na exposição da vulnerabilidade em seu ambiente exclusivo. Por exemplo, uma vulnerabilidade de alta gravidade pode ser despriorizada porque a exposição foi muito grande reduzido por controles de microssegmentação. Ou pode haver uma vulnerabilidade média que deveria ser priorizada no topo da lista, dada a exposição a um grande número de possíveis caminhos de ataque a esse serviço vulnerável.

O VES é possível porque somos únicos entenda o mapa — como seu ambiente está conectado e se comunicando — e sobreponha informações de vulnerabilidade no topo do mapa para ajudar as equipes de segurança a visualizar e priorizar a mitigação do risco de vulnerabilidades em seu ambiente. Isso se torna uma ferramenta extremamente poderosa, não apenas para equipes de segurança, mas para outras pessoas, como proprietários e executivos de aplicativos, que precisam entender esse risco e mitigá-lo ou aceitá-lo no contexto de um risco comercial mais amplo.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Nossas histórias favoritas de Zero Trust de janeiro de 2024
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de janeiro de 2024

Veja um resumo das notícias do Zero Trust deste mês, incluindo por que construir resiliência e confiança será uma referência comercial crítica em 2024.

Leia mais
Telhio impulsiona o crescimento e constrói resiliência cibernética com a Illumio
Resiliência cibernética

Telhio impulsiona o crescimento e constrói resiliência cibernética com a Illumio

Quem gosta de fusões e aquisições? Não são profissionais de cibersegurança. Para eles, esses negócios aumentam a complexidade quase da noite para o dia: novas redes, novos aplicativos e novos requisitos de treinamento em segurança.

Leia mais
Nossas histórias favoritas de Zero Trust de novembro de 2023
Resiliência cibernética

Nossas histórias favoritas de Zero Trust de novembro de 2023

Obtenha informações dos especialistas da Zero Trust sobre por que as festas de fim de ano são uma temporada aberta para agentes mal-intencionados.

Leia mais
Mais aulas de segurança empresarial de Steph Curry: quando algo dá errado
Resiliência cibernética

Mais aulas de segurança empresarial de Steph Curry: quando algo dá errado

As equipes de segurança precisam tomar decisões como essa em tempo real o tempo todo, e quanto mais dados tiverem acesso sobre a situação, melhores decisões poderão tomar.

Leia mais

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais