Equipes de TI alegam implementar processos maduros de detecção e correção de vulnerabilidades; porém, tudo indica que a maioria está apenas no estágio inicial de proteção.
O nível de vulnerabilidade da sua empresa muito provavelmente é pior do que você imagina.
De acordo com um estudo divulgado recentemente pela empresa de remediação de cibersegurança Vulcan Cyber, 84% dos mais de 100 líderes de TI e segurança entrevistados acreditam que seu programa de remediação de vulnerabilidades é maduro, isto é, que suas soluções de cibersegurança protegem efetivamente todas as superfícies de ataque das empresas para as quais prestam serviços.
No entanto, ao responder à pesquisa, apenas alguns aspectos da malha de segurança das empresas se aproximavam da maturidade, com outras áreas da rede de remediação sendo muito menos completas do que deveriam.
De acordo com o CEO e cofundador da Vulcan Cyber, Yaniv Bar-Dayan, um processo maduro de remediação de vulnerabilidade inclui três etapas críticas:
O primeiro é ser capaz de detectar uma vulnerabilidade; o segundo é a capacidade de determinar a correção para a vulnerabilidade e o terceiro é ser capaz de realmente consertá-la.
Bar-Dayan, que conduziu o estudo junto a seu time de especialistas, disse que a maioria dos respondentes da pesquisa se concentrava na varredura das vulnerabilidades, que é uma parte importante de um processo de detecção e correção de vulnerabilidade maduro, mas está longe de ser o suficiente.
“Você pode, por exemplo, encontrar uma versão antiga de um banco de dados, as vulnerabilidades são públicas”, disse ele, e essa seria a primeira parte do processo.
Mas a vulnerabilidade pode não ser corrigida imediatamente. “O processo de correção (patch) é difícil.” Além disso, considerando que uma vulnerabilidade ignorada pode ser a abertura que cibercriminosos precisavam para invadir sua rede corporativa, a prevenção vai muito além de detectar falhas e remendá-las.
Em muitos casos, consertar uma vulnerabilidade de segurança está além da capacidade de grande parte da equipe de TI ou segurança das empresas, por isso não é corrigida.
Bar-Dayan também diz que, como a comunicação dentro da equipe de TI costuma ser ruim, o fato de uma vulnerabilidade precisar de patch pode não ser repassado para alguém que possa consertá-lo, e ela fica lá, esquecida, arriscando a integridade das redes corporativas.
2020: o pior ano de todos os tempos para a segurança cibernética
O motivo pelo qual mais e mais pesquisadores de segurança chamam a atenção ao gerenciamento de vulnerabilidades é 2020 estar se revelando o pior ano de todos os tempos para ataques cibernéticos de todos os tipos.
As razões para isso têm muito a ver com o fato de tantas empresas terem seus funcionários trabalhando de casa, onde a segurança é mais difícil de implementar, monitorar e, por conseguinte, e as vulnerabilidades são mais difíceis de encontrar e corrigir.
“99% das vulnerabilidades exploradas já terão sido conhecidas há mais de um ano quando forem violadas”, disse Bar-Dayan.
Isto é, quando um ataque ocorrer, explorando essas vulnerabilidades, não será exatamente uma surpresa para a sua equipe de TI.
O fato de que as violações estão acontecendo com vulnerabilidades conhecidas ressalta a necessidade de ir além de simplesmente encontrá-las. Elas também precisam ser analisadas e corrigidas.
“Existem mais de um milhão de vulnerabilidades em empresas de médio porte”, alerta Bar-Dayan.
Como são muitas, seu gerenciamento também deve incluir o gerenciamento de riscos para que você possa determinar quais vulnerabilidades corrigir primeiro e quais podem estar mais abaixo na lista de prioridades, e como se prevenir para que as vulnerabilidades no “backlog” não venham assombrá-los enquanto as demais são trabalhadas.
A equipe de remediação vai além da equipe de TI
A próxima etapa crítica no gerenciamento de vulnerabilidade é saber o que consertar e como consertar.
Normalmente, isso envolve a aplicação de um patch ao software que exibe o problema, mas essa remediação geralmente requer uma equipe especializada devido aos riscos associados à aplicação da correção.
Não é incomum que um patch exiba problemas próprios depois de aplicado, por exemplo. E mesmo que tudo funcione conforme planejado, ainda há o tempo de inatividade associado à aplicação de uma correção, que também pode ser cara.
“Você não pode apenas esperar que as coisas corram bem”, comenta Bar-Dayan. E, quando se trata de cibersegurança, todo cuidado é pouco.
Infelizmente, a pesquisa indicou que os últimos aspectos maduros da vulnerabilidade podem ser os mais importantes. Eles incluem remediação orquestrada ou colaborativa, um compromisso comercial com a higiene cibernética e a colaboração de todos os funcionários da empresa.
Para isso, além da necessidade de soluções completas, integradas e automatizadas, que vão facilitar o trabalho dos profissionais de TI, é fundamental que executivos e diretores se comprometam em oferecer treinamentos frequentes aos colaboradores a respeito dos riscos da cibersegurança.
Mantê-los bem informados, por dentro do atual cenário da segurança, também é uma forma de educá-los.
Já o desafio para as equipes de TI e segurança é superar a ideia de que a simples verificação de vulnerabilidades é suficiente.
Embora seja uma parte importante do processo de segurança, é apenas o primeiro passo de todo um processo preventivo. Também deve haver a capacidade de encontrar a correção certa para a empresa e, em seguida, aplicá-la, de fato.
“A digitalização e priorização de vulnerabilidades são funções essenciais, mas são o mínimo – não o que constitui um programa maduro”, disse Bar-Dayan. “Mudar isso requer que as organizações atualizem e automatizem seus processos de remediação.”
Nesse cenário, contar com a ajuda de especialistas, que auxiliem na estruturação de uma rede completa de segurança e apoiem as equipes de TI, muita vezes sem o braço ou o conhecimento necessário para remediação das vulnerabilidades, é imprescindível.
Entre em contato com a assessoria de especialistas da Compugraf e saiba como podemos ajudar sua empresa a estar, de fato, protegida no pior ano da história de ataques cibernéticos.
