Equipes de TI alegam implementar processos maduros de detecção e correção de vulnerabilidades; porém, tudo indica que a maioria está apenas no estágio inicial de proteção.

O nível de vulnerabilidade da sua empresa muito provavelmente é pior do que você imagina.

De acordo com um estudo divulgado recentemente pela empresa de remediação de cibersegurança Vulcan Cyber, 84% dos mais de 100 líderes de TI e segurança entrevistados acreditam que seu programa de remediação de vulnerabilidades é maduro, isto é, que suas soluções de cibersegurança protegem efetivamente todas as superfícies de ataque das empresas para as quais prestam serviços.

No entanto, ao responder à pesquisa, apenas alguns aspectos da malha de segurança das empresas se aproximavam da maturidade, com outras áreas da rede de remediação sendo muito menos completas do que deveriam.

De acordo com o CEO e cofundador da Vulcan Cyber, Yaniv Bar-Dayan, um processo maduro de remediação de vulnerabilidade inclui três etapas críticas:

O primeiro é ser capaz de detectar uma vulnerabilidade; o segundo é a capacidade de determinar a correção para a vulnerabilidade e o terceiro é ser capaz de realmente consertá-la.

Bar-Dayan, que conduziu o estudo junto a seu time de especialistas, disse que a maioria dos respondentes da pesquisa se concentrava na varredura das vulnerabilidades, que é uma parte importante de um processo de detecção e correção de vulnerabilidade maduro, mas está longe de ser o suficiente.

“Você pode, por exemplo, encontrar uma versão antiga de um banco de dados, as vulnerabilidades são públicas”, disse ele, e essa seria a primeira parte do processo.

Mas a vulnerabilidade pode não ser corrigida imediatamente. “O processo de correção (patch) é difícil.” Além disso, considerando que uma vulnerabilidade ignorada pode ser a abertura que cibercriminosos precisavam para invadir sua rede corporativa, a prevenção vai muito além de detectar falhas e remendá-las.

Em muitos casos, consertar uma vulnerabilidade de segurança está além da capacidade de grande parte da equipe de TI ou segurança das empresas, por isso não é corrigida.

Bar-Dayan também diz que, como a comunicação dentro da equipe de TI costuma ser ruim, o fato de uma vulnerabilidade precisar de patch pode não ser repassado para alguém que possa consertá-lo, e ela fica lá, esquecida, arriscando a integridade das redes corporativas.

2020: o pior ano de todos os tempos para a segurança cibernética

O motivo pelo qual mais e mais pesquisadores de segurança chamam a atenção ao gerenciamento de vulnerabilidades é 2020 estar se revelando o pior ano de todos os tempos para ataques cibernéticos de todos os tipos.

As razões para isso têm muito a ver com o fato de tantas empresas terem seus funcionários trabalhando de casa, onde a segurança é mais difícil de implementar, monitorar e, por conseguinte, e as vulnerabilidades são mais difíceis de encontrar e corrigir.

“99% das vulnerabilidades exploradas já terão sido conhecidas há mais de um ano quando forem violadas”, disse Bar-Dayan.

Isto é, quando um ataque ocorrer, explorando essas vulnerabilidades, não será exatamente uma surpresa para a sua equipe de TI.

O fato de que as violações estão acontecendo com vulnerabilidades conhecidas ressalta a necessidade de ir além de simplesmente encontrá-las. Elas também precisam ser analisadas e corrigidas.

“Existem mais de um milhão de vulnerabilidades em empresas de médio porte”, alerta Bar-Dayan.

Como são muitas, seu gerenciamento também deve incluir o gerenciamento de riscos para que você possa determinar quais vulnerabilidades corrigir primeiro e quais podem estar mais abaixo na lista de prioridades, e como se prevenir para que as vulnerabilidades no “backlog” não venham assombrá-los enquanto as demais são trabalhadas.

A equipe de remediação vai além da equipe de TI

A próxima etapa crítica no gerenciamento de vulnerabilidade é saber o que consertar e como consertar.

Normalmente, isso envolve a aplicação de um patch ao software que exibe o problema, mas essa remediação geralmente requer uma equipe especializada devido aos riscos associados à aplicação da correção.

Não é incomum que um patch exiba problemas próprios depois de aplicado, por exemplo. E mesmo que tudo funcione conforme planejado, ainda há o tempo de inatividade associado à aplicação de uma correção, que também pode ser cara.

“Você não pode apenas esperar que as coisas corram bem”, comenta Bar-Dayan. E, quando se trata de cibersegurança, todo cuidado é pouco.

Infelizmente, a pesquisa indicou que os últimos aspectos maduros da vulnerabilidade podem ser os mais importantes. Eles incluem remediação orquestrada ou colaborativa, um compromisso comercial com a higiene cibernética e a colaboração de todos os funcionários da empresa.

Para isso, além da necessidade de soluções completas, integradas e automatizadas, que vão facilitar o trabalho dos profissionais de TI, é fundamental que executivos e diretores se comprometam em oferecer treinamentos frequentes aos colaboradores a respeito dos riscos da cibersegurança.

Mantê-los bem informados, por dentro do atual cenário da segurança, também é uma forma de educá-los.

Já o desafio para as equipes de TI e segurança é superar a ideia de que a simples verificação de vulnerabilidades é suficiente.

Embora seja uma parte importante do processo de segurança, é apenas o primeiro passo de todo um processo preventivo. Também deve haver a capacidade de encontrar a correção certa para a empresa e, em seguida, aplicá-la, de fato.

“A digitalização e priorização de vulnerabilidades são funções essenciais, mas são o mínimo – não o que constitui um programa maduro”, disse Bar-Dayan. “Mudar isso requer que as organizações atualizem e automatizem seus processos de remediação.”

Nesse cenário, contar com a ajuda de especialistas, que auxiliem na estruturação de uma rede completa de segurança e apoiem as equipes de TI, muita vezes sem o braço ou o conhecimento necessário para remediação das vulnerabilidades, é imprescindível.

Entre em contato com a assessoria de especialistas da Compugraf e saiba como podemos ajudar sua empresa a estar, de fato, protegida no pior ano da história de ataques cibernéticos.