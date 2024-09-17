Atualizado em 24 de setembro de 2024
Em fevereiro, o número de vulnerabilidades processadas e enriquecidas pelo Banco de Dados de Vulnerabilidades Nacionais (NVD) do Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) começou a diminuir. Em maio, 93,4% das novas vulnerabilidades e 50,8% das vulnerabilidades conhecidas e exploradas ainda estavam esperando para análise, de acordo com uma pesquisa da VulnCheck.
Três meses depois, o problema persiste. Embora o NIST tenha um plano para voltar ao caminho certo, a análise atual do estado atual das vulnerabilidades e exposições comuns (CVEs) não acompanha as novas detecções de vulnerabilidades. Veja a seguir o que está por trás do backlog, por que as CVEs podem não ser mais o cumprimento da defesa da TI e como as equipes de segurança podem se manter à frente dos esforços dos invasores.
Os cortes orçamentários são parcialmente responsáveis por problemas de análise das CVEs. Conforme observado pela Security Magazine, o financiamento do NIST foi reduzido em 12% este ano, tornando mais difícil para o órgão governamental enriquecer as CVEs. Na prática, o NVD é efetivamente um consumidor posterior de dados de CVEs — enquanto o número de CVEs encontradas e relatados permanece estável, a capacidade do NIST de avaliar e enriquecer essas vulnerabilidades foi significativamente reduzida.
O grande número de vulnerabilidades relatadas também representa um problema para os esforços de análise; uma pesquisa da Flashpoint descobriu que o NIST relatou 33.137 vulnerabilidades em 2023. Em parte, os números crescentes estão ligados à melhoria dos recursos de detecção. À medida que as empresas expandem os esforços de segurança com tecnologias baseadas em nuvem e ferramentas habilitadas para IA, elas são mais capazes de identificar potenciais ameaças. Como resultado, números maiores nem sempre indicam um aumento de risco, mas indicam um número crescente de caminhos de ataque potenciais.
O NIST tem um plano para limpar o backlog. De acordo com o USASpending.gov, o governo concedeu um contrato de US$ 860.000 à Analygence para análise de cibersegurança e suporte por e-mail. Os esforços de análise estavam programados para começar em 3 de junho, e o NIST espera estar de volta aos trilhos até setembro de 2024. Embora o contrato esteja previsto para terminar em dezembro de 2024, o órgão governamental tem a opção de estender os serviços até julho de 2025.
As preocupações em torno do backlog do NVD são compreensíveis. Quanto mais tempo o NIST levar para analisar as CVEs e sugerir contramedidas eficazes, maior será o risco para as empresas.
Conforme observado pela Cybersecurity Dive, no entanto, o cenário da cibersegurança está mudando. Durante a cúpula virtual do Gartner Security and Risk Management, o analista principal Mitchell Schneider observou que, embora o número total de vulnerabilidades continuar aumentando, as CVEs críticas não estão superando suas contrapartes altas, médias e baixas.
Além disso, os invasores não estão usando a gravidade das CVEs como critério de comprometimento. "Não há uma correlação inerente entre a vulnerabilidade e se os agentes de ameaças as estão explorando em termos dessas classificações de gravidade", diz Schneider. Em vez disso, os invasores estão priorizando as vulnerabilidades mais exploráveis, que geralmente são aquelas classificadas como de gravidade média ou baixa.
Na prática, isso cria um cenário de floresta para as árvores: se as empresas estiverem muito concentradas em CVEs críticos, elas podem perder explorações intermediárias que permitem que os invasores obtenham acesso à rede e, em seguida, migrar para sistemas mais críticos .
O resultado? Embora o banco de dados de vulnerabilidades comuns seja uma parte crítica da segurança eficaz, ele não é uma solução mágica. As táticas de ameaças cibernéticas estão mudando e as equipes de segurança devem estar preparadas para mudar em resposta.
Então, como essa mudança se traduz na prática?
Quatro considerações podem ajudar as empresas a construir melhores defesas em um mundo de adições atrasadas do NVD.
Com a diversificação dos métodos e padrões de ataque, as empresas precisam priorizar a visibilidade da TI. Considere uma empresa usando armazenamento no local para dados críticos, nuvens públicas para testes e desenvolvimento e nuvens privadas para recursos de aplicação facilmente Escaláveis.
No novo cenário de ameaças, os ataques podem vir de qualquer fonte a qualquer momento. Se não forem detectados, os invasores podem passar o tempo coletando dados e identificando caminhos de ataque ideais. Como resultado, uma visibilidade completa é crítica. Quanto mais as empresas souberem sobre o que está acontecendo em seus ambientes, mais bem preparadas estarão para detectar, identificar e mitigar ataques.
Como a Gartner deixa claro, a capacidade de exploração agora é a principal prioridade para os invasores. Embora vulnerabilidades mais graves possam ser alvos mais valiosos a curto prazo, fraquezas de gravidade média ou baixa exploráveis podem preparar os invasores para o sucesso contínuo.
Por exemplo, suponhamos que atores maliciosos podem explorar uma vulnerabilidade de gravidade média no edge das redes de negócios. Nesse caso, eles podem criar e manter backdoors que fornecem acesso permanente aos sistemas corporativos. A partir daí, eles podem realizar reconhecimento e esperar até que as equipes de segurança estejam focadas em outras vulnerabilidades.
Ao atacar as vulnerabilidades mais exploráveis, em vez das vulnerabilidades mais graves, as equipes de segurança podem reduzir a chance de ataques bem-sucedidos.
A segurança não é mais responsabilidade exclusiva das equipes de TI. As equipes de operações, finanças, marketing, vendas e atendimento ao cliente têm um papel a desempenhar na manutenção da segurança das empresas. Embora a responsabilidade final pela segurança ainda seja dos profissionais de tecnologia, o compartilhamento da carga entre as equipes pode melhorar as taxas de detecção e reduzir o tempo entre a identificação e a ação.
Com o backlog do NVD, é importante que as equipes de segurança encontrem e aproveitem os recursos alternativos. Fontes potenciais de segurança incluem:
O NIST espera eliminar o backlog do NVD até setembro de 2024, mas não há garantia de que seus esforços serão bem-sucedidos. Conforme observado pelo The Record, o senador Mark Warner (D-VA) e Thom Intelligentes (R-NC) propuseram uma legislação que restauraria o financiamento para o NIST e aumentaria seu foco em novos riscos, como ameaças habilitadas por IA, mas o projeto de lei está em sua fase inicial.
Em outras palavras, embora o órgão governamental e os legisladores federais reconheçam o impacto crítico da análise e do enriquecimento das CVEs, as empresas não podem confiar na NVD para fornecer dados de vulnerabilidade atualizados.
Em vez disso, é melhor atender as empresas mudando sua abordagem para se alinhar com os esforços em evolução dos invasores. Com a implementação de ferramentas que ajudam a melhorar a visibilidade e a identificar a capacidade de exploração, as empresas podem priorizar ameaças de alto risco. Ao compartilhar a carga de segurança entre departamentos e expandir o uso dos recursos de segurança disponíveis, as empresas podem responder de forma mais eficaz às mudanças nas prioridades de ataque.
Correção: este artigo foi atualizado para esclarecer as diferenças entre NVD e CVE. O CVE Program cataloga vulnerabilidades divulgadas publicamente por meio do CVE Records, enquanto o NVD é um consumidor posterior dos dados do CVE Program.
