O que é a verificação de vulnerabilidade?

Na maioria das organizações atualmente, as verificações de vulnerabilidade são totalmente automatizadas. Ferramentas especializadas de verificação de vulnerabilidades encontram e sinalizam falhas para a equipe de segurança analisar.

A invasão de vulnerabilidades é um dos vetores mais comuns de ataques cibernéticos, de acordo com o X-Force Threat Intelligence Index da IBM. A verificação de vulnerabilidades ajuda as organizações a detectar e fechar fraquezas de segurança antes que os cibercriminosos possam armá-las. Por esse motivo, o Center for Internet Security (CIS) considera o gerenciamento contínuo de vulnerabilidades, incluindo a verificação automatizada de vulnerabilidades, uma prática crítica de cibersegurança.

Uma vulnerabilidade de segurança é qualquer fraqueza na estrutura, função ou implementação de um ativo ou rede de TI.Hackers ou outros agentes de ameaças podem explorar essa fraqueza para obter acesso não autorizado e causar danos à rede, aos usuários ou à empresa. As vulnerabilidades comuns incluem:

• Falhas de codificação, como aplicativos da web suscetíveis a scripts entre sites, injeção SQL e outros ataques de injeção devido à forma como lidam com as entradas do usuário.
  
  
• Portas abertas desprotegidas em servidores, notebooks e outros endpoints, que os hackers podem usar para espalhar malware.
  
  
• Configurações incorretas, como um bucket de armazenamento em nuvem com permissões de acesso inadequadas que expõem dados confidenciais à internet pública.
  
  
• Patches ausentes, senhas fracas ou outras deficiências na higiene de cibersegurança.
  

Milhares de novas vulnerabilidades são descobertas todos os meses. Dois órgãos do governo dos EUA mantêm catálogos pesquisáveis de vulnerabilidades de segurança conhecidas, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) e a Cybersecurity and Infrastructure Security Agency (CISA).

Infelizmente, embora as vulnerabilidades sejam completamente documentadas depois de descobertas, hackers e outros agentes de ameaças geralmente as encontram primeiro, permitindo que peguem as organizações de surpresa.

Para adotar uma postura de segurança mais proativa face a estas ameaças cibernéticas, as equipas de TI implementam programas de gestão de vulnerabilidades . Esses programas seguem um processo contínuo para identificar e resolver riscos de segurança antes que os hackers possam explorá-los. As verificações de vulnerabilidades são normalmente a primeira etapa no processo de gerenciamento de vulnerabilidades, revelando os pontos fracos de segurança com os quais as equipes de TI e de segurança precisam lidar.

Muitas equipes de segurança também usam verificações de vulnerabilidade para

• Validar medidas e controles de segurança—depois de implementar novos controles, as equipes geralmente realizam outra varredura. Essa varredura confirma se as vulnerabilidades identificadas foram corrigidas. Ela também confirma que os esforços de remediação não introduziram novos problemas.
   

• Mantenha a conformidade normativa — algumas regulamentações exigem explicitamente verificações de vulnerabilidade. Por exemplo, o Payment Card Industry Data Security Standard (PCI-DSS) exige que as organizações que lidam com os dados dos titulares de cartão realizem varreduras trimestrais.

Entre aplicativos na nuvem e no local, dispositivos móveis e IoT, notebooks e outros endpoints tradicionais, as redes corporativas modernas contêm muitos ativos para verificações manuais de vulnerabilidades. Em vez disso, as equipes de segurança usam verificadores de vulnerabilidade para realizar verificações automatizadas de forma recorrente.

Para encontrar vulnerabilidades potenciais, os verificadores primeiro coletam informações sobre os ativos de TI. Alguns verificadores usam agentes instalados em endpoints para coletar dados em dispositivos e no software em execução neles. Outros verificadores examinam os sistemas do lado de fora, sondando portas abertas para descobrir detalhes sobre configurações de dispositivos e serviços ativos. Alguns verificadores fazem testes mais dinâmicos, como tentar fazer login em um dispositivo que usa credenciais padrão.

Após a varredura dos ativos, o verificador os compara a um banco de dados de vulnerabilidades. Esse banco de dados registra vulnerabilidades e exposições comuns (CVEs) para várias versões de hardware e software. Alguns verificadores dependem de fontes públicas como os bancos de dados do NIST e da CISA, enquanto outros usam bancos de dados proprietários.

O verificador verifica se cada ativo mostra algum sinal das falhas associadas a ele. Por exemplo, ele procura por problemas como um bug no protocolo de área de trabalho remota em um sistema operacional. Esse bug poderia permitir que hackers assumissem o controle do dispositivo. Os verificadores também podem verificar as configurações de um ativo em comparação com uma lista de melhores práticas de segurança, como garantir que critérios de autenticação adequadamente rígidos estejam em vigor para um banco de dados confidencial.

Em seguida, o verificador compila um relatório sobre as vulnerabilidades identificadas para a equipe de segurança analisar. Os relatórios mais básicos simplesmente listam todos os problemas de segurança que precisam ser resolvidos. Alguns verificadores podem fornecer explicações detalhadas e comparar os resultados da verificação com verificações anteriores para rastrear o gerenciamento de vulnerabilidades ao longo do tempo.

Verificadores mais avançados também priorizam vulnerabilidades com base em criticidade. Os verificadores podem usar inteligência de ameaças de código aberto, como pontuações do Common Vulnerability Scoring System (CVSS), para julgar a criticidade de uma falha. Ou então, eles podem usar algoritmos mais complexos que consideram a falha no contexto único da organização. Esses verificadores também podem recomendar métodos de remediação e mitigação para cada falha.

Os riscos à segurança de uma rede mudam à medida que novos ativos são adicionados e novas vulnerabilidades são descobertas na natureza. No entanto, cada verificação de vulnerabilidade pode identificar exclusivamente um momento no tempo. Para acompanhar a evolução do cenário de ameaças cibernéticas, as organizações realizam verificações regularmente.

A maioria das varreduras de vulnerabilidades não examina todos os ativos da rede de uma só vez porque é intensivo em recursos e tempo. Em vez disso, as equipes de segurança frequentemente agrupam os ativos de acordo com a criticidade e os escaneiam em lotes. Os ativos mais críticos podem ser escaneados semanalmente ou mensalmente, enquanto ativos menos críticos podem ser escaneados trimestralmente ou anualmente.

As equipes de segurança também podem executar verificações sempre que ocorrerem grandes alterações na rede, como a adição de novos servidores da web ou a criação de um novo banco de dados confidencial.

Alguns verificadores de vulnerabilidades avançados oferecem varredura contínua. Essas ferramentas monitoram ativos em tempo real e sinalizam novas vulnerabilidades quando elas surgem. No entanto, a varredura contínua nem sempre é viável ou desejável. Varreduras de vulnerabilidades mais intensas podem interferir no desempenho da rede; então, algumas equipes de TI podem preferir realizar varreduras periódicas.

Existem muitos tipos diferentes de verificadores, e as equipes de segurança muitas vezes usam uma combinação de ferramentas para obter uma visão abrangente das vulnerabilidades da rede.

Alguns verificadores se concentram em tipos específicos de ativos. Por exemplo, os verificadores de nuvem se concentram em serviços de nuvem, enquanto as ferramentas de verificação de aplicações da web procuram falhas em aplicativos da web.

Scanners podem ser instalados localmente ou fornecidos como aplicativos de software como serviço (SaaS). Scanners de vulnerabilidades de código aberto e ferramentas pagas são comuns. Algumas organizações terceirizam completamente a varredura de vulnerabilidades para provedores de serviços terceirizados.

Enquanto verificadores de vulnerabilidades estão disponíveis como soluções independentes, os fornecedores cada vez mais os oferecem como parte de pacotes holísticos de gerenciamento de vulnerabilidades. Essas ferramentas combinam vários tipos de verificadores com gerenciamento de superfície de ataque, gestão de ativos, gerenciamento de patches e outras funções fundamentais em uma solução única.

Muitos scanners suportam integrações com outras ferramentas de cibersegurança, como sistemas de gerenciamento de informações e eventos de segurança (SIEM) e ferramentas de detecção e resposta de endpoints (EDR).

As equipes de segurança podem executar diferentes tipos de verificações, dependendo de suas necessidades. Alguns dos tipos mais comuns de verificações de vulnerabilidades incluem:

• As verificações de vulnerabilidades externas examinam a rede de fora. Eles se concentram em falhas em ativos voltados para a Internet, como apps da Web e controles de perímetro de teste, como firewalls. Essas verificações mostram como um hacker externo pode invadir uma rede.
   

• Varreduras de vulnerabilidades internas examinam vulnerabilidades a partir do interior da rede. Elas esclarecem o que um hacker poderia fazer se conseguisse entrar, incluindo como ele poderia se mover lateralmente e as informações sensíveis que poderia roubar em uma violação de dados.
   

• As verificações autenticadas, também chamadas de "verificações credenciadas", exigem os privilégios de acesso de um usuário autorizado. Em vez de apenas ver um aplicativo do lado de fora, o verificador pode ver o que um usuário conectado veria. Essas verificações ilustram o que um hacker poderia fazer com uma conta sequestrada ou como uma ameaça interna pode causar danos.
   

• As verificações não autenticadas, também chamadas de "verificações não credenciadas", não têm permissões ou privilégios de acesso. Elas só veem os ativos do ponto de vista de alguém de fora. As equipes de segurança podem executar verificações internas e externas não autenticados.

Embora cada tipo de verificação tenha seus próprios casos de uso, há alguma sobreposição e eles podem ser combinados para atender a diferentes fins. Por exemplo, uma verificação interna autenticada mostraria a perspectiva de uma ameaça interna. Em contraste, uma verificação interna não autenticada mostraria o que um hacker desonesto veria se ultrapassasse o perímetro da rede.

A verificação de vulnerabilidades e o teste de penetração são formas distintas, mas relacionadas, de testes de segurança de rede. Embora tenham funções diferentes, muitas equipes de segurança as usam para complementar umas às outras.

As verificações de vulnerabilidade são verificações automatizadas e de alto nível dos ativos. Eles encontram falhas e as relatam à equipe de segurança. O teste de penetração, ou teste de pen, é um processo manual. Os testadores de penetração usam skill de hacking ético não apenas para encontrar vulnerabilidades de rede, mas também para explorá-las em ataques simulados.

As verificações de vulnerabilidades são mais baratas e fáceis de executar, portanto, as equipes de segurança as usam para acompanhar um sistema. Os testes de penetração exigem mais recursos, mas podem ajudar as equipes de segurança a entender melhor suas falhas de rede.

Usados em conjunto, as verificações de vulnerabilidades e os pen tests podem tornar o gerenciamento de vulnerabilidades mais eficaz. Por exemplo, as verificações de vulnerabilidades oferecem aos testadores de caneta um ponto de partida útil. Enquanto isso, os testes de penetração podem adicionar mais contexto aos resultados da verificação, descobrindo falsos positivos, identificando as causas raiz e explorando como os cibercriminosos podem agrupar vulnerabilidades em ataques mais complexos.