Sobre as Cookies neste site Nossos sites requererem alguns cookies para funcionarem corretamente (obrigatório). Além disso, outros cookies podem ser usados com seu consentimento para analisar o uso do site, melhorar a experiência do usuário e para publicidade. Para obter mais informações, revise as opções de. Ao visitar nosso website, você concorda com nosso processamento de informações conforme descrito nadeclaração de privacidade da IBM. Para proporcionar uma navegação tranquila, suas preferências de cookie serão compartilhadas nos domínios da web da IBM listados aqui.
Início
topics
Verificação de vulnerabilidades
O que é a verificação de vulnerabilidade?
Publicado em: 15 de dezembro de 2023
Colaboradores: Matt Kosinski, Amber Forrest
A varredura de vulnerabilidades, também chamada de "avaliação de vulnerabilidades", é o processo de avaliar redes ou ativos de TI em busca de vulnerabilidades de segurança—falhas ou fraquezas que atores de ameaça externos ou internos podem explorar. A varredura de vulnerabilidades é a primeira etapa do ciclo de vida mais amplo do gerenciamento de vulnerabilidades.
Na maioria das organizações atualmente, as verificações de vulnerabilidade são totalmente automatizadas. Eles são realizados por ferramentas especializadas de verificação de vulnerabilidades que encontram e sinalizam falhas para a equipe de segurança analisar.
A exploração de vulnerabilidades é o segundo vetor de ataque cibernético mais comum, atrás apenas do phishing, de acordo com o X-Force Threat Intelligence Index da IBM. A varredura de vulnerabilidades ajuda as organizações a identificar e fechar as fraquezas de segurança antes que os cibercriminosos possam explorá-las. Por essa razão, o Center for Internet Security (CIS) (link fora de ibm.com) considera o gerenciamento contínuo de vulnerabilidades, incluindo a varredura automatizada de vulnerabilidades, uma prática crítica de cibersegurança.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Uma vulnerabilidade de segurança é qualquer fraqueza na estrutura, função ou implementação de um ativo ou rede de TI.Hackers ou outros agentes de ameaças podem explorar essa fraqueza para obter acesso não autorizado e causar danos à rede, aos usuários ou à empresa. As vulnerabilidades comuns incluem:
- Falhas de codificação, como aplicativos da web suscetíveis a scripts entre sites, injeção SQL e outros ataques de injeção devido à forma como lidam com as entradas do usuário.
- Portas abertas desprotegidas em servidores, notebooks e outros endpoints, que os hackers podem usar para espalhar malware.
- Configurações incorretas, como um bucket de armazenamento em nuvem que expõe dados sensíveis à internet pública devido a permissões de acesso inadequadas.
- Patches ausentes, senhas fracas ou outras deficiências na higiene de cibersegurança.
Milhares de novas vulnerabilidades são descobertas todos os meses. Duas agências do governo dos Estados Unidos mantêm catálogos pesquisáveis de vulnerabilidades de segurança conhecidas—o National Institute of Standards and Technologies, ou NIST, e a Cybersecurity and Infrastructure Security Agency, ou CISA (links fora de ibm.com).
Por que a verificação de vulnerabilidades é importante
Infelizmente, embora as vulnerabilidades sejam completamente documentadas depois de descobertas, hackers e outros agentes de ameaças geralmente as encontram primeiro, permitindo que peguem as organizações de surpresa.
Para adotar uma postura de segurança mais proativa diante dessas ameaças cibernéticas, as equipes de TI implementam programas de gerenciamento de vulnerabilidades. Esses programas seguem um processo contínuo para identificar e resolver riscos de segurança antes que os hackers possam explorá-los. As varreduras de vulnerabilidades são tipicamente o primeiro passo no processo de gerenciamento de vulnerabilidades, descobrindo as fraquezas de segurança que as equipes de TI e segurança precisam resolver.
Muitas equipes de segurança também usam verificações de vulnerabilidade para
Validar medidas e controles de segurança—depois de implementar novos controles, as equipes geralmente realizam outra varredura. Essa varredura confirma se as vulnerabilidades identificadas foram corrigidas. Ela também confirma que os esforços de remediação não introduziram novos problemas.
Manter a conformidade regulatória—algumas regulamentações exigem explicitamente varreduras de vulnerabilidades. Por exemplo, o Payment Card Industry Data Security Standard (PCI-DSS) exige que organizações que lidam com dados de titulares de cartões realizem varreduras trimestrais (link fora de ibm.com).
Como funciona o processo de verificação de vulnerabilidades
Entre aplicativos na nuvem e no local, dispositivos móveis e IoT, notebooks e outros endpoints tradicionais, as redes corporativas modernas contêm muitos ativos para verificações manuais de vulnerabilidades. Em vez disso, as equipes de segurança usam verificadores de vulnerabilidade para realizar verificações automatizadas de forma recorrente.
Identificação de vulnerabilidades
Para encontrar vulnerabilidades potenciais, os verificadores primeiro coletam informações sobre os ativos de TI. Alguns verificadores usam agentes instalados em endpoints para coletar dados em dispositivos e no software em execução neles. Outros verificadores examinam os sistemas do lado de fora, sondando portas abertas para descobrir detalhes sobre configurações de dispositivos e serviços ativos. Alguns verificadores fazem testes mais dinâmicos, como tentar fazer login em um dispositivo usando credenciais padrão.
Após a varredura dos ativos, o scanner os compara a um banco de dados de vulnerabilidades. Esse banco de dados registra vulnerabilidades e exposições comuns (CVEs) para várias versões de hardware e software. Alguns scanners dependem de fontes públicas como os bancos de dados do NIST e da CISA; outros usam bancos de dados proprietários.
O scanner verifica se cada ativo mostra algum sinal das falhas associadas a ele. Por exemplo, ele procura por problemas como um bug no protocolo de área de trabalho remota em um sistema operacional. Esse bug poderia permitir que hackers assumissem o controle do dispositivo. Scanners também podem verificar as configurações de um ativo em comparação com uma lista de melhores práticas de segurança, como garantir que critérios de autenticação adequadamente rígidos estejam em vigor para um banco de dados sensível.
Priorização e geração de relatórios
Em seguida, o verificador compila um relatório sobre as vulnerabilidades identificadas para a equipe de segurança analisar. Os relatórios mais básicos simplesmente listam todos os problemas de segurança que precisam ser resolvidos. Alguns verificadores podem fornecer explicações detalhadas e comparar os resultados da verificação com verificações anteriores para rastrear o gerenciamento de vulnerabilidades ao longo do tempo.
Scanners mais avançados também priorizam vulnerabilidades com base em criticidade. Scanners podem usar inteligência de ameaças de código aberto, como pontuações do Common Vulnerability Scoring System (CVSS), para julgar a criticidade de uma falha. Alternativamente, eles podem usar algoritmos mais complexos que consideram a falha no contexto único da organização. Esses scanners também podem recomendar métodos de remediação e mitigação para cada falha.
Agendamento de verificações
Os riscos à segurança de uma rede mudam à medida que novos ativos são adicionados e novas vulnerabilidades são descobertas na natureza. No entanto, cada verificação de vulnerabilidade só pode capturar um momento no tempo. Para acompanhar a evolução do cenário de ameaças cibernéticas, as organizações realizam verificações regularmente.
A maioria das varreduras de vulnerabilidades não examina todos os ativos da rede de uma só vez porque é intensivo em recursos e tempo. Em vez disso, as equipes de segurança frequentemente agrupam os ativos de acordo com a criticidade e os escaneiam em lotes. Os ativos mais críticos podem ser escaneados semanalmente ou mensalmente, enquanto ativos menos críticos podem ser escaneados trimestralmente ou anualmente.
As equipes de segurança também podem executar verificações sempre que ocorrerem grandes alterações na rede, como a adição de novos servidores da Web ou a criação de um novo banco de dados confidencial.
Alguns scanners de vulnerabilidades avançados oferecem varredura contínua. Essas ferramentas monitoram ativos em tempo real e sinalizam novas vulnerabilidades quando elas surgem. No entanto, a varredura contínua nem sempre é viável ou desejável. Varreduras de vulnerabilidades mais intensivas podem interferir no desempenho da rede, então algumas equipes de TI podem preferir realizar varreduras periódicas.
Existem muitos tipos diferentes de verificadores, e as equipes de segurança muitas vezes usam uma combinação de ferramentas para obter uma visão abrangente das vulnerabilidades da rede.
Alguns verificadores se concentram em tipos específicos de ativos. Por exemplo, os verificadores de nuvem se concentram em serviços de nuvem, enquanto as ferramentas de verificação de aplicativos da web procuram falhas em aplicativos da web.
Scanners podem ser instalados localmente ou fornecidos como aplicativos de software como serviço (SaaS). Scanners de vulnerabilidades de código aberto e ferramentas pagas são comuns. Algumas organizações terceirizam completamente a varredura de vulnerabilidades para provedores de serviços terceirizados.
Enquanto scanners de vulnerabilidades estão disponíveis como soluções independentes, os fornecedores cada vez mais os oferecem como parte de pacotes holísticos de gerenciamento de vulnerabilidades. Essas ferramentas combinam vários tipos de scanners com gerenciamento de superfície de ataque, gerenciamento de ativos, gerenciamento de patches e outras funções fundamentais em uma solução única.
Muitos scanners suportam integrações com outras ferramentas de cibersegurança, como sistemas de gerenciamento de informações e eventos de segurança (SIEM) e ferramentas de detecção e resposta de endpoints (EDR).
As equipes de segurança podem executar diferentes tipos de verificações, dependendo de suas necessidades. Alguns dos tipos mais comuns de verificações de vulnerabilidades incluem:
As verificações de vulnerabilidades externas examinam a rede de fora. Eles se concentram em falhas em ativos voltados para a Internet, como apps da Web e controles de perímetro de teste, como firewalls. Essas verificações mostram como um hacker externo pode invadir uma rede.
Varreduras de vulnerabilidades internas examinam vulnerabilidades a partir do interior da rede. Elas esclarecem o que um hacker poderia fazer se conseguisse entrar, incluindo como ele poderia se mover lateralmente e as informações sensíveis que poderia roubar em uma violação de dados.
Varreduras autenticadas, também chamadas de "varreduras credenciadas", requerem os privilégios de acesso de um usuário autorizado. Em vez de apenas olhar um aplicativo de fora, o scanner pode ver o que um usuário logado veria. Essas varreduras ilustram o que um hacker poderia fazer com uma conta sequestrada ou como um agente interno poderia causar danos.
As verificações não autenticadas, também chamadas de verificações não credenciadas ", " não têm permissões ou privilégios de acesso. Eles só veem os ativos do ponto de vista de alguém de fora. As equipes de segurança podem executar verificações internas e externas não autenticados.
Embora cada tipo de verificação tenha seus próprios casos de uso, há alguma sobreposição e eles podem ser combinados para atender a diferentes fins. Por exemplo, uma verificação interna autenticada mostraria a perspectiva de uma ameaça interna. Em contraste, uma verificação interna não autenticada mostraria o que um hacker desonesto veria se ultrapassasse o perímetro da rede.
Verificação de vulnerabilidades vs. testes de penetração
A verificação de vulnerabilidades e o teste de penetração são formas distintas, mas relacionadas, de testes de segurança de rede. Embora tenham funções diferentes, muitas equipes de segurança as usam para complementar umas às outras.
As verificações de vulnerabilidade são verificações automatizadas e de alto nível dos ativos. Eles encontram falhas e as relatam à equipe de segurança. O teste de penetração, ou teste de caneta, é um processo manual. Os testadores de penetração usam skill de hacking ético não apenas para encontrar vulnerabilidades de rede, mas também para explorá-las em ataques simulados.
As verificações de vulnerabilidades são mais baratas e fáceis de executar, portanto, as equipes de segurança as usam para acompanhar um sistema. Os testes de penetração exigem mais recursos, mas podem ajudar as equipes de segurança a entender melhor suas falhas de rede.
Usados em conjunto, as verificações de vulnerabilidades e os pen tests podem tornar o gerenciamento de vulnerabilidades mais eficaz. Por exemplo, as verificações de vulnerabilidades oferecem aos testadores de caneta um ponto de partida útil. Enquanto isso, os testes de penetração podem adicionar mais contexto aos resultados da verificação, descobrindo falsos positivos, identificando as causas raiz e explorando como os cibercriminosos podem agrupar vulnerabilidades em ataques mais complexos.
Soluções relacionadas
Melhore significativamente as taxas de detecção e acelere o tempo para detectar e investigar ameaças.
Adote um programa de gestão de vulnerabilidades que identifica, prioriza e gerencia a correção de falhas que podem expor seus ativos mais importantes.
Identifique ameaças em minutos. Alcance maior eficiência e simplifique as operações com fluxos de trabalho integrados.
Simplifique e otimize o gerenciamento de aplicativos e as operações de tecnologia com insights generativos orientados por IA.
Recursos
Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
Leia como a caça a ameaças identifica proativamente ameaças previamente desconhecidas ou em andamento, não remediadas, dentro da rede de uma organização.
Conheça a ameaça para vencê-la — obtenha insights acionáveis que ajudam você a entender como os agentes de ameaças estão realizando ataques e como proteger proativamente sua organização.
