Publicado em: 15 de dezembro de 2023
Colaboradores: Matt Kosinski, Amber Forrest
A verificação de vulnerabilidades, também chamada de "avaliação de vulnerabilidades", é o processo de avaliação de redes ou ativos de TI para vulnerabilidades de segurança — falhas ou fraquezas que os atores de ameaças externos ou internos podem explorar. A verificação de vulnerabilidades é o primeiro estágio do ciclo de vida mais amplo de gerenciamento de vulnerabilidades.
Na maioria das organizações atualmente, as verificações de vulnerabilidade são totalmente automatizadas. Eles são realizados por ferramentas especializadas de verificação de vulnerabilidades que encontram e sinalizam falhas para a equipe de segurança analisar.
A exploração de vulnerabilidades é o segundo vetor cyberattack mais comum atrás de phishing, de acordo com o X-Force Threat Intelligence Index da IBM. A verificação de vulnerabilidades ajuda as organizações a detectar e fechar fraquezas de segurança antes que os cibercriminosos possam armá-las. Por esse motivo, o Center for Internet Security (CIS) (link reside fora de ibm.com) considera o gerenciamento contínuo de vulnerabilidades, incluindo a verificação automatizada de vulnerabilidades, uma prática crítica de cibersegurança.
Uma vulnerabilidade de segurança é qualquer fraqueza na estrutura, função ou implementação de um ativo de TI ou rede que hackers ou outros agentes de ameaças possam explorar para obter acesso não autorizado e causar danos à rede, aos usuários ou à empresa. As vulnerabilidades comuns incluem:
- Falhas de codificação, como aplicativos da web suscetíveis a scripts entre sites, injeção SQL e outros ataques de injeção devido à forma como lidam com as entradas do usuário.
- Portas abertas desprotegidas em servidores, notebooks e outros endpoints, que os hackers podem usar para espalhar malware.
- Configurações incorretas, como um bucket de armazenamento em nuvem que expõe dados confidenciais à Internet pública porque tem permissões de acesso inadequadas .
- Patches ausentes, senhas fracas ou outras deficiências na higiene da cibersegurança.
Milhares de novas vulnerabilidades são descobertas todos os meses. Dois órgãos do governo dos Estados Unidos mantêm catálogos pesquisáveis de vulnerabilidades de segurança conhecidas - o National Institute of Standards and Technologies, ou NIST, e a Cybersecurity and Infrastructure Security Agency, ou CISA (os links estão fora do ibm.com).
Infelizmente, embora as vulnerabilidades sejam completamente documentadas depois de descobertas, hackers e outros agentes de ameaças geralmente as encontram primeiro, permitindo que peguem as organizações de surpresa.
Para adotar uma postura de segurança mais proativa face a estas ameaças cibernéticas, as equipas de TI implementam programas de gestão de vulnerabilidades . Esses programas seguem um processo contínuo para identificar e resolver riscos de segurança antes que os hackers possam explorá-los. As verificações de vulnerabilidades são normalmente a primeira etapa no processo de gerenciamento de vulnerabilidades, revelando os pontos fracos de segurança que as equipes de TI e de segurança precisam resolver.
Muitas equipes de segurança também usam verificações de vulnerabilidade para
Valide medidas e controles de segurança — depois de implementar novos controles, as equipes geralmente executam outra verificação para confirmar que as vulnerabilidades identificadas foram fechadas e que os esforços de correção não introduziram novos problemas.
Mantenha a conformidade normativa — algumas regulamentações exigem explicitamente verificações de vulnerabilidade. Por exemplo, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) exige que as organizações que lidam com os dados dos titulares de cartão verificam trimestralmente (link reside fora de ibm.com).
Entre aplicativos na nuvem e no local, dispositivos móveis e IoT, notebooks e outros endpoints tradicionais, as redes corporativas modernas contêm muitos ativos para verificações manuais de vulnerabilidades. Em vez disso, as equipes de segurança usam verificadores de vulnerabilidade para realizar verificações automatizadas de forma recorrente.
Para encontrar vulnerabilidades potenciais, os verificadores primeiro coletam informações sobre os ativos de TI. Alguns verificadores usam agentes instalados em endpoints para coletar dados em dispositivos e no software em execução neles. Outros verificadores examinam os sistemas do lado de fora, sondando portas abertas para descobrir detalhes sobre configurações de dispositivos e serviços ativos. Alguns verificadores fazem testes mais dinâmicos, como tentar fazer login em um dispositivo usando credenciais padrão.
Depois que um verificador obtém o estoque dos ativos, ele os compara a um banco de dados de vulnerabilidades que registra vulnerabilidades e exposições comuns (CVEs) para várias versões de hardware e software. Alguns verificadores dependem de fontes públicas como os bancos de dados NIST e CISA; outros usam bancos de dados proprietários.
O verificador verifica se cada ativo mostra quaisquer sinais de falhas associadas a ele, como um sistema operacional conhecido por ter um bug de protocolo de desktop remoto que permite que hackers assumam o controle do dispositivo. Os verificadores também podem verificar as configurações de um ativo em relação a uma lista de práticas de segurança recomendadas, como garantir que os critérios de autenticação rigorosos estejam em vigor para um banco de dados sensível.
Em seguida, o verificador compila um relatório sobre as vulnerabilidades identificadas para a equipe de segurança analisar. Os relatórios mais básicos simplesmente listam todos os problemas de segurança que precisam ser resolvidos. Alguns verificadores podem fornecer explicações detalhadas e comparar os resultados da verificação com verificações anteriores para rastrear o gerenciamento de vulnerabilidades ao longo do tempo.
Verificadores mais avançados também priorizam vulnerabilidades com base na criticidade. Os verificadores podem usar inteligência de ameaças de código aberto, como as pontuações do Common Vulnerability Scoring System (CVSS), para avaliar a importância de uma falha ou usar algoritmos mais complexos que consideram a falha no contexto exclusivo da organização. Esses verificadores também podem recomendar métodos de correção e mitigação para cada falha.
Os riscos à segurança de uma rede mudam à medida que novos ativos são adicionados e novas vulnerabilidades são descobertas na natureza. No entanto, cada verificação de vulnerabilidade só pode capturar um momento no tempo. Para acompanhar a evolução do cenário de ameaças cibernéticas, as organizações realizam verificações regularmente.
A maioria das verificações de vulnerabilidade não analisa todos os ativos de rede de uma só vez, pois isso consumiria recursos e tempo. Em vez disso, as equipes de segurança muitas vezes agrupam ativos de acordo com a criticidade e os verificam em lotes. Os ativos mais críticos podem ser verificados semanalmente ou mensalmente, enquanto os ativos menos críticos podem ser verificados trimestralmente ou anualmente.
As equipes de segurança também podem executar verificações sempre que ocorrerem grandes alterações na rede, como a adição de novos servidores da Web ou a criação de um novo banco de dados confidencial.
Alguns verificadores de vulnerabilidade avançados oferecem verificação contínua. Essas ferramentas monitoram ativos em tempo real e sinalizam novas vulnerabilidades assim que elas surgem. No entanto, a digitalização contínua nem sempre é viável ou desejável. verificações de vulnerabilidades mais intensivas podem interferir no desempenho da rede, portanto, algumas equipes de TI podem preferir realizar verificações periódicas.
Existem muitos tipos diferentes de verificadores, e as equipes de segurança muitas vezes usam uma combinação de ferramentas para obter uma visão abrangente das vulnerabilidades da rede.
Alguns verificadores se concentram em tipos específicos de ativos. Por exemplo, os verificadores de nuvem se concentram em serviços de nuvem, enquanto as ferramentas de verificação de aplicativos da web procuram falhas em aplicativos da web.
Os verificadores podem ser instalados localmente ou entregues como apps software-as-a-service (SaaS). Verificadores de vulnerabilidade de código aberto e ferramentas pagas são comuns. Algumas organizações terceirizam totalmente a verificação de vulnerabilidades para provedores de serviços terceirizados.
Embora os verificadores de vulnerabilidades estejam disponíveis como soluções independentes, cada vez mais os fornecedores os oferecem como parte de conjuntos holísticos de gerenciamento de vulnerabilidades. Essas ferramentas combinam vários tipos de verificadores com gerenciamento de superfície de ataque, gerenciamento de ativos, gerenciamento de patches e outras funções importantes em uma única solução.
Muitos verificadores oferecem suporte a integrações com outras ferramentas de segurança cibernética, como sistemas de gerenciamento de eventos e informações de segurança (SIEMs) e ferramentas de detecção e resposta de endpoints (EDR).
As equipes de segurança podem executar diferentes tipos de verificações, dependendo de suas necessidades. Alguns dos tipos mais comuns de verificações de vulnerabilidades incluem:
As verificações de vulnerabilidades externas examinam a rede de fora. Eles se concentram em falhas em ativos voltados para a Internet, como apps da Web e controles de perímetro de teste, como firewalls. Essas verificações mostram como um hacker externo pode invadir uma rede.
As verificações de vulnerabilidades internas analisam as vulnerabilidades de dentro da rede. Eles esclarecem o que um hacker poderia fazer se conseguisse entrar, incluindo como ele poderia se mover lateralmente e as informações confidenciais que poderia roubar em uma violação de dados.
As verificações autenticadas, também chamadas de "verificações credenciadas", exigem os privilégios de acesso de um usuário autorizado. Em vez de apenas ver um aplicativo do lado de fora, o verificador pode ver o que um usuário conectado veria. Essas verificações ilustram o que um hacker poderia fazer com uma conta sequestrada ou como uma ameaça interna pode causar danos.
As verificações não autenticadas, também chamadas de verificações não credenciadas ", " não têm permissões ou privilégios de acesso. Eles só veem os ativos do ponto de vista de alguém de fora. As equipes de segurança podem executar verificações internas e externas não autenticados.
Embora cada tipo de verificação tenha seus próprios casos de uso, há alguma sobreposição e eles podem ser combinados para atender a diferentes fins. Por exemplo, uma verificação interna autenticada mostraria a perspectiva de uma ameaça interna. Em contraste, uma verificação interna não autenticada mostraria o que um hacker desonesto veria se ultrapassasse o perímetro da rede.
A verificação de vulnerabilidades e o teste de penetração são formas distintas, mas relacionadas, de testes de segurança de rede. Embora tenham funções diferentes, muitas equipes de segurança as usam para complementar umas às outras.
As verificações de vulnerabilidade são verificações automatizadas e de alto nível dos ativos. Eles encontram falhas e as relatam à equipe de segurança. O teste de penetração, ou teste de caneta, é um processo manual. Os testadores de penetração usam skill de hacking ético não apenas para encontrar vulnerabilidades de rede, mas também para explorá-las em ataques simulados.
As verificações de vulnerabilidades são mais baratas e fáceis de executar, portanto, as equipes de segurança as usam para acompanhar um sistema. Os testes de penetração exigem mais recursos, mas podem ajudar as equipes de segurança a entender melhor suas falhas de rede.
Usados em conjunto, as verificações de vulnerabilidades e os pen tests podem tornar o gerenciamento de vulnerabilidades mais eficaz. Por exemplo, as verificações de vulnerabilidades oferecem aos testadores de caneta um ponto de partida útil. Enquanto isso, os testes de penetração podem adicionar mais contexto aos resultados da verificação, descobrindo falsos positivos, identificando as causas raiz e explorando como os cibercriminosos podem agrupar vulnerabilidades em ataques mais complexos.
Melhore significativamente as taxas de detecção e acelere o tempo para detectar e investigar ameaças
Adote um programa de gestão de vulnerabilidades que identifica, prioriza e gerencia a correção de falhas que podem expor seus ativos mais importantes.
Identifique ameaças em minutos. Obtenha maior eficiência e operações simples com fluxos de trabalho integrados.
Prepare-se melhor para conter as violações entendendo as causas e os fatores que aumentam ou reduzem os custos que elas geram. Aprenda com as experiências de mais de 550 organizações que tiveram seus dados violados.
A caça a ameaças é uma abordagem proativa para identificar ameaças desconhecidas anteriormente ou contínuas não mediadas na rede de uma organização.
Conheça a ameaça para vencê-la — obtenha insights acionáveis que ajudam você a entender como os agentes de ameaças estão realizando ataques e como proteger proativamente sua organização.