Examinar vulnerabilidades

Um guia de ação para a identificação e a priorização de vulnerabilidades

Verificar e identificar riscos são partes integrais das regras de segurança de qualquer empresa. Assim que identificar quais vulnerabilidades estão presentes em seu ambiente, você conseguirá corrigi-las para reduzir o perfil de risco de sua empresa.
Um guia de ação para a identificação e a priorização de vulnerabilidades

Verificar e identificar riscos são partes integrais das regras de segurança de qualquer empresa. No entanto, antes de identificar os riscos na sua empresa, é preciso identificar quais tecnologias e serviços estão em uso. Ter um inventário de serviços e ativos possibilitará que sua equipe de segurança identifique quais necessidades devem ser verificadas ou quais devem ser testadas.  

Em primeiro lugar, considere algumas perguntas básicas:

  • A minha empresa trabalha em um ambiente de nuvem pública (por exemplo, AWS, GCP)?
  • Qual fornecedor ou software e produtos de código aberto usamos?
  • Quais sistemas operacionais usamos?

Assim que essas perguntas (e muitas outras) forem respondidas, você poderá escolher as ferramentas certas para seu trabalho. 

Verificar vulnerabilidades

Os verificadores de vulnerabilidade são ferramentas que auxiliam na identificação de vulnerabilidades em componentes como aplicativos, infraestrutura e redes por meio de verificações automatizadas. Cada ativo é verificado quanto a possíveis vulnerabilidades, como o uso de um componente que tem um CVE associado, um arquivo inesperado sendo exposto na Internet ou o uso de credenciais padrão. Alguns verificadores possibilitam que o usuário configure um conjunto de regras que ajudam a definir o limite da verificação e o tipo de verificação a ser executada.

Há dois métodos primários para a realização de verificações: verificações com credenciais e sem credenciais.

As verificações com credenciais envolvem um exame abrangente no ambiente. Nessa abordagem, as ferramentas de verificação contam com acesso privilegiado por uma conta de serviço ou um agente instalado no ativo que será explorado quanto a vulnerabilidades no ambiente. Ao conduzir um exame completo do ativo, as verificações com credencial descobrem vulnerabilidades e configurações fracas.

Por outro lado, as verificações sem credenciais não exigem credenciais para acesso ao ativo a ser verificado. Em comparação com as verificações com credencial, as verificações sem credencial proporcionam descobertas menos detalhadas, pois o verificador não tem uma visão abrangente do ambiente. Normalmente, essas verificações são usadas por invasores, pesquisadores e testadores de invasão para obter um entendimento sobre os riscos externos ocasionados por um ativo.

Ao usar verificações com e sem credencial, as organizações podem obter percepções valiosas sobre as vulnerabilidades em seus ambientes, possibilitando decisões mais informadas para aprimorar as medidas de segurança.

Embora os resultados de uma verificação de vulnerabilidade ofereçam informações úteis e forneçam posturas de segurança de alto nível do sistema, um teste de invasão inclui uma análise completa dos riscos de segurança no ambiente.

Teste de invasão

Outra abordagem efetiva para identificar vulnerabilidades no ambiente é executar um teste de invasão. Nesse processo, um engenheiro de segurança faz um ataque contra o sistema para descobrir a vulnerabilidade e os potenciais pontos de exploração. Para criar um cenário realista de ataque cibernético, a pessoa que faz o teste pode até mesmo simular táticas, técnicas e procedimentos (TTPs) usados por invasores reais. 

Normalmente, as empresas contratam alguém de fora para fazer o teste de invasão, pois os melhores resultados são obtidos quando o teste é feito por alguém que não conhece o ambiente.

Esse método é conhecido como teste de invasão externo. Entretanto, atualmente há mais empresas que contam com equipes próprias de segurança ofensiva para fazer um teste de invasão interno. Os testes de invasão interno e externo são muito úteis, pois seus dois casos de uso abrangem um invasor dentro e fora da rede, respectivamente.

Um teste de invasão é composto por sete etapas principais:

  1. Pré-engajamento
  2. Reunião de reconhecimento ou inteligência de código aberto (OSINT)
  3. Verificação ou descoberta
  4. Avaliação de vulnerabilidade (obtenção de acesso)
  5. Exploração (manutenção do acesso)
  6. Pós-exploração, relatório e análise de risco
  7. Correção

Após a conclusão do teste, um relatório é gerado com todas as vulnerabilidades encontradas, juntamente com a avaliação de risco e os detalhes da correção. Isso ajuda as organizações a abordar os problemas e fortalecer a segurança no ambiente.

Priorização das descobertas

Assim que você identificar quais vulnerabilidades estão presentes em seu ambiente por meio da verificação automatizada e do teste de invasão, a próxima etapa será corrigir a vulnerabilidade para reduzir o perfil de risco de sua empresa. Você pode estar pensando: "tenho uma lista com milhares de vulnerabilidades, como priorizá-las"? Isso não é necessário. Embora você possa focar na classificação de vulnerabilidade fornecida pela ferramenta, é mais efetivo analisar a prioridade com base no impacto da vulnerabilidade em sua empresa. Isso exige identificar quais serviços, ambientes e produtos são mais críticos para sua empresa: É um serviço ou produto voltado ao cliente? Ele contém dados dos clientes? Ele causará perda significativa de renda se houver um tempo de inatividade?

Ao combinar o impacto na empresa com a gravidade da vulnerabilidade, você pode criar uma lista priorizada de vulnerabilidades para correção começando com os serviços e as vulnerabilidades mais críticos, o que reduzirá significativamente essa lista.

Histórias recomendadas