Os Hackers Exploram Apenas 5,5% de Todas as Vulnerabilidades de Segurança, mas isso não é uma Boa Notícia

Como você lida com as vulnerabilidades de segurança? Bem, para usuários individuais, as coisas não devem ser muito difíceis. Na verdade, na maioria das vezes, tudo o que eles precisam fazer é ativar as atualizações automáticas para seus aplicativos e ferramentas de software. Isso garante que os patches de segurança sejam aplicados de maneira rápida e eficiente. Quando a infraestrutura de TI de uma organização está em jogo, no entanto, as coisas são muito mais complicadas.

Os administradores de sistemas têm algumas coisas em que pensar antes de poderem aplicar um patch de segurança. Por exemplo, poderíamos estar falando sobre centenas de funcionários que podem ser forçados a parar de fazer o que estão fazendo para ter a atualização instalada. O tempo de inatividade em potencial é um problema grande o suficiente, mas pode ser ainda pior.

Em um ambiente corporativo, o funcionamento correto de um sistema inteiro é frequentemente dependente de vários componentes separados trabalhando juntos e, como resultado, uma atualização para um desses componentes poderia reduzir toda a infraestrutura. O resultado é que aplicar um único patch é muito trabalho duro. Considere quantas brechas de segurança estão conectadas todos os dias e você verá rapidamente qual é o tamanho do problema.

Priorizando os patches de segurança - um grande desafio

A instalação de cada atualização de segurança em uma infraestrutura corporativa não é realmente viável na maioria dos casos e, às vezes, pode causar mais danos do que benefícios. As empresas precisam ter uma boa estratégia quando se trata de aplicar patches. Dedicar mais recursos para preencher as lacunas de segurança que representam o perigo maior e concentrar-se menos naqueles que provavelmente não causarão muitos danos é muito importante. Mas como um administrador de sistema pode avaliar todas as diferentes vulnerabilidades e decidir quais precisam ser corrigidas imediatamente e quais podem esperar?

Jay Jacobs, do Instituto Cyentia, Sasha Romanovsky, da RAND Corporation, e Idris Adjerid e Wade Baker, da Virginia Tech, fizeram a mesma pergunta. Eles se uniram à Kenna Security, uma empresa de gerenciamento de vulnerabilidades e ameaças, eles coletaram uma grande quantidade de dados do mundo real de várias fontes diferentes e começaram a tentar descobrir quais problemas de segurança conhecidos são mais prováveis de serem explorados na natureza. Sua pesquisa foi apresentada na semana passada no Workshop sobre Economia da Segurança da Informação em Boston.

Como os ciber-criminosos escolhem vulnerabilidades para explorar

A divulgação pública de vulnerabilidades de segurança cibernética, mesmo após o lançamento de um patch, muitas vezes causa controvérsia. Alguns argumentam que nem todos irão aplicar a correção e que os hackers saberão disso. Às vezes, juntamente com informações sobre a vulnerabilidade, os pesquisadores também publicam código de prova de conceito (PoC) que pode explorá-lo ativamente, o que, muitas pessoas dizem, torna o trabalho dos invasores ainda mais fácil.

Você provavelmente pode ver a lógica nesse argumento. Na prática, no entanto, as coisas são um pouco diferentes. Apenas metade de todas as vulnerabilidades que foram ativamente exploradas na natureza tinham o código PoC publicamente disponível. Com o resto, os hackers tinham que descobrir uma maneira de se aproveitar deles por conta própria. Em outras palavras, por mais desconcertante que possa parecer, a presença do código PoC em um site de acesso livre não tem relação com a probabilidade de exploração. Algumas das outras descobertas dos pesquisadores não foram tão surpreendentes.

Além de um código CVE exclusivo, toda e qualquer vulnerabilidade de segurança descoberta recebe sua pontuação CVSS. CVSS significa Common Vulnerability Scoring System, e é basicamente uma forma de dizer quão perigosa uma falha de segurança pode ser. Os especialistas descobriram que quanto maior a pontuação do CVSS da vulnerabilidade, maior a probabilidade de ser explorada.

Mas quão popular é a exploração de vulnerabilidades?

Uma em cada vinte vulnerabilidades é explorada em estado selvagem

A exploração de vulnerabilidades é apenas um dos vetores de ataque que os hackers usam e, aparentemente, não é o mais popular. Pouco mais de 5% das vulnerabilidades examinadas pelos pesquisadores foram ativamente aproveitadas na natureza. Embora pesquisas anteriores tenham mostrado um número ainda menor, o white paper atual é baseado em um conjunto de dados muito maior, o que significa que os resultados devem ser mais confiáveis.

5% não parece muito, mas quando você dá uma olhada nos números reais, você verá que o problema está longe de ser insignificante. Aproximadamente 76 mil vulnerabilidades receberam registros CVE entre 2009 e 2018, o que significa que o número de buracos que foram explorados no mundo real está em pouco menos de 4.200.

Em outras palavras, administradores de sistemas em todo o mundo podem acabar com muitos problemas se ignorarem os patches de segurança. Infelizmente, embora a pontuação do CVSS possa atuar como um indicador, não há algoritmo que possa dizer com segurança quais vulnerabilidades têm maior probabilidade de serem exploradas e, no final, tudo deve se resumir ao modelo de ameaça individual. Os administradores de sistemas que não montaram sua estratégia de gerenciamento de vulnerabilidades devem continuar e começar a fazer isso com urgência.