Como empresa com grande foco na segurança dos clientes, vulnerabilidades e exposições comuns (CVEs) são um problema para nós, mas não pelo motivo que você imagina.
Embora as equipes de TI e segurança não gostem de CVEs por causa da ameaça que representam e da montanha de trabalho de correção que criam para eles, o que me incomoda é a maneira como nossos procedimentos de segurança modernos se relacionam com os CVEs. Nossas estratégias de mitigação tornaram-se muito focadas no “gerenciamento de vulnerabilidades” e são muito centradas em CVE, quando o que realmente precisamos é uma abordagem centrada em hackers para reduzir efetivamente nossa exposição.
O gerenciamento de vulnerabilidades como uma estratégia primária não funciona realmente. De acordo com o Instituto Nacional de Padrões e Tecnologia, 20.158 novas vulnerabilidades foram descobertas somente em 2021. Isso representou o quinto ano consecutivo de números recordes para descoberta de vulnerabilidades, e parece que 2022 pode muito bem continuar a tendência. As equipes de segurança não podem corrigir razoavelmente 20.000 novas vulnerabilidades por ano e, mesmo que pudessem, não deveriam.
Isso pode parecer contra-intuitivo, mas existem algumas razões pelas quais não é. A primeira é que pesquisas recentes revelam que apenas cerca de 15% das vulnerabilidades são realmente exploráveis e, portanto, corrigir todas as vulnerabilidades não é um uso eficaz do tempo para equipes de segurança que não têm escassez de tarefas. A segunda e igualmente importante razão é que, mesmo se você corrigisse continuamente 100% dos CVEs em sua rede, isso provavelmente ainda não seria eficaz em parar os hackers.
As estratégias de hackers são vastas e variadas
Phishing, spear-phishing, níveis variados de engenharia social, credenciais vazadas, credenciais padrão, acesso não autenticado usando interfaces padrão (FTP, SMB, HTTP, etc.), hotspots acessíveis sem senhas, envenenamento de rede, quebra de senhas — a lista de estratégias que os hackers estão empregando é vasto e variado, e muitos nem mesmo exigem um CVE de alto nível, ou qualquer CVE, para ser perigoso para uma organização. A recente violação do Uber é um excelente exemplo de como os hackers exploraram uma organização sem utilizar os CVEs mais recentes ou métodos de ataque excessivamente complicados para atingir organizações.
Dependendo se você acredita no que o hacker alegou no canal Slack do Uber ou nos comentários recentes do Uber, o hacker era um jovem de 18 anos que exfiltrava dados de um funcionário do Uber por meio de um ataque inteligente de engenharia social/spear-phishing ou o trabalho do grupo de hackers sul-americano Lapsus$, que executou um ataque de spear phishing, utilizando as credenciais vazadas de um contratado terceirizado obtidas da Dark Web. Em qualquer um dos cenários, não houve codificação complicada ou exploração de vulnerabilidades aqui. Em vez disso, foi uma variação de uma tática da velha escola que é testada e comprovada.
Não é a vulnerabilidade, mas o vetor que importa
Não quero que ninguém tenha uma ideia errada. A aplicação de patches é muito importante; é uma parte crítica de uma postura de segurança forte e um componente crucial de toda estratégia de segurança. O problema é que muitas ferramentas hoje priorizam recomendações de remediação com base apenas nas pontuações do Common Vulnerability Scoring System (CVSS), e o que se perde é o contexto organizacional; a compreensão de como separar os 15% significativos de vulnerabilidades dos outros 85%.
Como um testador de penetração experiente nas Forças de Defesa de Israel e vice-presidente de pesquisa, liderando uma equipe de ex-testers e red teamers na Pentera, o que aprendi é que não é a vulnerabilidade, mas o vetor que importa. Só porque seu ataque não começa com uma grande vulnerabilidade não significa que não terminará com uma. A vulnerabilidade mais perigosa para sua organização pode ser uma pontuação CVSS de 5,7/10 oculta na parte inferior de uma lista de falsos positivos de alta pontuação.
Credenciais vazadas são uma ameaça maior
As credenciais vazadas provavelmente representam uma ameaça muito maior para a organização média do que a próxima dúzia de CVEs a serem anunciados combinados, mas muitas organizações não têm protocolo para descobrir se alguma de suas credenciais está flutuando nas partes mais escuras da Web. Agimos como se os hackers fossem passar incontáveis horas desenvolvendo novos CVEs, enquanto na verdade eles estão apenas procurando a maneira mais eficiente de acessar nossas redes. Muitos dos hackers e grupos de hackers de hoje são motivados financeiramente e, como qualquer organização, desejam o melhor ROI para seu tempo. Por que gastar tempo executando um ataque complicado quando você pode simplesmente comprar ou raspar as credenciais?
No momento, nossas defesas não estão funcionando e nós, como profissionais de segurança, precisamos reexaminar onde estão os pontos fracos. Embora o gerenciamento de vulnerabilidades seja definitivamente uma parte essencial de qualquer estratégia de segurança significativa, precisamos nos afastar dele como uma metodologia primária. Em vez disso, precisamos dar uma boa olhada nas estratégias que os hackers estão utilizando e basear nossas estratégias de segurança em como detê-los. Se queremos que nossa segurança seja realmente eficaz para reduzir nossa exposição, nossas estratégias devem se concentrar em entender as técnicas e metodologias do mundo real que os hackers estão usando para nos explorar.
Texto original de Alex Spivakovsky
Fonte: DarkReading
