Em 2020 tivemos nada mais nada menos do que 18.358 novos CVEs (Common Vulnerabilities and Exposures) publicados! Como se não bastasse o cenário insólito em que estamos vivendo há um ano, o mundo da segurança cibernética tem sido particularmente desafiador. E com riscos também digitais ainda maiores por conta da Covid-19.
O relatório “2020 Threat Landscape Retrospective”, da Tenable (parceira da Scunna e líder global em vulnerability and risk management), publicado recentemente, consolida informações e chega a conclusões interessantes. Seguem algumas pinceladas.
A expressão “last but not least” se encaixou perfeita e infelizmente no apagar das luzes de 2020. Em dezembro o hacking do SolarWinds assombrou o mundo. Há mais de três décadas somos catequizados a manter softwares atualizados. Sabemos que updates estão entre as medidas mais importantes do ponto de vista de segurança. Mas daí, como se o mundo já não estivesse suficientemente de ponta-cabeça em se tratando de infraestrutura crítica, a brecha no software de gerenciamento comprometeu a rede Orion, plataforma amplamente utilizada por agências governamentais dos EUA e por empresas da Fortune 500, justamente com código malicioso furtivamente inserido onde? Em atualizações do SolarWinds! Estima-se que atualizações comprometidas tenham sido baixadas por cerca de 18 mil organizações.
Mas o issue #1 apontado pelo estudo da Tenable foi o Zerologon, uma vulnerabilidade na criptografia do processo Netlogon da Microsoft que permite um ataque contra o Active Directory, elevando privilégios e concedendo ao atacante a capacidade de redefinir a senha e obter acesso aos controladores de domínio da rede. Outra arrasa-quarteirão, que praticamente abriu os trabalhos em 2020 e causou grandes impactos também aqui por terras brasileiras foi a vulnerabilidades do ADC (Application Delivery Controller) da Citrix. “Servidores Citrix sob ataque” foi, infelizmente, uma expressão comum ao longo do ano passado.
E, de uma forma ainda mais cruel, em um ano em que a força de trabalho remota colocou mais ênfase na importância das VPNs, adivinhe onde se situaram três das top 5 vulnerabilidades de 2020? Exatamente! Em tecnologias de VPN. Podendo ser exploradas de forma conjunta com a vulnerabilidade da Citrix, problemas em VPN da SonicWall e da Fortinet formaram um cenário aterrador.
A lista das dores de cabeça de 2020 claro, não parou por aí. O levantamento da Tenable dá conta de 730 breaches, resultando em mais de 22 bilhões de registros expostos, sem mencionar os danos incalculáveis à reputação e à confiança das empresas. A área de Saúde foi a mais atingida, representando quase 1/4 dos vazamentos; seguida pela própria indústria de Tecnologia (15,5%) e por Educação (13,0%).
A grande maioria dos casos (46,6%) teve como causa raiz episódios de ransomware.
Em conversa com Arthur Capella, Country Manager Brasil da Tenable, ele declarou que “foi verificado que a maior parte das vulnerabilidades exploradas ao longo de 2020 já tinham patches disponíveis há meses. Essa situação mostra a importância da implementação de um programa de gestão de vulnerabilidades com processos bem definidos, priorizando as vulnerabilidades mais críticas, que apresentam mais risco ao negócio. Nesse contexto, cada vez mais vejo as empresas fazendo parcerias com SOCs (Centros de Operação de Segurança) para auxiliá-las na implementação e manutenção deste programa”.
E sobre 2021? Bem… o ano mal iniciou e as coisas estão bastante agitadas aqui no Brasil, com já alguns casos de megavazamentos (breaches de mais de 100 milhões registros) reportados.
É por todos estes motivos [e vários outros] que o SOC de sua empresa deve prover uma disciplina de Vulnerability Management cujos entregáveis tragam uma abordagem de risco baseada em critérios de priorização, com uma visão qualitativa (do risco), e não apenas quantitativa (score das vulnerabilidades).
Afinal de contas, em uma faixa de 18 mil vulnerabilidades por ano… se tudo é prioridade, nada pode ser priorizado!
Garanta que a sua estratégia de segurança tenha foco não apenas nas vulnerabilidades técnicas (nos CVEs) em si, mas sim no Risco para o Negócio, levando em consideração a relevância de cada asset dentro de sua organização. Essa abordagem vai permitir a interlocução da SI/TI junto a todas as áreas da empresa, priorizando esforços, garantindo a alocação eficiente do budget e, desta forma, mitigando os principais riscos digitais do seu business.
- Ricardo Dastis é Sócio-Diretor de Professional Services na Scunna.