Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Resiliência cibernética
Illumio Editorial
3 de agosto de 2018
23 minutos. ler

Conheça a pontuação: Explicação da exposição à vulnerabilidade

Neste post, explico os diversos fatores no cálculo do Illumio Vulnerability Exposure Score (VES), que permite às organizações combinar métricas de pontuação de vulnerabilidades padrão do setor com o contexto de seu próprio ambiente exclusivo. O VES também ajuda os profissionais de segurança a priorizar os controles de segurança para minimizar a exposição da superfície de ataque e o impacto potencial das vulnerabilidades.

O que é exposição?

No contexto da cibersegurança, a exposição é normalmente definida pela "superfície de ataque". Aqui está uma definição usada pela OWASP :

A superfície de ataque descreve todos os diferentes pontos em que um invasor pode entrar em um sistema e de onde pode obter dados.

O Illumio VES está diretamente alinhado com essa definição. Simplificando, a exposição é uma tentativa de quantificar a soma dos buracos " " ou dos diferentes pontos a partir dos quais um invasor pode tentar entrar em um sistema pela rede.

Digamos, por exemplo, que você tenha um Portal de Parceiros – uma carga de trabalho que executa um aplicativo web na porta 443. Seguindo o princípio do menor privilégio, você pode limitar o acesso a esse aplicativo web a apenas três parceiros externos. Neste exemplo, a pontuação de exposição para essa aplicação é 3. Embora isso pareça óbvio, muitas vezes as organizações não têm esse nível de consciência ou visibilidade sobre sua exposição leste-oeste em cada aplicação individualmente, muito menos sobre as ramificações do conjunto dessas exposições em todo o seu ambiente.

O que é uma pontuação de vulnerabilidade?

O Illumio VES utiliza o Sistema Comum de Pontuação de Vulnerabilidades (CVSS), um padrão aberto da indústria e aceito pela comunidade, originalmente desenvolvido pelo Conselho Consultivo Nacional de Infraestrutura (NIAC). A adoção de um padrão da indústria nos permite interoperar com muitas soluções de segurança existentes, incluindo fornecedores de gerenciamento de vulnerabilidades , além de fornecer uma pontuação aceita pela mais ampla gama de profissionais de segurança.

As pontuações de vulnerabilidade são comuns na maioria das soluções de gerenciamento de vulnerabilidades e geralmente são avaliadas e atribuídas por carga de trabalho. Por exemplo, a carga de trabalho A tem cinco vulnerabilidades. A pontuação de vulnerabilidade pode ser a média combinada das pontuações CVSS desses cinco. Embora essa seja uma métrica valiosa para entender a vulnerabilidade potencial de uma única carga de trabalho isolada, ela perde alguns detalhes importantes para entender o quão realmente vulnerável essa carga de trabalho é em um ambiente ativo.

Implementando a microssegmentação para mitigar o risco associado às vulnerabilidades

Para entender o quão vulnerável algo é, você precisa analisar vários fatores. Uma vulnerabilidade só é realmente um risco se for exposta em seu ambiente e puder ser explorada.

Para um exemplo simples, vamos considerar uma única carga de trabalho com uma única vulnerabilidade crítica. Por ser classificado como severidade “Crítica”, pode ser altamente explorável. A recomendação típica de uma equipe de segurança pode ser: “Precisamos corrigir isso!”. Mas vamos considerar quantas outras cargas de trabalho podem se conectar a essa carga de trabalho e potencialmente explorar essa vulnerabilidade. Vamos também examinar as portas de rede que estão expostas como parte dessa vulnerabilidade. Como costuma acontecer em redes planas, a carga de trabalho estará bem conectada a muitas outras cargas de trabalho.

Corrigir essa vulnerabilidade específica pode não ser viável, seja porque um patch ainda não existe ou devido a requisitos e restrições em relação ao tempo de atividade da produção, às janelas de alteração e aos SLAs. Nesses casos, podemos usar a microssegmentação para reduzir o número de cargas de trabalho que podem se conectar a essa carga de trabalho vulnerável e à porta vulnerável específica.

A microsegmentação torna-se um controle de mitigação de riscos por meio de:

  • Reduzindo os vetores de ataque à carga de trabalho.
  • Reduzindo a exposição " " da carga de trabalho.
  • Reduzir o risco de que a vulnerabilidade nessa carga de trabalho possa realmente ser explorada, mesmo que a vulnerabilidade seja " “Crítica” e não possa ser corrigida atualmente.

O que é a pontuação de exposição à vulnerabilidade?

O Illumio VES é um meio de controlar tanto a capacidade de exploração " " de uma vulnerabilidade (normalmente representada pela pontuação do CVSS) quanto a acessibilidade " real " da carga de trabalho vulnerável por meio de vetores de ataque em seu ambiente — o que chamamos de exposição ". "

Agora, para a matemática real. O VES é calculado multiplicando uma pontuação de vulnerabilidade escalada (CVSS) por uma medição de exposição em escala para um determinado serviço, em que s e p são fatores de escala que ajudam a escalar essas medidas em escala logarítmica, que é uma técnica matemática comum quando há uma grande variedade de valores:

VES = s (CVSS) * p (medição de exposição)

Como mencionei em meu artigo na Forbes sobre lições de segurança corporativa aprendidas com o MVP da NBA, Steph Curry, essa métrica oferece ao profissional de segurança uma maneira de entender as vulnerabilidades e as informações sobre ameaças relacionadas no contexto de ambientes segmentados.

Especificamente, as soluções tradicionais de gerenciamento de vulnerabilidades usam classificações de Crítica, Alta, Média, Baixa e Informação para categorizar as vulnerabilidades e ajudar a priorizar os esforços de mitigação. Críticos e altos recebem atenção imediata, como deveriam. No entanto, há um grande número de vulnerabilidades médias que não são priorizadas e acabam se transformando em um acúmulo significativo que não passou despercebido pelos criadores de malware.  

As vulnerabilidades críticas geralmente são altamente exploráveis (baixo custo para o atacante), mas por um curto período de tempo, porque as equipes de segurança rapidamente corrigem ou encontram outras formas de remover a exposição. Os atacantes, sempre em busca de um novo ângulo, estão cada vez mais atacando vulnerabilidades médias que geralmente se perdem no ruído e permanecem sem correção por longos períodos de tempo — um alvo muito mais eficaz de violação. Eles podem ser considerados " um pouco mais caros de explorar (maior barreira de entrada, se preferir), mas o fato de estarem disponíveis por mais tempo do que as vulnerabilidades críticas e altas os torna muito mais atraentes quando o atacante calcula o ROI em relação ao investimento. "

O propósito e a recompensa

O VES torna muito mais fácil para uma organização combinar a pontuação CVSS, considerada a melhor prática do setor, com fatores exclusivos do ambiente de cada cliente. As equipes de segurança podem priorizar melhor sua estratégia de mitigação com base na exposição da vulnerabilidade em seu ambiente específico. Por exemplo, uma vulnerabilidade de alta gravidade poderia ser despriorizada porque a exposição foi bastante reduzida pelos controles de microsegmentação. Ou pode haver uma vulnerabilidade de nível médio que deva ser priorizada no topo da lista, dada a exposição a um número enorme de potenciais caminhos de ataque a esse serviço vulnerável.

O VES é possível porque temos um entendimento único do mapa – de como seu ambiente está conectado e se comunicando – e sobrepomos informações de vulnerabilidades ao mapa para ajudar as equipes de segurança a visualizar e priorizar a mitigação do risco de vulnerabilidades em seu ambiente. Isso se torna uma ferramenta extremamente poderosa, não apenas para equipes de segurança, mas também para outros, como proprietários de aplicativos e executivos, que precisam entender esse risco e mitigá-lo ou aceitá-lo no contexto de um risco de negócios mais amplo.  

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Segurança na nuvem: transformando suposições falsas em garantias com a Illumio
Resiliência cibernética

Segurança na nuvem: transformando suposições falsas em garantias com a Illumio

Explorando os perigos de suposições falsas quando se trata de serviços em nuvem e segurança da carga de trabalho.

Leia mais
5 dicas de Zero Trust do estrategista-chefe de segurança da Cylera
Resiliência cibernética

5 dicas de Zero Trust do estrategista-chefe de segurança da Cylera

Saiba mais sobre HIoT e segurança de OT médica e como você pode reforçar melhor as operações de saúde com o Zero Trust.

Leia mais
As previsões de cibersegurança para 2023 se tornaram realidade? Aqui está o que descobrimos
Resiliência cibernética

As previsões de cibersegurança para 2023 se tornaram realidade? Aqui está o que descobrimos

Saiba como as três principais previsões para o setor de segurança cibernética em 2023 se desenrolaram este ano.

Leia mais
Mais aulas de segurança empresarial de Steph Curry: quando algo dá errado
Resiliência cibernética

Mais aulas de segurança empresarial de Steph Curry: quando algo dá errado

As equipes de segurança precisam tomar decisões como essa em tempo real o tempo todo, e quanto mais dados tiverem acesso sobre a situação, melhores decisões poderão tomar.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais