Então você decidiu configurar um programa de varredura de vulnerabilidade, ótimo. Essa é uma das melhores maneiras de evitar violações de dados. Com que frequência você deve executar suas varreduras, porém, isso não é uma questão tão simples. As respostas não são as mesmas para cada tipo de organização ou sistema que você está executando a varredura.
Com que frequência as varreduras de vulnerabilidade devem ser executadas
Muitos dos conselhos abaixo dependem do que exatamente você está escaneando. Se você não tem certeza sobre o que executar, siga os passos abaixo sobre a abrangência de varredura de vulnerabilidade.
Depois de decidir quais sistemas devem estar no escopo e que tipo de scanner você precisa, você está pronto para começar a escanear. Então, com que frequência você idealmente deveria executar varreduras de vulnerabilidade?
Aqui estão cinco estratégias a serem consideradas e discutiremos em quais cenários elas funcionam melhor:
- Baseado em mudanças
- Com base na higiene cibernética
- Baseado em conformidade
- Baseado em recursos
- Baseado em ameaças emergentes
Baseado em mudanças
As empresas de tecnologia em rápida evolução geralmente implantam alterações de código ou infraestrutura várias vezes ao dia, enquanto outras organizações podem ter uma configuração relativamente estática e podem não estar fazendo alterações regulares em qualquer um de seus sistemas.
A complexidade da tecnologia que usamos significa que cada mudança pode trazer consigo um erro de configuração catastrófico ou a introdução acidental de um componente com vulnerabilidades conhecidas. Por esse motivo, executar uma varredura de vulnerabilidade mesmo depois de pequenas alterações foram aplicadas no seu sistema, é a abordagem mais sensata.
Por ser baseada em mudanças, essa abordagem é mais adequada para ativos que mudam rapidamente, como aplicativos da web, ou infraestrutura em nuvem como AWS, Azure e GCP, onde novos ativos podem ser implantados e destruídos minuto a minuto. Também vale a pena fazer isso especialmente nos casos em que esses sistemas são expostos à Internet pública.
Por esse motivo, muitas empresas optam por integrar ferramentas de teste em seus pipelines de implantação automaticamente por meio de uma API com a ferramenta de varredura escolhida.
Também vale a pena considerar o quão complexa é a mudança que você está fazendo.
Embora as ferramentas automatizadas sejam ótimas para testes regulares, quanto maior ou mais dramática a mudança que você está fazendo, mais você pode querer considerar fazer um teste de penetração para verificar se nenhum problema foi introduzido.
Bons exemplos disso podem ser fazer grandes mudanças estruturais na arquitetura de aplicativos da web, qualquer autenticação abrangente ou alterações de autorização ou grandes novos recursos que introduzem muita complexidade. No lado da infraestrutura, o equivalente pode ser uma grande migração para a nuvem ou a mudança de um provedor de nuvem para outro.
Com base na higiene cibernética
Mesmo que você não faça mudanças regulares em seus sistemas, ainda há um motivo incrivelmente importante para fazer a varredura em seus sistemas regularmente, e que muitas vezes é esquecido por organizações novas na varredura de vulnerabilidades.
Os pesquisadores de segurança encontram regularmente novas vulnerabilidades em softwares de todos os tipos, e o código de exploração pública, que torna a exploração delas muito fácil, pode ser divulgado publicamente a qualquer momento. Essa é a causa de alguns dos hacks mais impactantes da história recente, desde a violação Equifax até o ransomware Wannacry, ambos causados por novas falhas descobertas em software comum e criminosos rapidamente transformando vulnerabilidades em armas para seus próprios fins.
Novas vulnerabilidades são descobertas todos os dias; portanto, mesmo que nenhuma mudança seja implantada em seus sistemas, eles podem se tornar vulneráveis durante a noite.
Isso significa que você deve simplesmente usar métodos de vulnerabilidade sem parar? Não necessariamente, pois isso pode gerar problemas de tráfego de rede ou mascarar a ocorrência de problemas.
Para fins de avaliação, o notório ataque cibernético WannaCry nos mostra que os prazos em tais situações são apertados, e as organizações que não reagem em um tempo razoável para descobrir e corrigir seus problemas de segurança se colocam em risco. A Microsoft lançou um patch para a vulnerabilidade que o WannaCry costumava se espalhar 59 dias antes dos ataques acontecerem. Além do mais, os invasores foram capazes de produzir um exploit e começar a comprometer as máquinas apenas 28 dias após o vazamento de um exploit público.
Observando os cronogramas apenas neste caso, fica claro que não executar verificações de vulnerabilidade e corrigir problemas em uma janela de 30-60 dias é correr um grande risco, e não se esqueça de que mesmo depois de descobrir o problema, pode leve algum tempo para consertar.
Nossa recomendação para uma boa higiene cibernética para a maioria das empresas é usar um scanner de vulnerabilidade em sua infraestrutura externa pelo menos uma vez por mês, para permitir que você se mantenha um passo à frente dessas surpresas desagradáveis. Para organizações com maior sensibilidade à segurança cibernética, varreduras semanais ou mesmo diárias podem fazer mais sentido. Da mesma forma, as varreduras de infraestrutura interna uma vez por mês ajudam a manter uma boa higiene cibernética.
Para aplicativos da web, a varredura de sua estrutura e componentes de infraestrutura em uma base regular faz o mesmo sentido, mas se você estiver procurando por erros em seu próprio código com varreduras autenticadas, uma abordagem baseada em mudanças faz muito mais sentido.
Baseado em conformidade
Se você estiver executando varreduras de vulnerabilidade por motivos de conformidade, regulamentações específicas geralmente declaram explicitamente com que frequência as varreduras de vulnerabilidade devem ser realizadas. Por exemplo, o PCI DSS requer que varreduras externas trimestrais sejam realizadas nos sistemas em seu escopo.
No entanto, você deve pensar cuidadosamente sobre sua estratégia de digitalização, já que as regras regulatórias são uma diretriz padrão que pode não ser apropriada para o seu negócio.
A simples comparação desse regulamento de 90 dias com os cronogramas vistos no exemplo WannaCry acima nos mostra que tais diretrizes nem sempre eliminam o problema. Se você realmente deseja se manter seguro em vez de simplesmente marcar uma caixa, geralmente faz sentido ir além desses regulamentos, das maneiras descritas acima.
Baseado em recursos
Os scanners de vulnerabilidade podem produzir uma grande quantidade de informações e revelar muitas falhas, algumas das quais representam riscos maiores do que outras. Ao considerar a quantidade de informações que precisa ser processada e a quantidade de trabalho que precisa ser realizada para corrigir essas falhas, pode ser tentador pensar que só faz sentido digitalizar com a frequência que você puder lidar com toda a saída, como uma vez um quarto.
Embora essa seja uma boa maneira de fazer as coisas, infelizmente, novas vulnerabilidades estão sendo descobertas em uma base muito mais regular do que isso, então, em vez de limitar suas varreduras a quantas vezes você pode lidar com a saída, é muito mais sensato buscar um scanner que gera menos ruído em primeiro lugar e ajuda você a se concentrar nas questões mais importantes primeiro; e fornece orientação sobre em que tipo de prazos os outros devem ser atendidos.
O F-Secure Elements Vulnerability Management é um exemplo desse tipo de scanner. Ele foi projetado para priorizar automaticamente os problemas que têm um impacto real em sua segurança, filtrando o ruído informativo de suas descobertas de varredura. Os resultados da varredura do invasor são personalizados para os sistemas voltados para a Internet, o que significa que podem ajudá-lo a monitorar e reduzir a superfície de ataque.
Também é o caso que, como humanos, começamos a ignorar as coisas se elas se tornarem muito barulhentas. A fadiga do alerta é uma preocupação genuína na segurança cibernética, então você deve se certificar de que está trabalhando com uma ferramenta que não está enviando spam para você com informações 24 horas por dia, 7 dias por semana, pois isso pode fazer com que você pare de prestar atenção e perca as questões importantes quando eles acontecem. Certifique-se de levar isso em consideração ao escolher um scanner, pois é um erro comum pensar que aquele que oferece mais informações é o melhor!
Baseado em ameaças emergentes
Portanto, agora que você decidiu em qual programação executar suas varreduras, vale a pena considerar o que acontece nas lacunas quando você não está executando varreduras.
Por exemplo, digamos que você decida que uma varredura mensal faz sentido para você avaliar todas as alterações que fizer em uma base semirregular. Isso é ótimo, mas como mostra o cronograma para a violação Equifax, você pode ter um problema mesmo em um espaço tão curto como 30 dias, se uma vulnerabilidade for descoberta um dia após sua última varredura. É importante ter nossos pensamentos voltado sobre um prazo de alerta, porém, apenas agendar uma varredura diária pode não ser a melhor maneira de evitar isso.
Para resolver esse problema, alguns scanners de vulnerabilidade fornecem maneiras de cobrir essas lacunas, alguns o fazem armazenando as informações recuperadas na última varredura e alertando se essas informações são relevantes para quaisquer novas vulnerabilidades à medida que são lançadas.
Resumindo
Tal como acontece com muitas coisas no domínio da segurança cibernética, não existe uma abordagem válida para todos para descobrir a frequência de varredura ideal. Dependendo do tipo de ativos que você está protegendo ou de um setor específico no qual está operando, a resposta será diferente. Esperamos que este artigo tenha ajudado você a tomar uma decisão informada sobre a frequência correta de varredura de vulnerabilidade para sua própria organização.
REFERÊNCIAS:
https://www.f-secure.com/en/business/solutions/elements-vulnerability-management
https://thehackernews.com/2021/12/vulnerability-scanning-frequency-best.html