No mundo hiperconectado de hoje, relatos de ataques cibernéticos e violações de dados são comuns. Em qualquer semana do ano, você pode contar com notícias sobre o último incidente cibernético. Com o custo total médio de uma violação de dados chegando a espantosos US $ 3,92 milhões (de acordo com a última análise da IBM), você pode entender por que a segurança cibernética é uma preocupação crescente para empresas em todo o mundo.
A verificação de vulnerabilidades é um componente fundamental de todas as boas estratégias de segurança cibernética, mas pode ser complicado e desafiador acertar. Esteja sua organização apenas começando em sua jornada para se tornar mais segura, ou você esteja procurando melhorar os controles de segurança existentes e aprender mais sobre as melhores práticas de varredura de vulnerabilidade, este guia tem algo para você.
Neste guia, você aprenderá sobre: o que é varredura de vulnerabilidade, os diferentes tipos de varredores de vulnerabilidade disponíveis, melhores práticas de frequência de varredura de vulnerabilidade, como escolher um scanner de vulnerabilidade e como começar a trabalhar com o produto escolhido. Então vamos começar.
O que é varredura de vulnerabilidade?
A verificação de vulnerabilidades é, no nível mais simples, o uso de ferramentas de software para identificar e relatar problemas de segurança (conhecidos como vulnerabilidades) que afetam seus sistemas.
Os scanners de vulnerabilidade muitas vezes têm muitos milhares de testes automatizados à sua disposição e, ao sondar e coletar informações sobre seus sistemas, podem identificar brechas de segurança que podem ser usadas por hackers para roubar informações confidenciais, obter acesso não autorizado a sistemas ou causar interrupção geral em seu negócio.
Armada com esse conhecimento, uma organização que busca se proteger pode, então, tomar medidas para remediar os pontos fracos de segurança descobertos. Esse processo geral contínuo de identificação e correção de seus pontos fracos é conhecido como Gerenciamento de vulnerabilidade.
Para quem são as ferramentas de varredura de vulnerabilidade?
As manchetes das notícias tendem a se concentrar nas maiores violações de segurança, que geralmente afetam grandes organizações. Portanto, você seria perdoado por pensar que a segurança cibernética é um problema de “grande empresa”. No entanto, quando se trata de segurança cibernética, infelizmente, pequeno não significa seguro.
No Reino Unido, uma pesquisa recente conduzida pela Ipsos Mori em nome do Governo do Reino Unido concluiu que quase dois terços (61%) das empresas de médio a grande porte identificaram pelo menos um ataque ou violação de segurança cibernética nos últimos 12 meses. No entanto, as empresas menores não são exceção, das quais (32%) relataram um ataque ou violação. Essas descobertas mostram que empresas de todos os tamanhos devem considerar as ameaças que existem e desenvolver uma estratégia de segurança que as enfrente.
Você pode achar que não tem nada que valha a pena hackear. Mas em 2020, é muito raro que uma empresa de qualquer tamanho não dependa de tecnologia para operar. Seja entregando conteúdo de marketing ou blog por meio de um site, operando aplicativos ou serviços expostos à Internet ou simplesmente os laptops que seus funcionários usam para trabalhar; quase sempre há uma variedade de sistemas que podem ser atacados. Todos esses sistemas constituem uma superfície de ataque para os hackers atacarem. As violações bem-sucedidas levam a ataques de ransomware ou até mesmo ao comprometimento de dados menos confidenciais (como nomes e endereços), que podem resultar em um êxodo de clientes para um concorrente ou em uma pesada multa GDPR.
O desenvolvimento de uma estratégia de segurança abrangente para mitigar essas ameaças é um processo que leva anos para ser acertado e deve mudar e se adaptar constantemente à medida que uma organização cresce e o cenário de ameaças evolui. Os scanners de vulnerabilidade oferecem um excelente ponto de partida, permitindo que uma organização identifique suas fraquezas técnicas mais sérias e mais expostas para que possam reagir antes que um invasor tire vantagem.
Resumindo, toda empresa deve entender onde estão suas fraquezas cibernéticas e consertá-las.
Varredura de vulnerabilidade x teste de penetração?
A verificação de vulnerabilidades não é a única maneira de descobrir as vulnerabilidades que afetam os sistemas da sua organização – o teste de penetração manual também é uma maneira comum de verificar se há vulnerabilidades nos seus sistemas. No entanto, os dois diferem significativamente no que têm a oferecer e quanto custam, por isso é uma questão razoável perguntar quais são adequados para a sua organização e com que frequência devem ser realizados.
A varredura de vulnerabilidade e o teste de penetração têm seus prós e contras. A verificação de vulnerabilidades tem a vantagem de poder ser realizada de forma automática e contínua a um custo menor, de forma que novos problemas de segurança possam ser identificados logo após serem introduzidos. Enquanto isso, o teste de penetração é geralmente realizado com base em consultoria e vem com sobrecarga de tempo e custo que pode atrasar os projetos ou ser proibitivos em termos de frequência com que o teste é realizado. No entanto, o teste manual da caneta realizado por profissionais habilidosos e qualificados pode descobrir problemas de segurança que são mais complexos ou específicos para o negócio, que requerem um nível humano de compreensão para serem descobertos.
Cada um tem seu lugar e, se o orçamento permitir, é certamente uma prática recomendada empregar uma combinação de ambos. No entanto, para organizações que desejam começar a proteger seus negócios pela primeira vez, recomendamos primeiro configurar um scanner de vulnerabilidade e testar regularmente sua superfície de ataque exposta publicamente. Essa forma de começar faz mais sentido, já que os testadores de invasão também fazem uso de scanners de vulnerabilidade como parte de sua oferta e não há muito valor em pagar um profissional para lhe dizer algo que você poderia ter descoberto por si mesmo. Ainda mais importante, se você só puder executar um teste de penetração uma vez por ano, permanecerá exposto a erros de configuração e novas vulnerabilidades durante todo o tempo entre os testes.
Se você estiver interessado em ler mais sobre este debate, escrevemos um artigo que discute as diferenças entre o teste de penetração e a varredura de vulnerabilidade com mais detalhes.
Introdução à verificação de vulnerabilidade
Definindo o escopo
Para usar um scanner de vulnerabilidade, você primeiro precisa saber para onde irá apontá-lo. Pode parecer simples, mas se você é novo na varredura de vulnerabilidades, pode descobrir que não há um registro central dos sistemas pelos quais sua organização é responsável. Se for esse o caso, é hora de começar a manter o controle – se você não sabe o que tem, não será capaz de protegê-lo!
Gestão de ativos
É uma boa prática que as organizações mantenham um registro centralizado dos sistemas que administram (comumente referido como Gerenciamento de Ativos). Manter-se atualizado com sua organização conforme ela cresce ou muda é essencial. Conforme novos sistemas entram em operação ou os existentes alteram seus endereços IP ou domínios, manter sua documentação atualizada ajudará a garantir que os sistemas não percam as lacunas e percam todo o trabalho árduo que seu scanner está colocando na identificação seus pontos fracos de segurança.
Se você estiver usando sistemas de nuvem modernos para algumas de suas propriedades, isso pode ajudar um pouco, e scanners de vulnerabilidade modernos serão capazes de se conectar a suas contas de nuvem para tornar esse processo perfeito. No entanto, você sem dúvida terá alguns sistemas que estão fora disso (dispositivos de funcionários e roteadores e firewalls de borda, no mínimo), então ainda é uma boa ideia manter um registro de ativos.
Estratégias de escopo
Agora que você sabe o que tem, como decide o que digitalizar?
É comum que as organizações implantem uma variedade de sistemas, desde laptops e estações de trabalho no escritório ou em casa, até sistemas em plataformas de nuvem como AWS, Azure e Google Cloud. Decidir o que incluir na digitalização pode ser um trabalho árduo, mas existem várias maneiras de lidar com isso. Aqui, apresentamos três estratégias, com base na exposição, com base na sensibilidade e com base na cobertura:
Baseado em exposição
Todos os seus sistemas acessíveis ao público pela Internet estão efetivamente disponíveis para ataques 24 horas por dia. Como resultado, esses sistemas são verificados em busca de vulnerabilidades por invasores em uma base constante. Na verdade, até mesmo invasores não qualificados podem varrer automaticamente toda a Internet em busca de pontos fracos, usando ferramentas para download gratuito.
Digamos, por exemplo, que sua empresa seja uma startup de tecnologia e ofereça serviços pela Internet a seus clientes. Isso pode ser por meio de um site da Web, aplicativo da web ou qualquer outra coisa hospedada online. Embora o acesso a esses aplicativos possa ser protegido em circunstâncias normais, apenas uma falha ou erro ocorrendo em um desses sistemas pode levar a uma violação de dados imediata. Como esses sistemas são verificados diariamente por invasores, idealmente você precisa fazer o mesmo para encontrar esses problemas de segurança antes que eles o façam.
Vulnerabilidades graves em sistemas voltados para o público geralmente são exploradas muito rapidamente. Para colocar isso em perspectiva, vamos dar uma olhada em um ataque recente com base em uma fraqueza do Citrix divulgada em dezembro de 2019. A vulnerabilidade (CVE-2019-19781) foi usada para atacar a empresa de câmbio Travelex na véspera de Ano Novo, visando um serviço VPN voltado para a Internet. Os invasores foram bem-sucedidos e causaram sérios problemas à empresa, que incluíram criptografar seus sistemas com malware e exigir um resgate. De forma alarmante, os ataques ocorreram apenas 12 dias a partir da data em que a vulnerabilidade foi divulgada publicamente. Este exemplo de alto perfil serve como um lembrete de quão importante é a verificação de vulnerabilidade externa regular e como fraquezas podem surgir durante a noite que não existiam antes, com consequências de longo alcance.
Baseado em sensibilidade
Sua empresa pode não ter muito conteúdo confidencial na Internet. Pode ser apenas que seu site principal contenha apenas informações de marketing, mas todas as informações confidenciais de seus clientes estão armazenadas em um armazenamento central que é protegido por firewall em algum lugar (seja um laptop de um indivíduo ou um compartilhamento de arquivo de rede). Se o dano à reputação causado por uma desfiguração de um site não diz respeito a você, então, neste caso, você pode decidir que faz mais sentido realizar varreduras de vulnerabilidade nos sistemas onde os dados confidenciais estão armazenados, para garantir que sejam o mais protegidos possível contra ataques.
Com base em cobertura
Depois de considerar o que é exposto na Internet e onde seus dados mais confidenciais estão armazenados, vale a pena considerar que outros sistemas da empresa ainda estão prontos para serem comprometidos por um invasor. Vulnerabilidades podem existir em qualquer um de seus sistemas e, uma vez que um invasor viola um sistema, o próximo movimento é geralmente usar essa posição como ponto de apoio para lançar novos ataques.
Por exemplo, os hackers podem violar o laptop de um funcionário enviando e-mails contendo arquivos maliciosos (ou links para sites maliciosos) que exploram vulnerabilidades no sistema em que são abertos. Se um dispositivo for comprometido com sucesso, ele pode ser usado para fazer a varredura de outros sistemas na mesma rede, para explorar vulnerabilidades nesses também. Como alternativa, as informações ou o acesso a outros sistemas obtidos do laptop podem ser usados em outros ataques.
Por esse motivo, geralmente faz sentido tentar cobrir o maior número possível de sistemas, especialmente onde obter acesso a um sistema pode levar à violação de outros.
Qual dessas abordagens é a certa para você dependerá dos recursos de sua empresa e de onde e como seus dados mais confidenciais são armazenados – frequentemente, a resposta certa será uma combinação das três.
Diferentes tipos de verificação de vulnerabilidade
Existem muitos tipos de verificadores de vulnerabilidades que executam diferentes tarefas de segurança e cobrem uma variedade de cenários de ataque diferentes. Por exemplo, um invasor pode invadir sua rede interna por meio de uma vulnerabilidade em um servidor da web exposto ou por meio de software não corrigido na estação de trabalho de um funcionário. Identificar esses diferentes vetores de ataque requer diferentes casos de uso de scanners de vulnerabilidade e nem sempre há suporte para cada um, portanto, vale a pena considerar os riscos para o seu negócio e encontrar um scanner que seja adequado. Esta seção aborda os diferentes casos de uso com mais detalhes.
Os principais tipos
Os principais tipos diferentes de scanners de vulnerabilidade que você verá serão:
- Scanners de vulnerabilidade baseados em rede
- Scanners de vulnerabilidade baseados em agente
- Scanners de vulnerabilidade de aplicativos da web
Scanners de vulnerabilidade de rede
Os scanners de vulnerabilidade de rede são assim chamados porque eles varrem seus sistemas através da rede, enviando sondagens à procura de portas e serviços abertos e, em seguida, sondando cada serviço para obter mais informações, fraquezas de configuração ou vulnerabilidades conhecidas. A maneira como isso funciona pode ser diferente, você pode instalar um dispositivo de hardware dentro de sua rede ou implantar um dispositivo virtual em uma máquina virtual e, em seguida, executar varreduras dessa máquina em todas as outras na rede.
Um benefício óbvio dos scanners de vulnerabilidade de rede é que eles podem ser rápidos de configurar, basta instalar o scanner e começar a escanear. No entanto, eles podem se tornar rapidamente mais complicados quando se trata de manutenção, mantendo os aparelhos atualizados e em sintonia com as mudanças em sua rede. Isso é especialmente verdadeiro quanto mais complicadas suas redes se tornam e o número de scanners de que você precisa aumenta para cobrir cada segmento de rede.
Interno vs Externo
Os scanners de rede são frequentemente configurados para escanear redes “internas” ou redes “externas”.
Como regra geral, quanto maiores e mais complexas se tornam suas redes privadas, mais importante será também considerar o emprego de um scanner de rede interno que pode verificar seus sistemas internos em busca de pontos fracos que possam levar ao comprometimento de um único sistema girar em uma violação mais ampla.
Organizações menores com uma pegada digital muito mais moderna podem não decidir colocar a varredura interna no início, como aquelas com todos os seus servidores na nuvem e uma rede privada simples apenas para acesso à Internet. No entanto, essas organizações ainda se beneficiariam da varredura interna baseada no agente, de modo que as vulnerabilidades nos dispositivos dos funcionários possam ser identificadas para correção.
Digitalização de rede externa
Uma varredura de vulnerabilidade externa é simplesmente aquela que varre seus sistemas de fora. O que isso realmente significa é que as sondas do scanner vêm de um endereço de Internet não confiável, que está fora de qualquer uma das redes privadas da sua organização. Eles simulam as atividades de um invasor remoto observando quais sistemas e serviços são oferecidos na Internet e começam procurando vulnerabilidades em seus sistemas expostos à Internet.
Embora a quantidade de informações que podem ser descobertas por essas verificações possa ser limitada em comparação com os outros tipos descritos abaixo, eles também podem ser muito reveladores para a compreensão do que os invasores podem ver. Isso porque, se um invasor pode ver uma fraqueza, é altamente provável que ele vá explorá-la.
Alguns scanners de vulnerabilidade são bem configurados para lidar com essa situação e têm scanners prontos na nuvem, portanto, nenhuma implementação ou gerenciamento de seus próprios sistemas é necessária. Eles são simplesmente apontar e clicar. Outros podem exigir que você configure seu próprio dispositivo de digitalização e gerencie-o continuamente. Embora esses serviços possam ser mais baratos, as despesas gerais podem às vezes não compensar a diferença de custo.
Digitalização de rede interna
Varreduras de vulnerabilidade de rede interna são projetadas para encontrar pontos fracos em sistemas que não expõem portas ou serviços à Internet. Este tipo de verificação de vulnerabilidade ajuda a cobrir uma série de cenários de ataque que não poderiam ser verificados por verificadores de vulnerabilidade externos. Por exemplo, se uma versão desatualizada do navegador Firefox estiver em uso em um laptop da empresa, a máquina pode ficar vulnerável a ataques se o usuário for convencido a visitar um site malicioso. Da mesma forma, pode haver vulnerabilidades nas portas ou serviços que um dispositivo expõe em uma rede privada (como pontos fracos no serviço SMB), que também não podem ser descobertas por um scanner externo.
Os scanners internos baseados em rede funcionam amplamente da mesma maneira que os scanners de rede externos, exceto que o dispositivo de digitalização fica dentro de uma rede interna, então serviços e dispositivos que só se expõem em uma rede privada podem ser avaliados.
Varreduras internas podem ser úteis para identificar dispositivos potencialmente vulneráveis que não eram conhecidos com antecedência, pois podem varrer todo o alcance da rede. No entanto, eles podem ser altamente ineficazes no fornecimento de informações detalhadas, a menos que sejam fornecidos com credenciais para fazer login em sistemas e consultar dados de patch e configuração específicos. Isso é conhecido como “varredura autenticada”.
A varredura autenticada pode fornecer informações de vulnerabilidade muito mais detalhadas, mas pode ser difícil de configurar e manter. Por esse motivo, uma alternativa popular é executar scanners “baseados em agente”.
Scanners baseados em agente
A varredura baseada em agente é realizada instalando scanners de software leves em cada dispositivo a ser coberto, que pode executar varreduras de vulnerabilidade local e relatar os resultados a um servidor central.
Da mesma forma que as varreduras de rede autenticadas, este tipo de scanner pode detectar uma ampla gama de vulnerabilidades, incluindo fraquezas no software que não expõe portas ou serviços para acesso remoto (por exemplo, uma versão vulnerável do Firefox). Embora possa ser um pouco mais demorado instalar agentes em todo o seu patrimônio digital, eles têm a vantagem de que, uma vez instalados, podem relatar, mesmo se removidos da rede (como laptops sendo levados para trabalhar em casa).
Ambos os tipos de scanner interno têm suas limitações e vantagens. Para organizações modernas com redes internas simples e a maior parte de sua infraestrutura na nuvem, um scanner baseado em agente seria a escolha lógica. Para organizações com redes internas complexas, a escolha de qual tipo usar é um pouco mais difícil, e para as organizações mais maduras – e onde o orçamento permitir – a implantação de uma combinação dos dois tipos de scanner deve ser considerada. Para uma discussão completa sobre as vantagens e desvantagens de scanners baseados em agente e baseados em rede, escrevemos um artigo que vai em mais profundidade.
Scanners sensíveis ao contexto
Alguns scanners podem ser usados para verificar os pontos fracos de uma perspectiva externa e interna, mas nem todos são capazes de relatar problemas no contexto de onde a vulnerabilidade foi encontrada. Muitos scanners que são equipados para realizar varreduras internas e externas negligenciam em destacar os problemas de segurança que surgem de tecnologias que normalmente não deveriam ser expostas externamente.
Por exemplo, o conhecido ransomware ‘WannaCry’ se espalhou explorando serviços SMB voltados para a Internet (um serviço projetado para redes locais). Este é um exemplo de serviço que nunca deve ser exposto à internet, mas muitos dos principais scanners de vulnerabilidade não irão destacar isso como um problema de segurança, uma vez que não adicionam contexto aos resultados com base no fato de a varredura ser de uma perspectiva interna ou externa .
Se você tiver especialistas em segurança disponíveis para analisar os resultados de suas verificações, isso pode ser menos preocupante – mas você também deve se lembrar que isso pode ser um trabalho repetitivo e que o tempo deles poderia ser melhor gasto em outro lugar.
Scanners de aplicativos da web
Os scanners de vulnerabilidade de aplicativos da Web são um tipo especializado de scanner de vulnerabilidade que se concentra em encontrar pontos fracos em aplicativos da Web e sites. Tradicionalmente, eles funcionam “rastreando” por meio de um site ou aplicativo de forma semelhante a um mecanismo de pesquisa, enviando uma série de sondagens para cada página ou formulário que encontra para procurar pontos fracos.
Muitos scanners de vulnerabilidade incluem varredura de aplicativo da web como parte de sua oferta, embora possa ser licenciado separadamente. Outros são dedicados exclusivamente à varredura de aplicativos da web, enquanto alguns fornecedores a incluem junto com uma série de outras verificações.
Uma coisa que você pode querer saber é se o scanner pode executar a digitalização de aplicativos da Web autenticados ou não. A varredura autenticada é onde o aplicativo é varrido além da página de login, da perspectiva de um usuário mal-intencionado ou invasor com credenciais para fazer login no aplicativo.
Devido à quantidade de lógica de negócios e complexidade envolvida na criação de aplicativos da web, até mesmo os melhores scanners de vulnerabilidade no mercado hoje se esforçam para identificar algumas falhas de aplicativo de forma eficaz e, infelizmente, ainda não chegam perto de um especialista humano em busca de falhas manualmente. É importante entender no que eles são bons e com o que lutam.
Eles geralmente são bons na identificação de fraquezas diretas (como injeções de SQL simples e falhas de script entre sites). Fraquezas que são menos fáceis de explorar não podem ser detectadas de forma confiável, em particular:
- Pontos fracos de controle de acesso (como acesso não autorizado a informações que devem exigir uma conta com privilégios mais altos)
- Exposição de informações confidenciais (scanners muitas vezes podem descobrir essas informações, mas nem sempre podem dizer que são confidenciais!)
- Pontos fracos em fluxos de trabalho de várias etapas (como formulários de várias páginas).
- Pontos fracos que envolvem o armazenamento de uma carga útil que é executada em outro lugar (como script de site cruzado persistente)
- Pontos fracos baseados em sessão (pontos fracos nos mecanismos usados para gerenciar a autenticação do usuário)
O OWASP Top Ten
O projeto OWASP há muito tempo é o recurso de referência para vulnerabilidades de aplicativos da web, e eles lançam um resumo dos “Dez principais” das falhas mais comuns dos aplicativos da web a cada poucos anos. Das 10 listas de problemas OWASP na versão mais recente do documento, muitos são mal detectados por scanners de aplicativos da web ou apenas certos tipos de falhas podem ser detectados de forma confiável.
Aplicativos de página única
Os aplicativos modernos de página única são difíceis para os scanners automatizados, pois eles falham em descobrir e gerar solicitações legítimas de aplicativos para realizar seus testes.
Falso-positivo
Verificar se as vulnerabilidades são falsos positivos é uma tarefa difícil para um scanner automatizado fazer com eficácia, e a maioria não tenta fazer isso. Como resultado, você pode acabar se arrastando por longas listas de não-problemas que podem rapidamente se transformar em um processo demorado.
Scanners automatizados certamente são capazes de descobrir problemas genuínos de segurança de aplicativos da web, mas é improvável que detectem tudo e não devem ser a única defesa posta em prática. Nossa recomendação é garantir que os aplicativos da web sejam regularmente testados quanto à penetração, incluindo onde houver um scanner de aplicativo da web instalado. Essa estratégia é uma forma mais robusta de descobrir uma ampla gama de pontos fracos e, se o orçamento permitir, é uma prática recomendada.
Escolhendo um scanner de vulnerabilidade
Escolher o scanner de vulnerabilidade certo para você pode ser difícil, e a gama de qualidade dos produtos de varredura de vulnerabilidade é significativa e nem sempre transparente. Você dependerá do scanner escolhido para ajudar a prevenir ataques diários, então, como saber se um scanner que avaliou é eficaz e como comparar um com o outro? Incluímos algumas dicas de devida diligência e práticas recomendadas abaixo.
Leve-o para dar uma volta
A maioria dos scanners de vulnerabilidade oferece testes gratuitos limitados, para dar ao usuário a chance de se acostumar a como ele funciona e quais são seus recursos. Esta é uma ótima maneira de sentir o produto, seus recursos e usabilidade. A próxima etapa lógica é executar uma varredura em uma seleção de seus próprios sistemas e ver o que volta. Se você estiver comparando vários scanners, pode ser um bom exercício executá-los nos mesmos sistemas e ver o que é descoberto. Infelizmente, uma comparação igual de dois ou mais scanners nem sempre mostra uma imagem clara de como eles se comparam. Por exemplo, um dos scanners que você está avaliando pode retornar mais problemas de segurança que são falsos positivos (problemas que o scanner identificou erroneamente como um problema de segurança). Se você não puder, em sua equipe, verificar se um problema de segurança é válido ou não, então este exercício pode não ser suficiente.
Também é importante notar que pode não haver nada de errado com seus sistemas agora, o que reduz o valor de fazer esse tipo de comparação de scanners. Se os sistemas que você está digitalizando não apresentam uma grande variedade de problemas de segurança (que você já conhece), será difícil avaliar o quão bom é um scanner. Além disso, muitos scanners de vulnerabilidade enchem seus resultados com questões ‘informativas’ que não são realmente problemas de segurança. Esteja atento a isso e lembre-se de que uma simples comparação do número de problemas que cada scanner descobriu está deixando de lado o ponto. Você provavelmente estará interessado em qual scanner pode encontrar os problemas de segurança mais genuínos, e a melhor maneira de fazer isso é digitalizar sistemas que são conhecidos por serem vulneráveis. Se você já tiver algum sistema com problemas conhecidos, eles serão bons candidatos para suas varreduras de teste.
Descubra o que o scanner pode verificar
A maioria dos scanners de vulnerabilidade oferece uma lista de problemas de segurança que o scanner verifica. Essa pode ser uma boa maneira de ajudá-lo a decidir qual scanner é o certo para você. Ao revisar a documentação do scanner, você pode confirmar que ele é capaz de verificar problemas de segurança na gama de software e aplicativos que compõem o patrimônio digital de sua organização. Listamos abaixo algumas classes amplas de vulnerabilidade que um scanner de vulnerabilidade abrangente deve ser capaz de verificar, com alguns exemplos:
Software vulnerável – esta classe de vulnerabilidades é a maior categoria, pois inclui verificações de fraquezas conhecidas em todos os tipos de software e hardware de terceiros. Essas são fraquezas descobertas por pesquisadores de segurança em certas versões de uma determinada tecnologia. Alguns exemplos seriam uma versão fraca de um servidor web Nginx, um serviço FTP vulnerável ou pontos fracos em um roteador Cisco ou VPN.
Vulnerabilidades de aplicativos da web – são os pontos fracos de seus aplicativos da web. Há uma ampla gama de pontos fracos que podem ser usados para obter acesso não autorizado a informações, comprometer o servidor da web ou atacar usuários de aplicativos da web. Alguns exemplos disso seriam pontos fracos, como injeção de SQL, script entre sites e pontos fracos de travessia de diretório.
Erros comuns e configurações incorretas – são uma classe de fraquezas que incluem a identificação de software que foi configurado incorretamente, erros comuns e práticas recomendadas de segurança que não estão sendo seguidas. Alguns exemplos disso seriam repositórios SVN / git expostos, retransmissões de e-mail abertas e / ou um servidor da web configurado para revelar informações confidenciais.
Pontos fracos da criptografia – uma ampla variedade de pontos fracos nas configurações de criptografia usadas para proteger os dados em trânsito entre seus usuários e servidores podem ser identificados por scanners de vulnerabilidade. Isso deve incluir verificações de fraquezas nas implementações SSL / TLS, como o uso de cifras de criptografia fracas, protocolos de criptografia fracos, configurações incorretas de certificado SSL e uso de serviços não criptografados, como FTP.
Redução da superfície de ataque – alguns scanners podem detectar áreas onde você pode reduzir a superfície de ataque. Este é o princípio de expor publicamente apenas os serviços principais de que você absolutamente precisa. Os scanners de vulnerabilidade externos podem identificar portas e serviços que podem representar um risco de segurança, deixando-os expostos à Internet. Alguns exemplos são: bancos de dados expostos, interfaces administrativas e serviços confidenciais, como SMB.
Vazamento de informações – Esta classe de relatórios de verificações em áreas onde seus sistemas estão relatando informações para usuários finais que devem permanecer privadas.
Nem todos os scanners de vulnerabilidade incluem verificações para todas as categorias acima e, dentro de cada categoria, o número e a qualidade das verificações também variam. Alguns scanners estão focados em uma classe particular de vulnerabilidades – por exemplo, vulnerabilidades de aplicativos da web. Um scanner focado em aplicativo da web não necessariamente verifica se há falhas no nível de infraestrutura, como vulnerabilidades conhecidas no servidor da web em uso. Se você está empregando apenas um scanner de vulnerabilidade, certamente vale a pena certificar-se de que ele pode lidar com todos os itens acima, para que não haja nenhuma lacuna na sua cobertura de segurança.
Verifique os recursos essenciais
A gama de scanners de vulnerabilidade no mercado é muito variada, e cada um oferece um conjunto único de recursos que oferecem diferentes funcionalidades principais e recursos “agradáveis para se ter”, que são recursos não essenciais e projetados para facilitar sua vida.
Antes de escolher um scanner, vale a pena se perguntar quais recursos são essenciais para você e quais não são necessários. Armado com esse conhecimento, você poderá decidir com mais facilidade qual produto usar. Listamos abaixo alguns recursos do scanner que você pode considerar:
- Programação – você pode programar varreduras para executar fora dos horários de pico ou durante os horários com suporte?
- Frequência – com que frequência você pode executar varreduras?
- Relatório – o relatório é fácil de ler e você poderia passá-lo para um cliente?
- API – você pode acionar programaticamente uma varredura após um ciclo de desenvolvimento?
- Conformidade – o scanner é apropriado para seus requisitos de conformidade?
- Integrações de nuvem – o scanner se integra ao seu provedor de nuvem
- Verificações proativas – o mecanismo de varredura pode verificar seus sistemas em busca das ameaças mais recentes automaticamente?
Comunicando
Os relatórios são um fator importante a considerar por si só. Existem dois usos principais para um relatório de segurança de um scanner de vulnerabilidade: seus desenvolvedores e engenheiros de segurança o usarão para consertar falhas de segurança e você também pode precisar usá-lo para passar para seus parceiros e clientes como prova de suas práticas de segurança.
É importante que os problemas de segurança detalhados no relatório forneçam conselhos de remediação em uma linguagem clara que possa ser facilmente usada para resolver o problema. Alguns relatórios de varredura de vulnerabilidade são difíceis de ler e entender, enquanto outros apresentam uma descrição clara e concisa de um problema de segurança, juntamente com instruções simples sobre como corrigir o problema.
É comum que clientes ou parceiros em potencial solicitem uma prova de segurança. Ao passar um relatório de segurança para um terceiro, você vai querer ter certeza de que pode facilmente passar um documento bem formatado que detalha claramente todas as vulnerabilidades restantes e dá ao leitor uma boa visão sobre o que foi testado. A maioria dos scanners de vulnerabilidade permite que você baixe um relatório durante o período de teste, então não se esqueça de dar uma olhada.
Preços
O preço e o orçamento disponível sempre serão uma consideração importante ao escolher um scanner de vulnerabilidade. Os orçamentos de segurança cibernética costumam ser apertados e há uma ampla gama de produtos de segurança e outros custos que competem pelo mesmo orçamento que será gasto em um scanner de vulnerabilidade. Felizmente, a maioria dos scanners de vulnerabilidade no mercado tem um preço justo em comparação com o que eles oferecem, portanto, em geral, você recebe o que paga. Dito isso, alguns scanners de vulnerabilidade são mais baratos porque oferecem um conjunto reduzido de recursos, que você pode não precisar, portanto, fazer compras para experimentar alguns scanners diferentes é um tempo bem gasto.
Comparar o preço dos scanners de vulnerabilidade é uma área que também vale a pena pisar com cuidado. A gama de software que pode ser classificado como um “scanner de vulnerabilidade” é vasta, e a qualidade e a gama de verificações que eles oferecem também variam muito. Se uma das opções que você está considerando for significativamente mais barata do que as outras, então alguma diligência extra pode ser necessária para garantir que ela seja capaz de realizar a mesma gama de verificações de segurança que as outras com as quais você está comparando.
Verificação de licenciamento e descoberta
A maioria dos scanners de vulnerabilidade modernos tem um modelo de preço que varia de acordo com o número de sistemas que você gostaria de cobrir. Os preços variam de acordo com o tipo de scanner que você está usando e quais recursos você precisa, mas, em geral, você será cobrado de acordo com o tamanho do seu estado digital e quantos sistemas estão sendo digitalizados.
Conforme mencionamos na seção ‘Definindo o escopo’ acima, algumas organizações podem ter dificuldade em responder à pergunta “de quantas licenças precisamos?” neste estágio, eles podem não saber exatamente por quantos sistemas ativos são responsáveis. Isso pode ser um desafio, especialmente porque a resposta a essa pergunta pode ter um efeito significativo no custo do scanner. Muitos scanners são capazes de ajudar com esse problema, usando o que é comumente conhecido como ‘varredura de descoberta’. A varredura de descoberta é uma varredura de toque leve projetada para descobrir quais sistemas estão ativos e quais não estão. Por exemplo, você pode ter um intervalo de endereços IP públicos, como 1.2.3.4/24, que corresponde a 256 endereços IP. As chances são de que nem todos eles estão em uso e você pode querer economizar em custos pagando apenas pelas licenças de varredura de vulnerabilidade para os sistemas que estão ativos.
É aqui que a varredura de descoberta pode ser útil. Você pode executar uma varredura simples em seu intervalo de IPs para descobrir quais respondem – aqueles que não respondem às sondas em qualquer porta estão inativos ou não estão expostos ao scanner, então você não precisará de licenças para isso. Alguns scanners modernos podem salvar licenças para você automaticamente, executando varreduras de descoberta e usando licenças apenas em sistemas ativos. Este recurso pode economizar tempo e dinheiro, pois você pode inserir todos os seus IPs conhecidos, e o scanner só cobrará por aqueles que estão ativos e em uso no momento.
Com que frequência verificar seus sistemas
Agora que você decidiu quais sistemas devem estar no escopo e que tipo de scanner você precisa, você está pronto para começar a digitalizar. Então, com que frequência você idealmente deve executar varreduras de vulnerabilidade?
Depende parcialmente do que você está digitalizando e por que está fazendo isso. Aqui estão três estratégias a serem consideradas:
Com base na mudança
As empresas de tecnologia em rápida evolução geralmente implantam alterações de código ou infraestrutura diariamente, enquanto outras organizações podem ter uma configuração relativamente estática e não estar fazendo alterações regulares em nenhum de seus sistemas. Novas vulnerabilidades podem ser facilmente introduzidas com qualquer novo desenvolvimento, sobre o qual você queira saber. Isso pode ser devido a um erro de configuração ou a implantação de novos serviços que contêm vulnerabilidades desconhecidas. Por esse motivo, executar uma varredura de vulnerabilidade mesmo depois de pequenas alterações serem aplicadas a seus sistemas é uma abordagem sensata.
Com base na higiene
Mesmo que você não faça mudanças regulares em seus sistemas, ainda há um motivo incrivelmente importante para fazer a varredura em seus sistemas regularmente, e às vezes é esquecido por organizações novas na varredura de vulnerabilidades: pesquisadores de segurança regularmente encontram novas vulnerabilidades em software de todos os tipos, e o código de exploração pública que torna sua exploração uma brisa pode ser divulgado publicamente a qualquer momento.
Novas vulnerabilidades são descobertas todos os dias, portanto, mesmo que nenhuma mudança seja implantada em seus sistemas, eles podem se tornar vulneráveis durante a noite.
Nenhum software está isento desta regra prática. Seja seu servidor da web, sistemas operacionais, uma estrutura de desenvolvimento específica que você usa, sua VPN de trabalho remoto ou firewall.
O famoso ataque cibernético WannaCry nos mostra que os prazos em tais situações podem ser apertados, e as organizações que não reagem em um tempo razoável para descobrir e corrigir seus problemas de segurança se colocam em risco. A Microsoft lançou um patch para a vulnerabilidade que o WannaCry costumava se espalhar 59 dias antes dos ataques acontecerem. Além do mais, os invasores foram capazes de produzir um exploit e começar a comprometer as máquinas apenas 28 dias após o vazamento de um exploit público. Lembre-se, também, que se trata de um exemplo de serviço em que não foi realizado nenhum desenvolvimento ou alteração.
Olhando para os cronogramas apenas neste caso, fica claro que não executar verificações de vulnerabilidade e corrigir problemas em uma janela de 30-60 dias é correr um grande risco. Usar um scanner de vulnerabilidade pelo menos uma vez por mês permite que você se mantenha à frente dessas surpresas desagradáveis.
Com base em conformidade
Se você estiver executando varreduras de vulnerabilidade por motivos de conformidade, regulamentações específicas geralmente declaram explicitamente com que frequência as varreduras de vulnerabilidade devem ser realizadas. Por exemplo, o PCI DSS requer que varreduras externas trimestrais sejam realizadas nos sistemas em seu escopo. No entanto, Intruder recomenda pensar cuidadosamente sobre sua estratégia de varredura, já que as regras regulatórias são uma diretriz padrão que pode não ser apropriada para o seu negócio. A simples comparação deste regulamento de 90 dias com os cronogramas vistos no exemplo WannaCry acima nos mostra que tais diretrizes nem sempre cortam a mostarda.
Resumindo, no mínimo, o Intruder recomenda executar varreduras completas de vulnerabilidade pelo menos uma vez por mês. Além disso, é importante executar varreduras incrementais quando novas mudanças ou desenvolvimento ocorrerem e quando novas vulnerabilidades sérias forem descobertas.
Embora muito disso possa ser automatizado, o recurso necessário para se manter atualizado sobre as notícias de segurança e as vulnerabilidades mais recentes pode ser proibitivo para um gerenciamento de vulnerabilidade eficaz. A escolha de um scanner de vulnerabilidade que pode verificar automaticamente seus sistemas em busca das ameaças mais recentes ajudará a reduzir a carga de trabalho e permitirá que sua estratégia de segurança seja eficaz, mesmo quando os recursos são limitados.
Executando suas primeiras varreduras
Então, digamos que você tenha escolhido o scanner – ótimo!
Aqui estão algumas dicas finais que devem ser consideradas antes de você se inscrever e iniciar suas primeiras varreduras:
Seus sistemas são acessíveis ao scanner?
Pode parecer óbvio, mas pode ser um erro fácil de cometer! Quando você inicia sua varredura, o scanner de vulnerabilidade não sabe nada sobre seus sistemas, então se ele não descobrir nenhuma porta ou serviço aberto, ele pode relatar uma lousa limpa – sem problemas. Se o seu firewall está bloqueando o scanner, ou os sistemas que estão sendo verificados são inacessíveis para o scanner, então ele não será capaz de descobrir quaisquer problemas de segurança. Pode não ser imediatamente óbvio que este é o caso quando você verifica os resultados da verificação, então vale a pena pensar nisso.
Sistemas de prevenção de intrusão
Algum dos seus sistemas está protegido por um sistema de prevenção de intrusão (IPS / IDS) ou firewall de aplicativo da web (WAF)?
Algumas tecnologias de segurança existentes são projetadas para proteger seus sistemas, mas podem, em vez disso, atrapalhar o aproveitamento de seu scanner de vulnerabilidades. Esses sistemas são um ótimo complemento para o seu pacote de segurança, mas se não forem configurados corretamente, eles vão interferir nos resultados da varredura e, potencialmente, até mesmo bloquear silenciosamente o seu scanner de vulnerabilidade de fazer seu trabalho. Esses sistemas são projetados para manter os bandidos afastados, mas não há sentido em permitir que eles bloqueiem um scanner de vulnerabilidade de tentar fazer seu trabalho, portanto, certifique-se de ter configurado seu software de segurança para colocar seu scanner na lista de permissões. Colocar seu scanner de vulnerabilidade na lista de permissões pode parecer irreal (já que os verdadeiros bandidos não estão na lista de permissões), mas na verdade é a maneira mais robusta de proteger seus sistemas.
Considere uma situação no futuro em que uma vulnerabilidade em seu WAF seja descoberta e permita que um invasor a contorne. Ou talvez o hacker já tenha comprometido outro sistema que já está na lista de permissões. Para se proteger contra esses tipos de ataques, seu scanner de vulnerabilidade precisa ser capaz de fazer a varredura por baixo das camadas de proteção, para que você tenha uma ideia de como esses sistemas se sairiam se essas proteções falhassem.
Colocar o scanner na lista de permissões para permitir acesso irrestrito aos sistemas maximizará suas chances de descobrir problemas de segurança que, de outra forma, seriam bloqueados. É importante observar que os sistemas IPS e outras tecnologias de proteção, como WAFs, são uma boa medida adicional, mas não devem ser considerados a única proteção contra ataques. Embora sejam geralmente bons em bloquear uma série de ataques, eles não são infalíveis. Muitas vezes são descobertas maneiras de contornar suas proteções, e os hackers podem empregar técnicas que tornam seus ataques indetectáveis para esses sistemas.
