Então você decidiu configurar um programa de verificação de vulnerabilidade, ótimo. Essa é uma das melhores maneiras de evitar violações de dados. Com que frequência você deve executar suas varreduras, embora não seja uma questão tão simples. As respostas não são as mesmas para cada tipo de organização ou cada tipo de sistema que você está verificando. Este guia o ajudará a entender as perguntas que você deve fazer, e ajudá-lo a encontrar as respostas certas para você.
Com que frequência as varreduras de vulnerabilidade devem ser executadas
Muitos dos conselhos abaixo dependem do que exatamente você está digitalizando. Se você ainda não tem certeza sobre isso.
Depois de decidir quais sistemas devem estar no escopo e que tipo de scanner você precisa, você está pronto para começar a digitalizar. Então, com que frequência você idealmente deve executar varreduras de vulnerabilidade?
Aqui estão cinco estratégias a serem consideradas e discutiremos em quais cenários elas funcionam melhor:
- Baseado em mudanças
- Com base na higiene
- Baseado em conformidade
- Baseado em recursos
- Baseado em ameaças emergentes
Baseado em Mudanças
As empresas de tecnologia em rápida evolução geralmente implantam alterações de código ou infraestrutura diariamente, enquanto outras organizações podem ter uma configuração relativamente estática e não estar fazendo alterações regulares em nenhum de seus sistemas. A complexidade da tecnologia que usamos significa que cada mudança pode trazer consigo um erro de configuração catastrófico ou a introdução acidental de um componente com vulnerabilidades conhecidas. Por esse motivo, executar uma varredura de vulnerabilidade mesmo depois de pequenas alterações serem aplicadas a seus sistemas é uma abordagem sensata.
Por ser baseada em mudanças, essa abordagem é mais adequada para ativos que mudam rapidamente, como aplicativos da web, ou infraestrutura em nuvem como AWS, Azure e GCP, onde novos ativos podem ser implantados e destruídos minuto a minuto. Também vale a pena fazer isso nos casos em que esses sistemas são expostos à Internet pública.
Por esse motivo, muitas empresas optam por integrar ferramentas de teste em seus pipelines de implantação automaticamente, por meio de uma API com a ferramenta de verificação escolhida.
Também vale a pena considerar o quão complexa é a mudança que você está fazendo. Embora as ferramentas automatizadas sejam ótimas para testes regulares, quanto maior ou mais dramática a mudança que você está fazendo, mais você pode querer considerar fazer um teste de penetração para verificar se nenhum problema foi introduzido.
Bons exemplos disso podem ser fazer grandes mudanças estruturais na arquitetura de aplicativos da web, qualquer autenticação abrangente ou alterações de autorização ou grandes novos recursos que introduzem muita complexidade. No lado da infraestrutura, o equivalente pode ser uma grande migração para a nuvem ou mudar de um provedor de nuvem para outro.
Baseado em higiene
Mesmo se você não fizer mudanças regulares em seus sistemas, ainda há um motivo incrivelmente importante para fazer a varredura de seus sistemas regularmente, e que muitas vezes é esquecido por organizações novas na varredura de vulnerabilidades.
Os pesquisadores de segurança encontram regularmente novas vulnerabilidades em softwares de todos os tipos, e o código de exploração pública, que facilita a exploração deles, pode ser divulgado publicamente a qualquer momento. Essa é a causa de alguns dos hacks mais impactantes da história recente, desde a violação Equifax até o ransomware Wannacry, ambos causados por novas falhas descobertas em software comum e criminosos rapidamente lançando armas para seus próprios fins.
Nenhum software está isento desta regra prática. Seja seu servidor da web, sistemas operacionais, uma estrutura de desenvolvimento específica que você usa, sua VPN de trabalho remoto ou firewall. O resultado final é que, mesmo que você tivesse feito uma varredura ontem que dizia que você estava seguro, isso não necessariamente acontecerá amanhã.
Novas vulnerabilidades são descobertas todos os dias, portanto, mesmo que nenhuma mudança seja implantada em seus sistemas, eles podem se tornar vulneráveis durante a noite.
Isso significa que você deve simplesmente executar varreduras de vulnerabilidade sem parar? Não necessariamente, pois isso pode gerar problemas de excesso de tráfego ou mascarar a ocorrência de problemas.
Como referência, o notório ataque cibernético WannaCry nos mostra que os prazos em tais situações são apertados, e as organizações que não reagem em um tempo razoável para descobrir e corrigir seus problemas de segurança se colocam em risco. A Microsoft lançou um patch para a vulnerabilidade que o WannaCry costumava se espalhar 59 dias antes dos ataques acontecerem. Além do mais, os invasores foram capazes de produzir um exploit e começar a comprometer as máquinas apenas 28 dias após o vazamento de um exploit público.
Observando os cronogramas apenas neste caso, fica claro que não executar verificações de vulnerabilidade e corrigir problemas em uma janela de 30-60 dias é correr um grande risco, e não se esqueça de que mesmo depois de descobrir o problema, ele pode leve algum tempo para consertar.
Nossa recomendação para uma boa higiene cibernética para a maioria das empresas é usar um scanner de vulnerabilidade em sua infraestrutura externa pelo menos uma vez por mês, para permitir que você fique um passo à frente dessas surpresas desagradáveis. Para organizações com maior sensibilidade à segurança cibernética, varreduras semanais ou mesmo diárias podem fazer mais sentido. Da mesma forma, as varreduras de infraestrutura interna uma vez por mês ajudam a manter uma boa higiene cibernética.
Para aplicativos da web, verificar seus componentes de estrutura e infraestrutura regularmente faz o mesmo sentido, mas se você estiver procurando por erros em seu próprio código com verificações autenticadas, uma abordagem baseada em mudanças faz muito mais sentido.
Baseado em conformidade
Se você estiver executando varreduras de vulnerabilidade por motivos de conformidade, regulamentações específicas geralmente declaram explicitamente com que frequência as varreduras de vulnerabilidade devem ser realizadas. Por exemplo, o PCI DSS requer que varreduras externas trimestrais sejam realizadas nos sistemas em seu escopo.
No entanto, Intruder recomenda pensar cuidadosamente sobre sua estratégia de varredura, já que as regras regulatórias são uma diretriz padrão que pode não ser apropriada para o seu negócio. A simples comparação deste regulamento de 90 dias com os cronogramas vistos no exemplo WannaCry acima nos mostra que tais diretrizes nem sempre cortam a mostarda. Se você realmente deseja se manter seguro em vez de simplesmente marcar uma caixa, geralmente faz sentido ir além desses regulamentos, das maneiras descritas acima.
Baseado em recursos
Os scanners de vulnerabilidade podem produzir uma grande quantidade de informações e revelar muitas falhas, algumas das quais representam riscos maiores do que outras. Ao considerar a quantidade de informação que precisa ser processada e a quantidade de trabalho que precisa ser realizada para corrigir essas falhas, pode ser tentador pensar que só faz sentido digitalizar com a frequência que você puder lidar com toda a saída, como uma vez um quarto.
Embora essa seja uma boa maneira de fazer as coisas, infelizmente, novas vulnerabilidades estão sendo descobertas em uma base muito mais regular do que isso, então, em vez de limitar suas varreduras à frequência com que você pode lidar com a saída, é muito mais sensato procurar um scanner que gera menos ruído em primeiro lugar e ajuda você a se concentrar nas questões mais importantes primeiro; e fornece orientação sobre quais tipos de prazos os outros devem ser atendidos.
Também é verdade que, como humanos, começamos a ignorar as coisas se elas se tornarem muito barulhentas. A fadiga do alerta é uma preocupação genuína em segurança cibernética, então você deve se certificar de que está trabalhando com uma ferramenta que não está enviando spam para você com informações 24 horas por dia, 7 dias por semana, pois isso pode fazer você parar de prestar atenção e provavelmente perder as questões importantes quando eles acontecem. Certifique-se de levar isso em consideração ao escolher um scanner, pois é um erro comum pensar que aquele que oferece a maior produção é o melhor!
Baseado em ameaças emergentes
Então, agora que você decidiu em qual programação executar suas verificações, vale a pena considerar o que acontece nas lacunas quando você não está executando verificações.
Por exemplo, digamos que você decida que uma varredura mensal faz sentido para você verificar todas as alterações que fizer em uma base semi-regular. Isso é ótimo, mas como mostra o cronograma para a violação Equifax, você pode ter um problema mesmo em um espaço tão curto como 30 dias, se uma vulnerabilidade for descoberta um dia após sua última varredura. Combinar nossos pensamentos sobre a fadiga do alerta acima, porém, apenas agendar uma varredura diária pode não ser a melhor maneira de evitar isso.
Para resolver este problema, alguns scanners de vulnerabilidade fornecem maneiras de cobrir essas lacunas – alguns o fazem armazenando as informações recuperadas na última varredura e alertando se essas informações são relevantes para quaisquer novas vulnerabilidades à medida que são lançadas.
