LastPass Labs é o hub de conteúdos da equipe dedicada de Inteligência, Mitigação e Escalonamento de Ameaças (Threat Intelligence, Mitigation, and Escalation, TIME) do LastPass. Nosso objetivo é apresentar análises profundas do que há de mais novo na área de segurança, com um olhar apurado para tecnologias inovadoras e pontos de vista singulares sobre ameaças.
Toda empresa precisa se preocupar com sua cibersegurança, desde multinacionais gigantescas a startups de uma pessoa só. Embora algumas empresas sejam prósperas o suficiente para dedicar grandes orçamentos à cibersegurança, outras precisam estabelecer prioridades para seus recursos limitados a fim de maximizar os lucros. Além de estabelecer controles rigorosos sobre e-mails, como verificação e bloqueio de mensagens mal-intencionadas, e adotar iniciativas de conscientização e treinamento de colaboradores para reduzir os riscos de ataques de engenharia social, o gerenciamento de vulnerabilidades é um pilar fundamental de um programa básico de cibersegurança, com retorno imediato sobre o investimento. A exploração de vulnerabilidades é uma das principais causas de incidentes cibernéticos: em seu relatório M-Trends de 2023, a Mandiant observa que 36% de suas investigações sobre invasões incluíam a exploração de uma vulnerabilidade.
Entender a infraestrutura tecnológica da sua empresa e usar o gerenciamento de ativos para saber quais dispositivos fazem parte da rede são ações vistas como essenciais em diversas metodologias de cibersegurança, como a do Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST, na sigla em inglês). Ao conhecer seu inventário tecnológico, a empresa – independentemente do tamanho – consegue entender se é afetada por novas vulnerabilidades e pode tomar as devidas providências para corrigi-las. Não dá para proteger o que não se conhece. A importância de identificar a presença de vulnerabilidades no ambiente da empresa e corrigi-las o quanto antes é inestimável. Segundo o relatório Vulnerability Intelligence de 2022 da Rapid7, mais da metade das vulnerabilidades estudadas foram exploradas em até sete dias após chegarem ao conhecimento público, representando um aumento de 12% em relação a 2021 e de 87% em relação a 2020.
Embora a maioria das pessoas associe vulnerabilidades a grandes desenvolvedores de software, o uso de softwares de código aberto complica ainda mais o cenário de ameaças. Segundo um estudo da OpenUK, 90% das empresas usam softwares de código aberto, aumentando o potencial de riscos à segurança da cadeia de suprimento para além das preocupações padrão que giram em torno de sistemas operacionais e/ou softwares proprietários. Além disso, o Gartner prevê que 45% das organizações de todo o mundo sofrerão um ataque em sua cadeia de suprimento de softwares até 2025. A disseminação do uso de softwares de código aberto cria dependências difíceis de serem identificadas se não forem acompanhadas de perto. Por exemplo, um ano após a divulgação e apesar de estar entre as vulnerabilidades mais exploradas de 2022, a vulnerabilidade Apache Log4j (CVE-2021-44228) ainda era encontrada em 5% das bases de código auditadas pela Synopsys, segundo seu relatório Open-Source Security and Risk Analysis de 2023.
Por fim, a normalização do trabalho remoto e de políticas Bring Your Own Device (BYOD, Traga seu próprio dispositivo) ampliou a superfície potencial de ataque indo muito além das fronteiras tradicionais da infraestrutura das empresas, levando-as a considerar possíveis vulnerabilidades fora do controle direto. Por isso, políticas robustas de aplicação de patches, capacitação da força de trabalho e comunicação são cruciais para ajudar a fortalecer essas fronteiras mais amplas do ambiente da empresa.
O que pode ser feito?
- Estabeleça políticas e procedimentos de gerenciamento de vulnerabilidades e de patches que estejam em sintonia tanto com as prioridades da empresa quanto com as práticas recomendadas do setor. Quem tem políticas claras que ditam como responder a novas vulnerabilidades agiliza e facilita as medidas corretivas.
- Quando possível, invista em ferramentas que viabilizem a detecção automática de ativos e de vulnerabilidades e/ou de problemas que possam afetar a empresa.
- Crie um inventário robusto de ativos que abranja mais do que os softwares proprietários do ambiente da empresa para entender também as dependências de código aberto que possam existir entre os aplicativos. Listas de materiais de softwares (SBOMs, na sigla em inglês) podem ajudar a identificar quais componentes de código aberto podem ser essenciais para as operações da empresa, facilitando a ação rápida caso surja uma nova vulnerabilidade.
- Sempre que possível, ative as atualizações automáticas de software para corrigir vulnerabilidades o quanto antes. Caso seja necessário realizar testes para garantir que a atualização não atrapalhará as operações, realize-os o mais rápido possível.
- A quantidade de vulnerabilidades divulgadas todos os anos pode ser assustadora. Por exemplo, 2022 terminou com mais de 25.000 vulnerabilidades publicadas. Priorize a correção dessas vulnerabilidades tanto pela gravidade quanto pela presença da exploração ativa por parte de pessoas mal-intencionadas. Para facilitar esses esforços, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA, na sigla em inglês) mantém um catálogo de vulnerabilidades exploradas conhecidas que passa por atualizações frequentes (o catálogo está disponível aqui). A lista é gratuita e está disponível ao público, podendo servir como um recurso importante para ajudar na priorização da aplicação de patches com base em ameaças reais. Além disso, o Forum of Incident Response and Security Teams (FIRST) criou um sistema de pontuação de previsão de exploração de vulnerabilidades (EPSS, na sigla em inglês), outra ferramenta que pode facilitar a priorização de correções com base na probabilidade de exploração.
- O desenvolvimento de uma metodologia personalizada de priorização também pode auxiliar bastante na resposta rápida e adequada a novas vulnerabilidades. Esse modelo dependeria de um conjunto de elementos externos, como a pontuação CVSS de uma vulnerabilidade e evidências de explorações ativas, e elementos internos, como uma análise para saber se os ativos afetados são fundamentais e/ou têm interação com o público.
- Estabeleça políticas claras para atualizar dispositivos contemplados por políticas BYOD e comunique essas expectativas aos colaboradores. Destaque novas vulnerabilidades que possam afetar esses dispositivos (como celulares ou computadores domésticos) para que os colaboradores apliquem prontamente os patches.