A exploração de vulnerabilidades tem sido, por muito tempo, uma tática popular entre os cibercriminosos, e continua crescendo cada vez mais. Estima-se que os casos de exploração de vulnerabilidades que resultaram em vazamentos de dados triplicaram em 2023. Além disso, os ataques focados em falhas de segurança seguem sendo uma das três principais formas pelas quais os ataques de ransomware se iniciam.

Com o número de Common Vulnerabilities and Exposures (CVEs) atingindo novos recordes históricos, as organizações enfrentam grandes desafios para lidar com esse cenário. Para isso, é necessário adotar uma abordagem mais consistente, automatizada e baseada em risco para mitigar as ameaças relacionadas às vulnerabilidades.

Sobrecarga de erros

As vulnerabilidades de software são inevitáveis. Enquanto houver humanos criando código, o erro humano sempre encontrará seu caminho no processo, gerando falhas que os cibercriminosos se tornaram especialistas em explorar. No entanto, ao fazer isso em grande velocidade e escala, abre-se uma porta não apenas para ransomware e roubo de dados, mas também para sofisticadas operações de espionagem patrocinadas pelo Estado, ataques destrutivos e muito mais.

Infelizmente, o número de CVEs publicados a cada ano permanece obstinadamente alto, devido a vários fatores:

  • O desenvolvimento contínuo de novos softwares e a integração constante resultam em maior complexidade e atualizações frequentes, o que amplia os possíveis pontos de entrada para os atacantes e, em alguns casos, introduz novas vulnerabilidades. Ao mesmo tempo, as empresas adotam novas ferramentas que frequentemente dependem de componentes de terceiros, bibliotecas de código aberto e outras dependências que podem conter vulnerabilidades ainda não descobertas.
  • Frequentemente, a velocidade é priorizada em detrimento da segurança digital, o que significa que o software é desenvolvido sem as devidas verificações de código. Isso permite que erros sejam introduzidos no código de produção, muitas vezes provenientes de componentes de código aberto utilizados pelos desenvolvedores.
  • Os pesquisadores éticos estão intensificando seus esforços, em parte devido à proliferação de programas de recompensas por falhas, gerenciados por organizações tão diversas quanto o Pentágono e o Meta. Esses programas são divulgados e corrigidos de maneira responsável pelos fornecedores, mas, se os clientes não aplicarem esses patches, ficarão expostos a exploits.
  • Os vendedores comerciais de programas espiões operam em uma zona cinza do ponto de vista legal, vendendo malware e exploits para que seus clientes - muitas vezes governos autocráticos - espionem seus inimigos. O Centro Nacional de Cibersegurança do Reino Unido (NCSC) calcula que o "setor de ciberintrusão" comercial dobra a cada dez anos.
  • A cadeia de suprimentos da ciberdelinquência está cada vez mais profissionalizada, com intermediários de acesso inicial (IAB) que se concentram exclusivamente em invadir as organizações vítimas, frequentemente por meio da exploração de vulnerabilidades. Um relatório de 2023 registrou um aumento de 45% de IABs em fóruns de ciberdelinquência, e uma duplicação dos anúncios de IABs na web escura em 2022, em comparação com os 12 meses anteriores.

Que tipos de vulnerabilidades estão gerando mais impacto?

O cenário das vulnerabilidades apresenta mudanças e continuidade. Muitos dos suspeitos habituais aparecem na lista do MITRE dos 25 erros de software mais comuns e perigosos observados entre junho de 2023 e junho de 2024. Eles incluem as categorias de vulnerabilidades mais comuns, como scripts entre sites, injeção SQL, uso após liberação, leitura fora dos limites, injeção de código e falsificação de solicitação entre sites (CSRF). A maioria dos ciberdefensores deve estar familiarizada com essas vulnerabilidades e, por isso, elas podem exigir menos esforço para mitigação, seja por meio do aprimoramento do endurecimento/proteção dos sistemas e/ou da melhoria das práticas de DevSecOps.

No entanto, existem outras tendências que podem ser ainda mais preocupantes. A Agência de Cibersegurança e Segurança das Infraestruturas dos Estados Unidos (CISA) afirma em sua lista de Vulnerabilidades Frequentemente Exploradas de 2023 que a maioria dessas falhas foi inicialmente explorada como uma vulnerabilidade zero-day. Isso significa que, no momento da exploração, não havia patches disponíveis, e as organizações precisam recorrer a outros mecanismos para se manterem seguras ou minimizar o impacto. Por outro lado, as falhas de baixa complexidade e que exigem pouca ou nenhuma interação do usuário também costumam ser favorecidos. Um exemplo são os exploits zero-click, oferecidos por vendedores comerciais de spyware para implantar malware.

Outra tendência é a de atacar produtos baseados no perímetro com a exploração de vulnerabilidades. O Centro Nacional de Cibersegurança (NCSC) alertou sobre um aumento desse tipo de ataques, frequentemente com exploits de zero-day direcionados a aplicações de transferência de arquivos, firewalls, VPNs e soluções de gestão de dispositivos móveis (MDM). Segundo afirmam:

"Os cibercriminosos perceberam que a maioria dos produtos expostos no perímetro não são "seguros por design", o que torna as vulnerabilidades muito mais fáceis de serem encontradas do que no software cliente popular. Além disso, esses produtos geralmente não têm um registro adequado (nem podem ser investigados facilmente do ponto de vista forense), o que os torna pontos de apoio perfeitos em uma rede na qual é provável que todos os dispositivos clientes estejam executando funções de detecção de alto nível."

Para piorar a situação…

Como se isso não fosse suficiente para preocupar os defensores das redes, seus esforços são ainda mais complicados por:

  • A velocidade da exploração de vulnerabilidades. A pesquisa do Google Cloud estima um tempo médio de exploração de apenas cinco dias em 2023, em comparação com uma cifra anterior de 32 dias.
  • A complexidade dos sistemas de TI e OT/IoT das empresas atuais, que abrangem ambientes híbridos e multi-nuvem com tecnologia legada frequentemente silenciada.
  • Patches de fornecedores de baixa qualidade e comunicações confusas, o que leva os defensores a duplicar esforços e significa que, muitas vezes, eles são incapazes de medir eficazmente sua exposição ao risco.
  • Um atraso na NVD do NIST que deixou muitas organizações sem uma fonte crítica de informação atualizada sobre as últimas CVE.

Segundo uma análise da Verizon sobre o catálogo de Vulnerabilidades Explotadas Conhecidas (KEV) da CISA:

  • Aos 30 dias, 85% das vulnerabilidades não haviam sido corrigidas.
  • Aos 55 dias, 50% das vulnerabilidades não haviam sido corrigidas.
  • Aos 60 dias, 47% das vulnerabilidades não haviam sido corrigidas.

Tempo de aplicação de patches

A verdade é que simplesmente há muitas CVEs publicadas a cada mês, em muitos sistemas, para que as equipes de TI e segurança das empresas possam corrigir todas. Portanto, a atenção deve se concentrar em priorizar de forma eficaz de acordo com o apetite de risco e a gravidade. Considere as seguintes características para qualquer solução de gerenciamento de vulnerabilidades e patches:

  • Escaneamento automatizado dos ambientes empresariais em busca de CVEs conhecidas;
  • Priorização de vulnerabilidades com base na gravidade;
  • Relatórios detalhados para identificar software e ativos vulneráveis, CVEs relevantes e patches, etc.;
  • Flexibilidade para selecionar ativos específicos para a aplicação de patches de acordo com as necessidades da empresa.

Opções de aplicação de patches automatizada ou manual

Para as ameaças de zero-day, considere a detecção avançada de ameaças que desempacota e escaneia automaticamente os possíveis exploits, executando-os em um sandbox baseado em nuvem para verificar se são maliciosos ou não. Os algoritmos de aprendizado de máquina podem ser aplicados ao código para identificar novas ameaças com um alto grau de precisão em questão de minutos, bloqueando-as automaticamente e fornecendo um status de cada amostra.

Outras táticas podem incluir a microsegmentação das redes, o acesso à rede de confiança zero, a supervisão da rede (para detectar comportamentos incomuns) e programas sólidos de conscientização sobre cibersegurança.

À medida que os cibercriminosos adotam suas próprias ferramentas de IA em maior número, será mais fácil para eles buscar ativos vulneráveis expostos a ataques pela internet. Com o tempo, eles poderão até usar o GenAI para ajudar a encontrar vulnerabilidades de zero-day. A melhor defesa é manter-se informado e manter um diálogo regular com seus parceiros de segurança de confiança.