Um novo relatório da XM Cyber descobriu – entre outros insights – um dramático lacuna entre onde a maioria das organizações concentra seus esforços de segurança e onde realmente residem as ameaças mais sérias.
O novo relatório, Navegando pelos caminhos do risco: o estado do gerenciamento de exposição em 2024, baseia-se em centenas de milhares de avaliações de caminhos de ataque conduzidas pela plataforma XM Cyber durante 2023. Essas avaliações revelaram mais de 40 milhões de exposições que afetaram milhões de empresas. ativos críticos. Dados anonimizados relativos a essas exposições foram então fornecidos ao Cyentia Institute para análise independente. Para ler o relatório completo, confira aqui.
Baixe o relatório para descobrir:
- Principais conclusões sobre os tipos de exposições que colocam as organizações em maior risco de violação.
- O estado dos caminhos de ataque entre redes locais e em nuvem.
- Principais técnicas de ataque vistas em 2023.
- Como se concentrar no que é mais importante e remediar os riscos de exposição de alto impacto aos seus ativos críticos.
As descobertas lançam uma luz crítica sobre a contínua ênfase excessiva na remediação de CVEs em programas de segurança cibernética. Na verdade, a XM Cyber descobriu que As vulnerabilidades baseadas em CVE representam menos de 1% do cenário médio de exposição no native das organizações. Mesmo quando se consideram exposições de alto impacto que apresentam um risco de comprometimento de ativos críticos para o negócio, estes CVE ainda representam apenas uma pequena percentagem (11%) do perfil de risco da exposição.
Onde realmente reside a maior parte do risco? Vamos nos aprofundar nos resultados:
CVEs: exposições não necessariamente
Ao analisar a infra-estrutura native, da grande maioria das organizações (86%), o relatório XM Cyber descobriu, não surpreendentemente, que as vulnerabilidades executáveis de código remoto representaram (conforme mencionado acima) por menos de 1% de todas as exposições e apenas 11% de exposições críticas.
A pesquisa descobriu que as configurações incorretas de identidade e credenciais representam impressionantes 80% das exposições de segurança nas organizações, com um terço dessas exposições colocando ativos críticos em risco direto de violação – um vetor de ataque aberto sendo ativamente explorado por adversários.
Assim, o relatório deixa claro que, embora corrigir vulnerabilidades seja importante, não é suficiente. Ameaças mais prevalentes, como invasores que envenenam pastas compartilhadas com código malicioso (contaminação de conteúdo compartilhado) e usam credenciais locais comuns em vários dispositivos, expõem uma parcela muito maior de ativos críticos (24%) em comparação com CVEs.
Assim, os programas de segurança precisam ir muito além da correção de CVEs. Boas práticas de higiene cibernética e o foco na mitigação de pontos de estrangulamento e exposições como o fraco gerenciamento de credenciais são cruciais.
Não se preocupe com becos sem saída, procure pontos de estrangulamento de alto impacto
A segurança tradicional tenta corrigir todas as vulnerabilidades, mas o relatório da XM Cyber mostra que 74% das exposições são, na verdade, becos sem saída para os invasores – oferecendo-lhes um movimento mínimo ou lateral. Isso torna essas vulnerabilidades, exposições e configurações incorretas menos críticas para seus esforços de correção, permitindo mais tempo para se concentrar nos problemas reais que representam uma ameaça validada a ativos críticos.
Os restantes 26% de exposição descobertos no relatório permitiriam que os adversários propagassem os seus ataques contra activos críticos. O XM Cyber Assault Graph Evaluation(™) identifica as principais interseções onde vários caminhos de ataque em direção a ativos críticos convergem como “pontos de estrangulamento”. O relatório destaca que apenas 2% das exposições residem em “pontos de estrangulamento”. Oferecer às equipes de segurança um subconjunto muito menor de exposições de alto impacto nas quais concentrar seus esforços de remediação. Esses “pontos de estrangulamento” estão destacados em amarelo e vermelho no gráfico abaixo. Eles são especialmente perigosos porque comprometer apenas um deles pode expor uma parcela significativa de ativos críticos. Na verdade, o relatório constatou que 20% dos pontos de estrangulamento expõem 10% ou mais dos ativos críticos. Assim, identificar caminhos de ataque e focar em pontos de estrangulamento de alto risco pode dar aos defensores um retorno maior do seu investimento – reduzindo o risco de forma muito mais eficiente. Para saber mais sobre pontos de estrangulamento, confira este artigo.
Encontrando e Categorizando Exposições: Foco em Ativos Críticos
Onde estão as exposições e como os invasores as exploram? Tradicionalmente, a superfície de ataque é vista como tudo no ambiente de TI. No entanto, o relatório mostra que a segurança eficaz requer a compreensão de onde residem os ativos valiosos e como estão expostos.
Por exemplo, o relatório analisa a distribuição de potenciais pontos de ataque entre ambientes – descobrindo que nem todas as entidades são vulneráveis (veja o gráfico abaixo). Uma métrica mais crítica é a exposição a ativos críticos. Os ambientes em nuvem detêm as exposições de ativos mais críticas, seguidos pelo Lively Listing (AD) e dispositivos de TI/rede.
Vale a pena aprofundar a vulnerabilidade extrema do AD organizacional. O Lively Listing continua sendo a base do gerenciamento de identidade organizacional – mas o relatório concluiu que 80% de todas as exposições de segurança identificadas decorrem de configurações incorretas ou pontos fracos do Lively Listing. Ainda mais preocupante, um terço de todas as vulnerabilidades de ativos críticos pode ser atribuída a problemas de identidade e credenciais no Lively Listing.
Qual é a conclusão aqui? As equipes de segurança são frequentemente organizadas por categorias de ativos críticos. Embora isto possa ser suficiente para gerir o número complete de entidades, pode perder a visão geral. As exposições críticas, embora em menor número, representam um risco muito maior e requerem foco dedicado. (Para ajudar a mantê-lo atualizado na solução de problemas de segurança do AD, recomendamos esta lista de verificação de segurança de práticas recomendadas do AD.)
Diferentes necessidades para diferentes setores
O relatório também analisa diferentes riscos de segurança cibernética em todos os setores. Indústrias com maior número de entidades (potenciais pontos de ataque) tendem a ter mais vulnerabilidades. A área da saúde, por exemplo, tem 5 vezes mais exposição da Energia e Utilities.
Contudo, a principal métrica de risco é a proporção de exposições que ameaçam ativos críticos. Aqui, a imagem vira. Transportes e Energia têm uma percentagem muito mais elevada de exposições críticas, apesar de terem menos vulnerabilidades globais. Isso significa que eles detêm uma maior concentração de ativos críticos que os invasores podem atingir.
A conclusão é que diferentes setores exigem diferentes abordagens de segurança. As empresas financeiras têm mais ativos digitais, mas uma taxa de exposição crítica mais baixa em comparação com a Energia. Compreender a superfície de ataque específica do setor e as ameaças que enfrenta é essential para uma estratégia eficaz de segurança cibernética.
O resultado last
Uma conclusão last demonstra que a gestão da exposição não pode ser um projeto único ou anual. É um processo contínuo e em constante mudança para gerar melhorias. No entanto, o foco excessivo atual na correção de vulnerabilidades (CVEs) leva à negligência das ameaças mais prevalentes.
O ecossistema de segurança e o cenário de ameaças atuais não são de ontem. É hora de uma mudança de paradigma de segurança cibernética. Em vez de corrigir todas as vulnerabilidades, as organizações precisam priorizar as exposições de alto impacto que oferecem aos invasores um movimento significativo para frente e lateral dentro de uma rede violada – com foco especial nos 2% das exposições que residem em “pontos de estrangulamento”, onde remediar os principais pontos fracos em seu ambiente terá a redução mais positiva em sua postura geral de risco.
Chegou a hora de ir além da mentalidade de marcar a caixa e focar nos vetores de ataque do mundo actual.
As conclusões do relatório State of Publicity Administration baseiam-se em dados da XM Cyber Steady Publicity Administration Platform que foram analisados de forma independente pelo Cyentia Institute. Pegue seu relatório gratuito aqui.
Observação: este artigo foi escrito habilmente por Dale Fairbrother, gerente sênior de advertising de produto da XM Cyber.
