Um novo relatório da XM Cyber descobriu – entre outras informações – uma lacuna dramática entre onde a maioria das organizações concentra seus esforços de segurança e onde as ameaças mais sérias realmente residem.

O novo relatório, Navegando pelos Caminhos do Risco: O Estado da Gestão de Exposições em 2024, é baseado em centenas de milhares de avaliações de caminhos de ataque realizadas pela plataforma XM Cyber durante 2023. Essas avaliações descobriram mais de 40 milhões de exposições que afetaram milhões de ativos críticos de negócios. Dados anonimizados sobre essas exposições foram então fornecidos ao Instituto Cyentia para análise independente. Para ler o relatório completo, confira aqui.

As descobertas lançam luz crítica sobre a contínua superênfase na remediação de CVEs em programas de segurança cibernética. Na verdade, a XM Cyber descobriu que vulnerabilidades baseadas em CVE representam menos de 1% da paisagem de exposição On-prem de organizações médias. Mesmo ao considerar as exposições de alto impacto que representam um risco de comprometimento para ativos críticos de negócios, essas CVEs ainda representam apenas uma pequena porcentagem (11%) do perfil de risco de exposição.

Onde está a parcela majoritária do risco realmente presente? Vamos aprofundar mais nos resultados:

CVEs: Não Necessariamente Exposições

Ao analisar a infraestrutura On-premises, a XM Cyber descobriu no relatório que, da grande maioria das organizações (86%), as vulnerabilidades executáveis de código remoto representam (conforme mencionado acima) menos de 1% de todas as exposições e apenas 11% das exposições críticas.

A pesquisa descobriu que configurações de identidade e credenciais representam impressionantes 80% das exposições de segurança em organizações, com um terço dessas exposições colocando ativos críticos em risco direto de violação – um vetor de ataque exposto que está sendo ativamente explorado por adversários.

Portanto, o relatório deixa claro que, embora a correção de vulnerabilidades seja importante, não é suficiente. Ameaças mais prevalentes, como atacantes envenenando pastas compartilhadas com código malicioso (contaminar conteúdo compartilhado) e usando credenciais locais comuns em vários dispositivos, expõem uma parcela muito maior de ativos críticos (24%) em comparação com CVEs.

Assim, programas de segurança precisam se estender muito além da correção de CVEs. Boas práticas de higiene cibernética e um foco na mitigação de gargalos e exposições como fraco gerenciamento de credenciais são cruciais.

Não Se Preocupe com Calçadas Sem Saída, Procure Pontos de Estrangulamento de Alto Impacto

A segurança tradicional tenta corrigir todas as vulnerabilidades, mas o relatório da XM Cyber mostra que 74% das exposições são na verdade calçadas sem saída para atacantes – oferecendo-lhes movimentos mínimos para frente ou lateral. Isso torna essas vulnerabilidades, exposições e configurações inadequadas menos críticas para seus esforços de remediação, permitindo mais tempo para se concentrar nos problemas reais que representam uma ameaça validada para ativos críticos.

Os 26% restantes de exposições descobertas no relatório permitiriam que adversários propagassem seus ataques em direção a ativos críticos. A Análise do Gráfico de Ataque da XM Cyber identifica os pontos principais onde múltiplos caminhos de ataque em direção a ativos críticos convergem como “pontos de estrangulamento”. O relatório destaca que apenas 2% das exposições residem em “pontos de estrangulamento”. Dando às equipes de segurança um subconjunto muito menor de exposições de alto impacto para concentrar seus esforços de remediação. Esses “pontos de estrangulamento” – são destacados em amarelo e vermelho no gráfico abaixo. Eles são especialmente perigosos porque comprometer apenas um pode expor uma parte significativa de ativos críticos. De fato, o relatório descobriu que 20% dos pontos de estrangulamento expõem 10% ou mais dos ativos críticos. Assim, identificar caminhos de ataque e concentrar-se em pontos de estrangulamento de alto risco pode oferecer aos defensores mais eficiência na redução de riscos. Para saber mais sobre pontos de estrangulamento, confira este artigo.

Encontrar e Categorizar Exposições: Foco em Ativos Críticos

Onde estão as exposições e como os atacantes as exploram? Tradicionalmente, a superfície de ataque é vista como tudo no ambiente de TI. No entanto, o relatório mostra que a segurança eficaz requer entender onde residem os ativos de valor e como eles são expostos.

Por exemplo, o relatório analisa a distribuição de pontos de ataque potenciais em diferentes ambientes – descobrindo que nem todas as entidades são vulneráveis (veja o gráfico abaixo). Uma métrica mais crítica é a exposição aos ativos críticos. Ambientes em nuvem contêm a maioria das exposições de ativos críticos, seguidos pelo Active Directory (AD) e dispositivos de TI/Rede.

Vale a pena aprofundar na extrema vulnerabilidade do AD organizacional. O Active Directory ainda é a pedra fundamental do gerenciamento de identidade organizacional – no entanto, o relatório descobriu que 80% de todas as exposições de segurança identificadas derivam de configurações ou vulnerabilidades do Active Directory. Ainda mais preocupante, um terço de todas as vulnerabilidades de ativos críticos podem ser rastreadas até problemas de identidade e credenciais dentro do Active Directory.

Qual é a conclusão aqui? As equipes de segurança muitas vezes são organizadas por categorias de ativos críticos. Embora isso possa ser suficiente para gerenciar o número geral de entidades, pode perder o panorama geral. Exposições críticas, embora menores em número, representam um risco muito maior e exigem foco dedicado. (Para ajudar você a se manter no caminho certo ao lidar com problemas de segurança do AD, recomendamos esta prática lista de verificação de segurança das melhores práticas do AD.)

Necessidades Diferentes para Indústrias Diferentes

O relatório também analisa os diferentes riscos de cibersegurança entre indústrias. Indústrias com um maior número de entidades (potenciais pontos de ataque) tendem a ter mais vulnerabilidades. A saúde, por exemplo, tem 5 vezes mais exposição do que Energia e Utilitários.

No entanto, a métrica-chave de risco é a proporção de exposições que ameaçam ativos críticos. Aqui, o quadro se inverte. Transporte e Energia têm uma porcentagem muito maior de exposições críticas, apesar de terem menos vulnerabilidades no geral. Isso significa que eles possuem uma concentração maior de ativos críticos que os atacantes podem mirar.

A conclusão é que diferentes indústrias requerem abordagens de segurança diferentes. As empresas financeiras têm mais ativos digitais, mas uma taxa de exposição crítica mais baixa em comparação com Energia. Entender a superfície de ataque específica da indústria e as ameaças que ela enfrenta é crucial para uma estratégia eficaz de cibersegurança.

A Linha de Fundo

Uma descoberta chave final demonstra que a gestão de exposições não pode ser um projeto único ou anual. É um processo contínuo e em constante mudança para impulsionar melhorias. No entanto, a superconcentração de hoje na correção de vulnerabilidades (CVEs) leva à negligência de ameaças mais prevalentes.

O ecossistema de segurança atual e o cenário de ameaças não são os de ontem. É hora de uma mudança de paradigma em cibersegurança. Em vez de corrigir cada vulnerabilidade, as organizações precisam priorizar as exposições de alto impacto que oferecem aos atacantes um movimento significativo para frente e lateral dentro de uma rede invadida – com um foco especial nos 2% das exposições que residem em “pontos de estrangulamento” onde remediar pontos-chave fracos em seu ambiente terá a redução mais positiva em sua postura geral de risco.

Chegou a hora de ir além de uma mentalidade de marcação de caixas e focar nos vetores de ataque do mundo real.