Pesquisa da Vulcan Cyber mostra como as equipes estão priorizando os riscos no dia-a-dia das empresas

Ao decidir o que fazer no dia-a-dia, as equipes de segurança corporativa estão lutando para deixar de lado a simples identificação e correção de vulnerabilidades e evoluir para uma resposta e correção mais eficazes.

Essa é uma das conclusões do estudo “How are Cyber Security Teams Prioritizing Vulnerability Risk?”, feito pela empresa Vulcan Cyber. O estudo descobriu que é limitada a capacidade dos líderes de negócios e gerentes de TI para obter as informações de que precisam para proteger com eficácia os ativos de negócios. Infelizmente isso torna os programas de gerenciamento de vulnerabilidade em geral ineficazes.

A grande maioria dos tomadores de decisão avalia e prioriza vulnerabilidades de acordo com dois ou mais modelos:

• CVSS Common Vulnerability Scoring System (71%),
• OWASP Top 10 (59%),
• Vulnerability Scanner (47%),
• Top -25 CWE (38%) e …
• Modelos sob medida (22%)

Para garantir um gerenciamento de risco cibernético significativo, observa o estudo, o mais eficaz é um modelo de pontuação e priorização customizado que leve em consideração vários padrões do setor. Apesar disso, a maioria dos participantes da pesquisa Vulcan Cyber ​​tende a classificar as vulnerabilidades por

• Infraestrutura (64%)
• Função de negócios (53%) e
• Aplicativo (53%)

Ocorre que, segundo a empresa, priorizar riscos com base na classificação por infraestrutura e aplicativos fora do contexto de ativos não faz sentido: “A falha em correlacionar dados de vulnerabilidade com riscos reais de negócios deixa as organizações desprotegidas”, pondera o documento.

A maioria dos participantes da pesquisa (54%) considera o vazamento de dados confidenciais a ameaça mais séria que as vulnerabilidades em aplicativos podem causar. Isso é seguido por autenticação incorreta (44%), configuração incorreta dos mecanismos de segurança (39%), registro e monitoramento insuficientes (35%) e injeção (32%).

“Quanto mais controle uma equipe de segurança tem sobre a avaliação e priorização dos riscos, mais eficazmente eles podem mitigá-los. No entanto, ainda não existe uma estrutura ampla do setor para o gerenciamento de vulnerabilidade com base em risco, o que significa que a higiene cibernética ainda é inadequada e as vulnerabilidades continuam a representar riscos”.

Como a pesquisa foi encerrada antes de dezembro, ainda não havia a ameaça das vulnerabilidades da Log4J-2. Assim os participantes estavam mais preocupados com a vulnerabilidade CVE-2014-6324 no Microsoft Windows, mais temida do que as vulnerabilidades mais perigosas no Windows SMB, CVE-2019-0708 (BlueKeep), CVE-2014-0160 (Heartbleed) e EternalBlue.

Fonte:https://www.cisoadvisor.com.br/como-as-equipes-de-cyber-priorizam-os-riscos/?amp=1