Análise: o curioso caso das vulnerabilidades incorrigíveis

Um componente fundamental para a maioria, se não para todos, os programas de segurança de TI é a correção de vulnerabilidade de sistemas críticos.

Ainda assim, os especialistas em segurança estão olhando de forma diferente para a estratégia, conforme as vulnerabilidades dos dados mostram que poucos ataques comprometem o sistema usando uma falha que pode ser corrigida.

Em 2010, por exemplo, somente cinco vulnerabilidades foram exploradas por invasores nas 381 brechas investigadas pela Verizon, segundo o Data Breach Investigations Report (DBIR) da empresa. Em vez disso, a maioria dos ataques explorarou erros de configuração ou ganharam credenciais para o sistema de outra forma.

Os dados sugerem que o foco de empresas de TI em correções pode levar os gerentes a perder outras estratégias importantes para minimizar os ricos, afirmou Wade Baker, diretor de inteligência de risco da Verizon.

“Em geral, a indústria de segurança é focada mais na vulnerabilidade do que na ameaça ou no impacto. Ameaça, vulnerabilidade e impacto são componentes de risco, mas a maioria do nosso tempo é gasto com vulnerabilidades”.

Os dados do relatório da Verizon destacam que a correção – apesar de um componente necessário de qualquer programa de gerenciamento de vulnerabilidade – não é o suficiente.

Segundo Baker, os especialistas em segurança não estão dizendo às empresas para descartar seu gerenciamento de vulnerabilidade e processos de correção – elas devem balancear suas prioridades. Por exemplo, se uma companhia corrige seu sistema uma vez por trimestre, então, se adequar a outros patches é menos importante do que a garantia de que todas as correções estão aplicadas em todo o sistema.

As empresas também devem ter mais atenção em detectar informações mal configuradas no sistema e ensinar aos desenvolvedores métodos para programação segura, afirmou Marc Maiffret, chefe de tecnologia da eEye, um empresa de gerenciamento de vulnerabilidade. Em uma pesquisa de vulnerabilidade que a Microsoft corrigiu em 2010, a empresa descobriu que duas mudanças simples – bloquear as conexões WebDAV e desabilitar conversores de arquivo Office – poderiam prevenir a exploração de 12% de todas as vulnerabilidades do fabricante de software, incluindo aqueles usados em amplos ataques.

Maiffret, entretanto, discorda dos dados sobre vulnerabilidades corrigíveis da Verizon. As falhas na injeção SQL não são contadas como vulnerabilidades corrigíveis, mas podem ser descobertas por um exame de vulnerabilidade e, então arrumadas, mas não com ação de terceiros.

Baker, da Verizon, aceita as críticas dos dados, mas responde que eles não mostram uma tendência válida: os invasores estão evitando a exploração de vulnerabilidades para explorar brechas do projeto, abusar de credenciais roubadas ou contando com usuários crédulos. Além de pesquisar as configurações com falhas, os gerentes de segurança de TI precisam educar seus usuários, reduzir a área de ataque de sua rede e melhorar as habilidades de codificação de segurança de seus desenvolvedores.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini