Uma avaliação de vulnerabilidade, também conhecida como avaliação de vulnerabilidade de segurança, é uma avaliação holística dos riscos relacionados à vulnerabilidade em um ambiente híbrido e de TI. Para ambientes de nuvem, sua avaliação de vulnerabilidade abrangeria ativos como cargas de trabalho de IA, VMs, contêineres, bancos de dados, serviços de PaaS e dados.
Existem dezenas de milhares de vulnerabilidades que podem estar se aninhando silenciosamente em seu ambiente de nuvem enquanto você lê isso. (Aqui são alguns exemplos recentes.) Isso inclui Configurações incorretas, shadow IT, controles de acesso ruins, visibilidade incompleta, APIs inseguras, exposição de rede e muito mais. As vulnerabilidades estão por toda parte. Assustador, certo?
A boa notícia é que nem todas as vulnerabilidades são igualmente perigosas. Na verdade, alguns deles podem não importar nada para sua empresa. Essa é a maior dor de cabeça do gerenciamento e das avaliações de vulnerabilidades hoje – muitos alertas e muito ruído, resultando em CloudSec, analistas de vulnerabilidade e Equipes SOC. O problema com muitos alertas é que as vulnerabilidades que são realmente perigosas para sua empresa se perdem em uma longa lista.
É por isso que, nesta postagem do blog, veremos as avaliações de vulnerabilidade que podem ajudá-lo a encontrar e corrigir vulnerabilidades críticas, criadas para a nuvem.
The Vulnerability Management Buyer's Guide
Download this guide to get a RFP template to help you evaluate your vulnerability management vendor.
Download Now
Como realizar uma avaliação de vulnerabilidade
Aqui está um guia passo a passo acionável para realizar avaliações de vulnerabilidade. Lembre-se de que o foco aqui é eliminar o ruído para identificar riscos críticos de negócios ou vulnerabilidades que realmente importam.
Passo 1: Estabeleça as bases
Se você deseja realizar boas avaliações de vulnerabilidade, precisa começar com um pouco de preparação e desenvolvimento de estratégia. Caso contrário, suas avaliações de vulnerabilidade podem não ter clareza e foco entre as crescentes partes interessadas no desenvolvimento e na TI.
Aqui estão algumas maneiras simples de estabelecer uma base sólida:
Liste os principais objetivos de sua avaliação de vulnerabilidade.
Mapeie seus CSPs, serviços de nuvem e Modelos de responsabilidade compartilhada do código à nuvem.
Verifique novamente suas obrigações de conformidade com a nuvem.
Anote seus dados de joias da coroa (críticos para os negócios).
Trabalhe com outras equipes para tornar a avaliação e a correção mais colaborativas.
Selecione as ferramentas e estruturas certas para suas avaliações (mais sobre isso em breve).
Etapa 2: criar um inventário abrangente de ativos
Você não pode descobrir todas as vulnerabilidades críticas em seu ambiente de nuvem, a menos que saiba quais ativos possui. Comece criando um inventário completo de seus ativos de nuvem, de bancos de dados e contêineres a VMs e dispositivos. Além disso, desenvolva um processo para manter seu inventário de ativos sempre atualizado. Por fim, certifique-se de levar em conta todos os usuários (humanos e máquinas), endpoint, dependência, API e rede. Não deixe pedra sobre pedra durante esse processo, pois mesmo um ativo de nuvem aparentemente sem importância pode ter um caminho de ataque a dados confidenciais.
During this step, remember two things:
Cover your AI infrastructure and assets because they can be full of vulnerabilities.
Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.
Etapa 3: verifique as vulnerabilidades regularmente e automatize sempre que possível
Agora que você tem uma visão clara de seus ambientes de nuvem, é hora de destacar onde as vulnerabilidades se escondem. Comece definindo os parâmetros de suas ferramentas de avaliação de vulnerabilidade para definir o escopo de sua avaliação. (Dica profissional: nunca use as configurações padrão!) Por parâmetros, queremos dizer que você pode querer mexer nas técnicas que está usando, como ativa ou passiva Verificação de vulnerabilidadese automatizando as digitalizações de acordo para economizar tempo. Talvez você queira incluir um conjunto específico de ativos ou endereços IP para verificar e desenvolver seus próprios filtros ou consultas.
Em seguida, inicie suas ferramentas de verificação de vulnerabilidades. Certifique-se de ter ferramentas para verificação de vulnerabilidades de banco de dados, verificação de vulnerabilidades de rede e verificação de vulnerabilidades de aplicativos Web. Além disso, certifique-se de que suas ferramentas e scanners de avaliação de vulnerabilidade baseiem seus recursos em vários bancos de dados e catálogos de vulnerabilidades conhecidos. Pense na linha do Catálogo CISA KEV, NVDe o MITRE ATT&Base de conhecimento CK.
Em alguns casos, talvez você queira dar suporte às verificações de vulnerabilidade com testes de penetração mais específicos. Esses testes podem ajudar a eliminar vulnerabilidades complexas ou ocultas em sua nuvem.
Avaliação de vulnerabilidade vs. teste de penetração
As avaliações de vulnerabilidade são uma avaliação mais abrangente e de alto nível de riscos e fraquezas, enquanto os testes de penetração se concentram em componentes ou situações muito específicas. Você pode querer usar ambos para cobrir todas as bases.
Ao contrário das avaliações de vulnerabilidade, que detectam vulnerabilidades em seu ambiente e mapeiam sua superfície de ataque, os testes de penetração simulam um ataque do mundo real para revelar pontos fracos específicos e vetores de ataque (entradas). O teste de penetração pode ser uma boa maneira de completar suas avaliações de vulnerabilidade.
Etapa 4: priorizar vulnerabilidades
Suas verificações de vulnerabilidade podem revelar uma longa lista de vulnerabilidades em seu ambiente, mas lembre-se do que dissemos anteriormente: nem tudo isso importa. Nenhuma empresa tem recursos para eliminar todas as vulnerabilidades que encontra, portanto, você precisará começar a priorizar as vulnerabilidades com base nos níveis de risco de alto a baixo.
"Alto risco" pode significar coisas diferentes para organizações diferentes, portanto, concentre-se nos riscos que podem levar a dados confidenciais como PHI, PCI, PII e segredos comerciais. Além disso, considere fatores como gravidade, capacidade de exploração, raio de explosão, propriedade e se o ativo comprometido é essencial para a missão. Aqui estão alguns recursos e padrões públicos que podem ajudar:
CVE (Vulnerabilidades e Exposições Comuns): Identifica vulnerabilidades
Sistema de Pontuação de Vulnerabilidade Comum (CVSS): Avalia a gravidade das vulnerabilidades
Sistema de pontuação de previsão de exploração (EPSS): Avalia a probabilidade de as vulnerabilidades serem exploradas
Etapa 5: Analisar vulnerabilidades e desenvolver estratégias de correção
Embora a correção não seja tecnicamente uma parte das avaliações de vulnerabilidade, é importante começar a planejar como corrigir as vulnerabilidades descobertas. Como vimos, você precisa começar com as vulnerabilidades mais críticas. Estude a gravidade de cada vulnerabilidade e entenda suas implicações em sua infraestrutura crítica para os negócios. Para facilitar a vida das equipes CloudSec, elimine falsos positivos durante esta etapa.
Para cada vulnerabilidade crítica, certifique-se de que opções de correção viáveis estejam disponíveis. Isso pode incluir a aplicação de patches em aplicativos desatualizados, a alteração das configurações em recursos mal configurados e o dimensionamento correto das permissões.
À medida que as equipes do CloudSec começam a corrigir vulnerabilidades críticas, é importante realizar verificações de vulnerabilidade subsequentes para validar a correção. Novas vulnerabilidades podem ser introduzidas durante a correção e é importante detectá-las antecipadamente.
Etapa 6: Relatar, avaliar e melhorar
Você chegou à etapa final do processo. Veja como terminar com uma ótima nota: Compile toda a documentação das avaliações de vulnerabilidade. Use suas ferramentas de gerenciamento de vulnerabilidades para gerar relatórios abrangentes, pois elas podem ser muito importantes para fins de auditoria, inteligência de ameaças e conformidade. Além disso, assim como qualquer outra prática de segurança na nuvem, você deve iterar continuamente em seu processo de avaliação de vulnerabilidade. Lembre-se: com o gerenciamento de vulnerabilidades na nuvem, sempre há espaço para melhorar.
Ferramentas de avaliação de vulnerabilidades
Confuso sobre quais ferramentas de avaliação de vulnerabilidade usar? Aqui estão 15 para você começar.
OpenVAS: Uma ferramenta de verificação de vulnerabilidades de código aberto
Quebra de ar: Um pacote para descobrir vulnerabilidades de rede
Nmap: Um scanner para descobrir vulnerabilidades de rede
Masscan: Outro scanner para descobrir vulnerabilidades de rede
Clair: Um scanner de vulnerabilidade de contêiner
Wapiti: Um scanner de vulnerabilidades centrado em aplicativos da Web
Nikto: Um scanner de vulnerabilidades do servidor web
sqlmap: Uma ferramenta de teste de penetração
Arachni: Um scanner de vulnerabilidades de aplicativos Web
KICS: Um scanner de vulnerabilidade de código
Lynis: Um scanner de vulnerabilidade de endpoint
Inspetor da Amazon: Um scanner de vulnerabilidade de carga de trabalho da AWS
SecuBat: Um scanner de vulnerabilidades da Web
Retire.js: Um scanner de vulnerabilidades JavaScript
w3af: Um scanner de vulnerabilidade de aplicativo da Web
Para saber mais sobre essas ferramentas de avaliação de vulnerabilidades e outras, confira nossas postagens no blog sobre Ferramentas de gerenciamento de vulnerabilidades do OSS e Scanners de vulnerabilidade OSS.
Modelo de avaliação de vulnerabilidade
Aqui está um exemplo de um modelo útil de avaliação de vulnerabilidade de segurança que abrange o tipo de vulnerabilidades do mundo real que você encontrará durante suas avaliações. Este modelo de avaliação de vulnerabilidade também oferece um pequeno vislumbre das maravilhas do gerenciamento de vulnerabilidades do Wiz.
Então, vamos supor que você tenha concluído a fase de preparação com entusiasmo e esteja no processo de descoberta de ativos. Ao implantar o Wiz, você pode obter um inventário completo de seus ativos de TI e nuvem, conforme visto aqui:
Em seguida, é hora de examinar esses recursos para descobrir quais vulnerabilidades passam despercebidas. Aqui está o que parece com Wiz.
Como você pode ver, o Wiz descobrirá vulnerabilidades e as priorizará com base em fatores de risco específicos da organização que chamamos de "Combinações Tóxicas" de risco, derivadas de permutações de caminho de ataque, exposição a PII, permissões de administrador em excesso etc.
Exemplos de riscos críticos relacionados à vulnerabilidade podem incluir o seguinte:
VMs expostas publicamente
Uma API exposta
Uma vulnerabilidade crítica de desvio de autorização no Docker
Um banco de dados mal configurado cheio até a borda com PII confidenciais
Para cada uma dessas vulnerabilidades, o Wiz fornece uma forte orientação de correção, mas também permite que você personalize as correções, se necessário. Conforme destacado na figura 5, às vezes uma simples atualização para uma versão mais recente pode transformar uma vulnerabilidade crítica em um ativo seguro.
Por fim, verifique novamente seus ambientes, valide correções e trabalhe em maneiras de tornar suas avaliações de vulnerabilidade mais eficazes e holísticas. Essa abordagem permite que as vulnerabilidades sejam descobertas, avaliadas e corrigidas em todo o pipeline de código para nuvem.
Como o Wiz pode apoiar avaliações de vulnerabilidade
Se você precisa de uma poderosa ferramenta nativa da nuvem para realizar avaliações de vulnerabilidade, não procure mais, Wiz. Suportando mais de 120.000 vulnerabilidades em 40+ sistemas operacionais, a Wiz aproveita o mundo'e os combina com feeds de inteligência de ameaças e pesquisa Wiz para descobrir vulnerabilidades ocultas (ou mal priorizadas) com base no impacto nos negócios.
Com implantação sem agente e priorização baseada em contexto, o Wiz torna a fadiga de alertas uma coisa do passado. Ao se concentrar em questões críticas com base nos fatores de risco da sua empresa, a Wiz ajuda a encontrar e corrigir os riscos mais potentes com um MTTR impressionante. Do código à nuvem, a Wiz Gerenciamento de vulnerabilidades Os recursos são realmente de próximo nível.
Obtenha uma demonstração agora para ver como o Wiz pode ajudar a impor o gerenciamento de vulnerabilidades Práticas recomendadas e realizar avaliações de vulnerabilidade de segurança inigualáveis que mantêm sua nuvem segura.
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.
