Verificação de vulnerabilidades (Vulnerability Scanning)
A varredura de vulnerabilidades é o processo de detectar e avaliar falhas de segurança em sistemas, redes e softwares de TI.
Equipe de especialistas do Wiz
7 minutos lidos
O que é verificação de vulnerabilidade?
A varredura de vulnerabilidades é o processo de detectar e avaliar falhas de segurança em sistemas, redes e softwares de TI. Os scanners de vulnerabilidades são ferramentas que pesquisam continuamente os sistemas em busca de vulnerabilidades de segurança conhecidas, incluindo atualizações de segurança ausentes, configurações incorretas e segredos expostos.
A varredura de vulnerabilidades abrange todas as verticais do ecossistema de TI da organização — incluindo redes, endpoints, APIs, dependências, aplicativos internos e de terceiros e outras áreas — e é feita para proteger contra possíveis ataques cibernéticos. Os scanners também são geralmente baseados em propósitos: eles podem ter especializações baseadas em rede, adaptadas ao host ou adequadas ao banco de dados.
Dependendo das necessidades de segurança específicas de uma organização, a verificação de vulnerabilidades pode ser limitada a sistemas individuais ou expandida para incluir infraestruturas de rede inteiras. São necessários bancos de dados que são mantidos atualizados com informações sobre todas as vulnerabilidades conhecidas para dar aos scanners de vulnerabilidade sua eficácia.
Um desses bancos de dados é o Banco Nacional de Vulnerabilidades (NVD). Esses bancos de dados contêm informações como gravidade da vulnerabilidade, impacto potencial e técnicas de mitigação recomendadas. O mecanismo de varredura compara suas descobertas no ambiente de destino e as combina com as do banco de dados e, em seguida, sinaliza, relata e fornece opções de correção para quaisquer correspondências.
Por que a verificação de vulnerabilidades é importante
Benefit
Description
Proactive Security
Vulnerability scanning allows organizations to identify and address security weaknesses before attackers can exploit them. This proactive approach helps in preventing potential security breaches, reducing the risk of data loss, financial damage, and reputational harm.
Compliance and Regulatory Requirements
Vulnerability scanning helps organizations achieve data and software security, to better align with compliance frameworks
such as SOC 2, ISO 27001, and NIST 800-53.
Cost savings
Identifying and remedying vulnerabilities early can significantly reduce the costs associated with a security breach. The financial implications of a breach often extend beyond immediate remediation efforts to include legal fees, fines, and lost business. Regular scanning helps organizations allocate resources more efficiently by prioritizing vulnerabilities based on their severity.
Asset Visibility and Management
Vulnerability scanning provides an inventory of all devices and software on a network, offering valuable insights into the security posture of an organization's digital assets. This visibility is crucial for effective asset management, ensuring that all parts of the IT infrastructure are up-to-date and secure.
Improved security posture
Regular scanning enables organizations to continuously assess and improve their security posture. By identifying and tracking vulnerabilities over time, organizations can measure the effectiveness of their security strategies and make informed decisions about where to invest in security improvements.
Tipos de casos de uso de verificação de vulnerabilidades
As técnicas usadas para varredura de vulnerabilidades podem ser ativas ou passivas:
Varredura ativa, também chamada de varredura não credenciada, envolve o envio de ataques, consultas ou solicitações simuladas ao destino para identificar possíveis vulnerabilidades, como estouros de buffer, dados não criptografados e processos de autenticação quebrados.
Varredura passiva, também chamada de varredura credenciada, envolve a análise discreta (sem sondar ativamente) o tráfego de rede para detectar vulnerabilidades que os invasores podem aproveitar para espalhar malware ou roubar/manipular dados.
A verificação de vulnerabilidades também pode ser categorizada em diferentes casos de uso, como:
Verificação de vulnerabilidades de rede: Verifica a rede em busca de vulnerabilidades, incluindo portas abertas, software sem patches e protocolos de rede fracos.
Verificação de vulnerabilidades de aplicativos da Web: Procura falhas de segurança, como injeção de SQL, cross-site scripting (XSS) e outras vulnerabilidades exclusivas de aplicativos Web.
Verificação de vulnerabilidade do banco de dados: Concentra-se na identificação de vulnerabilidades em bancos de dados, como configurações incorretas, autenticação fraca e permissões muito permissivas.
Verificação de vulnerabilidade do host: Realizado em hosts individuais (servidores ou estações de trabalho) para identificar vulnerabilidades no nível do sistema operacional ou no software instalado.
Verificação de contêiner e ambiente virtualizado: Projetado para identificar vulnerabilidades em aplicativos em contêineres e ambientes virtuais. Isso inclui a verificação de vulnerabilidades nas imagens de contêiner e o gerenciamento de contêineres e máquinas virtuais.
O processo de varredura de vulnerabilidades envolve várias etapas, desde o escopo da vulnerabilidade até a identificação, avaliação e correção. Aqui's um detalhamento simples de cada etapa:
Estágio 1: Escopo
Antes de verificar, você deve determinar as redes e os aplicativos de destino, mapear pontos de extremidade e identificar dependências. O escopo também envolve determinar se dispositivos internos, sistemas externos ou uma combinação de ambos devem ser examinados.
Etapa 2: Seleção da ferramenta
Você deve escolher uma solução — do pool de ferramentas comerciais e de código aberto disponíveis — que se alinhe à sua organização's requisitos de segurança. A solução também deve ter um console amigável para facilitar a verificação de vulnerabilidades e funcionar de forma otimizada em redes híbridas distribuídas para facilitar a identificação de riscos em todos os seus ambientes.
Dica profissional
Agentless scanning solutions typically have quicker setup and deployment and require less maintenance. They can scan all workloads using cloud native APIs and connects to customer environments with a single org-level connector. If the approach is agent-based, this type of deployment will require ongoing agent installation, update, and maintenance effort.
A ferramenta de digitalização deve ser configurada para digitalizar de acordo com os parâmetros desejados. Os detalhes de configuração podem incluir a especificação de endereços IP de destino ou nomes de domínio, a definição de intensidade ou velocidade de varredura e a definição de técnicas de varredura.
Dica profissional
No organization should resort to using default policy configurations. This is because default policy configurations rarely address an organization’s nuanced business-, region-, and industry-specific requirements.
Inicie o processo através de comandos ou usando as opções fornecidas pela ferramenta de escolha, como uma GUI. Alguns recursos permitirão que você agende suas varreduras, o que torna essa etapa automática assim que você selecionar suas preferências.
Dica profissional
Scanning Virtual Machine images and Container images for vulnerabilities and secrets during the CI/CD pipeline can help increase efficiency in the software development process by detecting vulnerabilities and security risks before deployment to the runtime environment.
Os scanners investigam tipos de vulnerabilidade comuns ou comparam a superfície de ataque do sistema com os parâmetros salvos no banco de dados de vulnerabilidades em uso. As vulnerabilidades que estão sendo verificadas geralmente se alinham com a especialidade do scanner, sejam bancos de dados, redes, etc.
Etapa 6: Análise de vulnerabilidades
Após a verificação, a ferramenta irá gerar uma lista abrangente de vulnerabilidades identificadas, ordená-las com base na gravidade, filtrar falsos positivos e fornecer opções para remediação.
Etapa 7: Correção e nova varredura
Com base nos resultados da verificação, sua equipe de segurança resolverá as vulnerabilidades identificadas implantando patches de segurança, atualizando versões de software ou redefinindo configurações de segurança, dependendo das recomendações no relatório de vulnerabilidade.
Após a correção, a nova varredura dos sistemas de destino deve ocorrer para verificar se as vulnerabilidades foram resolvidas com êxito.
Etapa 8: Monitoramento contínuo
Novas vulnerabilidades sempre podem surgir. A varredura de vulnerabilidades precisa ser agendada em intervalos para identificar e lidar com ameaças emergentes imediatamente.
Verificação de vulnerabilidades vs teste de penetração
A verificação de vulnerabilidades é um processo automatizado que visa identificar vulnerabilidades conhecidas em uma ampla variedade de sistemas regularmente. Ele usa ferramentas de software para detectar problemas como software desatualizado, patches ausentes ou configurações incorretas, produzindo um relatório que lista essas vulnerabilidades, geralmente classificadas por gravidade.
Por outro lado, o teste de penetração é um exercício manual e aprofundado conduzido com menos frequência, normalmente anualmente, por hackers éticos. Ele simula ataques cibernéticos para descobrir e explorar pontos fracos em áreas específicas, com o objetivo de demonstrar como um invasor pode violar sistemas. O resultado é um relatório detalhado que não apenas lista vulnerabilidades exploráveis, mas também fornece recomendações para aprimorar as medidas de segurança.
Embora a verificação de vulnerabilidades ofereça uma ampla visão geral das vulnerabilidades do sistema, o teste de penetração fornece uma análise direcionada de como essas vulnerabilidades podem ser exploradas em um ataque.
Desafios comuns da varredura de vulnerabilidades
Os processos destacados acima podem ser ineficazes se algum (ou todos) dos seguintes desafios surgirem.
Challenge
Description
Resource sharing
Vulnerability scanning requires significant network bandwidth and computing resources. Production (in the IT environment) is also resource intensive. When both processes share resources provided by the organization’s infrastructure, resource contention occurs, and can negatively impact the scan's efficiency.
False positives
The vulnerability scanning tool could incorrectly identify a non-existent vulnerability, wasting time and effort. For instance, a developer could be patching a dependency in the source code, and the tool might alert that malicious activity is taking place. Misconfiguring the vulnerability scanner usually leads to these kinds of false positives.
Alert Fatigue
Vulnerability scanning generates quintillions of alerts, making it overwhelming for the security team to painstakingly track and address each alert, and that can lead to neglecting critical vulnerabilities.
Siloed tooling
Using vulnerability scanning tools with other security solutions across different environments or departments can create data silos and distort vulnerability management. That can hinder collaboration and make it difficult to have an end-to-end view of the organization's security posture.
Inability to contextualize vulnerability impact
Vulnerability scanning tools may be ineffective for risk management as they’re often ignorant of asset criticality, business processes, and system dependencies. They also likely won’t understand the impact of vulnerabilities across individual organizations.
High ownership costs
Vulnerability scanning tools and the associated infrastructure can be expensive to procure, deploy, and maintain. Organizations may also need to invest in staff training and dedicated personnel employment. All of that translates to increased costs.
Ongoing maintenance efforts
Some vulnerability scanning solutions require agents to be installed on target systems for continuous scanning. Managing the installation, updates, and maintenance of these agents across many systems can be challenging and time consuming.
Blind spots
This occurs when vulnerabilities in certain assets are missed during scanning, and may be caused by a tool’s inability to detect vulnerabilities on specific asset types, such as cloud infrastructure, mobile devices, or IoT devices.
Software development delays
Traditional vulnerability scanning practices require extensive scans and manual verification, causing delays in the development of applications and the release of software updates. These kinds of delays ultimately hurt an organization’s bottom line.
Apesar dos desafios listados acima, a varredura de vulnerabilidades é inestimável quando implementada corretamente. Na próxima seção, veremos como fazer isso.
Principais recursos a serem procurados em uma ferramenta de verificação de vulnerabilidades
Para enfrentar e mitigar com eficiência os desafios descritos acima, escolha uma ferramenta de verificação de vulnerabilidades com os seguintes recursos principais:
1. Capacidade de varredura contínua
O monitoramento contínuo é o último, mas crucial estágio da verificação de vulnerabilidades. Escolha uma ferramenta que possa verificar e detectar vulnerabilidades continuamente à medida que elas surgem, para que sua organização possa estar consistentemente livre de vulnerabilidades.
2. Abordagem sem agente
Sua ferramenta de verificação de vulnerabilidades deve ser sem agente, eliminando a necessidade de instalar e gerenciar agentes de varredura em sistemas de destino. Tais ferramentas utilizam técnicas de varredura baseadas em rede, consomem menos recursos e apagam as possibilidades de incompatibilidade.
Dica profissional
It's important to be able to scan virtual machines or containers even if the workload is offline. Security teams can remediate the vulnerability before the workload is online and effectively at risk.
But with an agent-based scanner, since an agent is part of the runtime of the workload, the scanning can only happen while the workload is online. This also applies for authenticated scanning, which means you can test applications in their ready-to-run configuration both in staging and production environments.
Escolha uma ferramenta que forneça priorização de vulnerabilidades baseada em risco, considerando fatores como gravidade, capacidade de exploração e criticidade do ativo, além de elementos como exposição externa, direitos na nuvem, segredos, configurações incorretas e presença de malware. Uma ferramenta com essa funcionalidade pode correlacionar suas vulnerabilidades que têm inúmeros fatores de risco para mitigar a quantidade de fadiga de alerta que você experimenta.
4. Suporte entre nuvens/tecnologias cruzadas
Os ambientes estão cada vez mais hibridizados e distribuídos. Selecione uma ferramenta independente de tecnologia que possa verificar diferentes ambientes de armazenamento e provedores de nuvem, incluindo AWS, GCP, Azure, OCI e Alibaba Cloud, independentemente do sistema operacional subjacente ou da linguagem de programação para garantir a compatibilidade do software.
Dica profissional
The cloud poses unique challenges that traditional vulnerability management solutions may struggle to address. Cloud vulnerability management is a proactive security solution that can keep up with the speed and scale of the cloud.
Traditional scanning tools were able to identify and remediate vulnerabilities but often flagged vulnerabilities that were non-critical and irrelevant. Furthermore, traditional vulnerability management had a significant deficiency: context.
5. Varredura antes da implantação
Opte por uma ferramenta que possa verificar máquinas virtuais (VMs) e containers e detectar possíveis vulnerabilidades neles antes de sua implantação. Isso ajudará a evitar a disseminação de vulnerabilidades em todo o ambiente de produção.
6. Cobertura abrangente da carga de trabalho
Sua ferramenta de varredura precisa ser capaz de verificar simultaneamente vários sistemas e cargas de trabalho — servidores, endpoints, bancos de dados e aplicativos Web — para permitir a correção proativa e eficiente de vulnerabilidades.
7. Relatórios de visualização baseados em dados
A representação visual de dados de vulnerabilidade em vários formatos, como tabelas, gráficos e tabelas, é fundamental para a tomada de decisões e remediação. A ferramenta deve fornecer esse nível de visualização nos resultados da varredura e torná-los facilmente compartilháveis.
8. Integração
A ferramenta deve se integrar perfeitamente com ferramentas para SIEM (Gerenciamento de Eventos e Informações de Segurança), gerenciamento de logs e SCM (Gerenciamento de Configuração de Segurança) para permitir uma melhor detecção de ameaças e Resposta a incidentese fornecer gerenciamento de segurança coeso.
Uma solução unificada de gerenciamento de vulnerabilidades
Embora seja fundamental para uma postura de segurança forte, a verificação de vulnerabilidades é apenas um aspecto do gerenciamento de segurança na nuvem. Para estabelecer uma estratégia de segurança robusta e abrangente, adote uma solução unificada de gerenciamento de vulnerabilidades que incorpore a verificação de vulnerabilidades com outras abordagens de segurança na nuvem, como a Solução de gerenciamento de vulnerabilidades Wiz.
Com nossa plataforma antiga, recebíamos milhares de alertas para cada problema a resolver. O Wiz nos permite entender as vulnerabilidades de forma muito mais eficiente. Agora, podemos concentrar nossos esforços nos problemas, em vez de simplesmente identificá-los.
Para experimentar em primeira mão como uma solução unificada de gerenciamento de vulnerabilidades pode impulsionar sua organização'postura de segurança, Ver demonstração ao vivo do Wiz. Você terá a oportunidade de entender por que e como o uso da solução unificada de gerenciamento de vulnerabilidades da Wiz pode impulsionar a postura de segurança da sua organização.
Agentless Scanning = Complete Visibility
Learn why CISOs at the fastest growing companies choose Wiz to identify and remediate vulnerabilities in their cloud environments.
Data detection and response (DDR) is a cybersecurity solution that uses real-time data monitoring, analysis, and automated response to protect sensitive data from sophisticated attacks that traditional security measures might miss, such as insider threats, advanced persistent threats (APTs), and supply chain attacks.
Enterprise cloud security is the comprehensive set of practices, policies, and controls used by enterprises to protect their data, applications, and infrastructure in the cloud.
A data risk assessment is a full evaluation of the risks that an organization’s data poses. The process involves identifying, classifying, and triaging threats, vulnerabilities, and risks associated with all your data.
In this guide, we’ll break down why AI governance has become so crucial for organizations, highlight the key principles and regulations shaping this space, and provide actionable steps for building your own governance framework.