Fale sobre a gestão de vulnerabilidades e patches para uma equipe de cibersegurança, e todos terão o mesmo olhar consternado de cansaço e exaustão. A base de dados CVE continua crescendo em um ritmo significativo, principalmente as vulnerabilidades conhecidas começam como zero-day. Quando Ankur Sand e Syed Islam, dois profissionais de cibersegurança da JPMorganChase, subiram ao palco do Black Hat Europe 2024 com uma apresentação chamada "The CVSS Deception: Como fomos enganados sobre a gravidade das vulnerabilidades", a sala estava lotada.

Os palestrantes analisaram as pontuações do Sistema Comum de Pontuação de Vulnerabilidades (CVSS) para destacar como seria possível minimizar os pontos fracos das vulnerabilidades e da aplicação de patches. Eles se enfocaram na versão 3 da metodologia - em vez da versão atual, a 4-, mas mencionaram que, de uma perspectiva geral, esperam uma conclusão semelhante.

Os profissionais abordaram seis áreas que consideram precisar de maior clareza, permitindo que as equipes tomem decisões mais informadas sobre a urgência de aplicar patches. A seguir, destaco algumas delas:

Os riscos ocultos por trás das pontuações CVSS

O primeiro ponto está relacionado com a pontuação da vulnerabilidade em relação ao impacto, que é subdividido em confidencialidade, integridade e disponibilidade. Cada um desses aspectos é avaliado individualmente, e essas pontuações são então combinadas para gerar uma pontuação agregada, que é a divulgada.

Se uma das categorias recebe a pontuação máxima, mas as outras duas não, a gravidade geral é reduzida. Por exemplo, em sua análise, isso frequentemente diminui uma pontuação de 8+ para 7,5. Somente em 2023, a equipe identificou 2 mil casos em que isso ocorreu.

Para organizações com uma política que prioriza pontuações CVSS de 8+ em suas filas de correções, uma pontuação de 7,5 não seria tratada como prioridade, mesmo que atinja 8+ em uma única categoria. Quando uma categoria específica é a mais relevante em um determinado caso, a vulnerabilidade pode não receber a atenção e a urgência necessárias.

Embora seja compreensível o desafio, também é importante lembrar que o sistema de pontuação precisa partir de algum ponto e, até certo grau, ser aplicável a todos. Além disso, é fundamental reconhecer que ele está em constante evolução.

Outra questão levantada, que pareceu despertar grande interesse do público, foi a das dependências. Os palestrantes destacaram como uma vulnerabilidade só pode ser explorada em determinadas condições. Se uma vulnerabilidade com pontuação alta exige X e Y para ser explorada, mas essas condições não estão presentes no ambiente ou na implementação analisada, um patch pode ser aplicado com urgência desnecessária, quando, no contexto, sua prioridade seria menor.

O ponto crucial aqui é ter um conhecimento detalhado dos ativos da organização, algo que só pode ser alcançado por uma equipe de cibersegurança bem estruturada e com recursos adequados.

Infelizmente, muitas pequenas empresas estão no extremo oposto do espectro, com poucos ou nenhum recurso disponível para funcionar de forma eficaz. Ter uma visão detalhada de todos os ativos envolvidos, incluindo as dependências dentro de cada ativo, pode ser uma meta irrealista.

O exemplo do Log4j é bastante relevante: muitas empresas foram pegas de surpresa e sequer sabiam que dependiam de um software que utilizava esse código-fonte aberto.

Cada empresa possui um ambiente tecnológico único e políticas específicas, o que torna impossível uma solução única que atenda a todas. Ainda assim, acredito que dados mais detalhados e padrões mais avançados podem capacitar as equipes a tomar decisões mais informadas sobre a gravidade das vulnerabilidades e a prioridade na aplicação de patches, alinhando-se às necessidades de cada organização.

Para pequenas empresas, no entanto, o desafio de depender exclusivamente da pontuação agregada para decidir sobre patches provavelmente continuará sendo uma realidade. Nesse cenário, a automação surge como a melhor resposta, sempre que for viável implementá-la.

Um ponto de vista interessante sobre esse tema pode ser o papel dos seguros cibernéticos, alguns dos quais já alertam as empresas sobre a necessidade de aplicar patches nos sistemas com base na divulgação pública de vulnerabilidades e patches disponíveis. Dado que as apólices dos seguros cibernéticos exigem um conhecimento mais aprofundado do ambiente de uma empresa para determinar o risco, as seguradoras poderiam ter acesso às informações detalhadas necessárias para priorizar as vulnerabilidades de forma eficaz. Isso cria uma oportunidade potencial para que as organizações minimizem o risco.

Os debates sobre normas como o CVSS demonstram a importância de que essas estruturas se mantenham atualizadas com a evolução do panorama de segurança. A apresentação da equipe do JPMorganChase trouxe à tona algumas questões-chave e agregou um grande valor à conversa, por isso os aplaudo por uma excelente apresentação.