As ameaças de dia zero e os pontos cegos na gestão de riscos

Embora as soluções baseadas em agentes se tenham tornado populares entre as organizações que procuram reforçar a sua cibersegurança, esta vulnerabilidade recente levanta a questão: será que uma abordagem baseada apenas em agentes é realmente suficiente? 

Os agentes oferecem, sem dúvida, informações valiosas sobre a gestão de vulnerabilidades, mas não proporcionam uma compreensão verdadeiramente holística e uma avaliação abrangente dos riscos.

Atualmente, sob exploração ativa e adicionada ao KEV da CISA, esta nova vulnerabilidade permite a atacantes não autorizados o acesso remoto e com plenos privilégios aos dispositivos afetados, colocando-os inteiramente sob o controlo do atacante. 

Este incidente realça um ponto crítico: embora as ferramentas de gestão de vulnerabilidades baseadas em agentes sejam fundamentais para monitorizar e detetar potenciais ameaças nos dispositivos em que estão instaladas, não são a “cura para todos os males”. Vejamos, por exemplo, os dispositivos de rede, como o equipamento Cisco afetado. Estes dispositivos muitas vezes não suportam agentes e, por isso, podem ser pontos cegos numa estratégia de gestão de vulnerabilidades baseada apenas em agentes. 

A velocidade a que essas vulnerabilidades de dia zero podem ser exploradas realça a necessidade de uma abordagem multifacetada à gestão das vulnerabilidades.

Embora os agentes possam fornecer alertas quase em tempo real, há situações, como o presente caso da Cisco, em que são necessárias intervenções externas imediatas, como desativar uma funcionalidade, mesmo antes de ser lançada uma correção oficial.

Confiar apenas em soluções baseadas em agentes pode não garantir uma avaliação completa do risco, sublinhando a necessidade de uma abordagem multifacetada. As razões mais importantes incluem:

• Restrições dos Endpoints: Nem todos os dispositivos suportam ou têm agentes instalados, levando a potenciais lacunas na avaliação. Além disso, nem todos os dispositivos no seu ambiente podem ou devem ter um agente instalado. Os dispositivos ligados com pouca frequência, como os servidores externos, também podem escapar às verificações regulares. É necessário analisar estes dispositivos externamente para evitar vulnerabilidades;
• Complexidade da Infraestrutura: Muitos dispositivos de rede, como routers, switches, firewalls, IoT e dispositivos OT, não suportam agentes, constituindo potenciais pontos cegos de avaliação de risco;
• Ambientes Virtuais e em Cloud: As soluções de agente apenas conseguem dar uma visão parcial da infraestrutura baseada na cloud, especialmente ao lidar com contentores, funções sem servidor e outras construções dinâmicas nativas da cloud;
• Verificações de Configuração: As soluções baseadas em agentes são excelentes para verificações de vulnerabilidades, mas podem ser menos eficazes na avaliação de configurações incorretas, que podem ser tão arriscadas como as vulnerabilidades conhecidas;
• Exposições Externas: Os agentes são uma boa opção para avaliar o estado de um dispositivo a partir da sua perspetiva. No entanto, podem não captar o aspeto do dispositivo de uma perspetiva externa, ou seja, o aspeto que pode ter para um atacante externo. Os exames externos periódicos são essenciais para preencher esta lacuna;
• Garantir a Redundância para uma Defesa Robusta: Considere um escudo com várias camadas. Embora não se deva confiar apenas numa única camada de segurança nas arquiteturas de rede modernas, a gestão de vulnerabilidades beneficia de uma estratégia diversificada. A fusão de dados de agentes com verificações de rede é útil para criar um sistema mais forte e redundante. Isto garante que as potenciais vulnerabilidades são detetadas e tratadas, independentemente de estarem ou não ocultas.

Perante a evolução das ciberameaças, as organizações precisam de uma forte segurança que ofereça uma cobertura abrangente e uma visão do seu ecossistema de TI, incluindo ativos locais, na cloud, móveis, OT e IoT. A receção de alertas em tempo real também é essencial, pois permite que as entidades sejam proactivas em vez de apenas reativas.

Além disso, o aproveitamento da inteligência avançada contra ameaças e da aprendizagem automática pode orientar o foco para as vulnerabilidades críticas, garantindo respostas atempadas e eficientes.

A verdadeira chave, no entanto, é ter uma abordagem verdadeiramente unificada relativamente à segurança e à conformidade. Não se trata apenas de deteção; trata-se de uma ação eficaz. As soluções de segurança de uma organização devem ser capazes de implementar patches de forma automática, isolar dispositivos suspeitos e apresentar um painel de controlo consolidado para obter uma imagem clara do cenário de ameaças. 

Com este incidente da Cisco, torna-se evidente que as organizações enfrentam riscos significativos e em constante evolução. 

A dependência exclusiva de soluções baseadas em agentes pode levar a ignorar vulnerabilidades em dispositivos e sistemas cruciais. É essencial adotar uma estratégia de gestão de vulnerabilidades completa que integre métodos baseados em agentes e métodos sem agentes. Ao aproveitar os pontos fortes de diversas abordagens, as organizações podem assim identificar vulnerabilidades e tomar medidas robustas para travar potenciais ameaças. Uma solução abrangente de cibersegurança suporta agentes e incorpora análises de rede, análises externas e análises passivas. Esta abordagem multifacetada ajuda as organizações a manter uma posição proactiva no domínio em constante evolução das ciberameaças.