Pontuação de risco de aplicações

Em aplicações de software modernas, o desafio de manter uma postura de segurança forte não deriva só da sofisticação e do número de ciberameaças existentes. Muitos dos desafios atuais vêm da complexidade das aplicações modernas. Ao contrário dos apps monolíticos e previsíveis, os apps modernos são compostos por dezenas e centenas (até milhares) de microsserviços e bancos de dados, criando uma superfície muito grande de ataque com um número incontrolável de dependências. Aumentando ainda mais a complexidade, equipes de desenvolvimento distribuídas atualizam o código das aplicações com frequência, e muitas dessas mudanças são enviadas para produção sem análises de segurança completas. Efetivamente priorizar o que precisa ser consertado é o maior desafio da segurança de aplicações atualmente.

Nesse cenário, a pontuação de risco da aplicação se torna uma ferramenta essencial. Essa pontuação inclui a avaliação de vulnerabilidades com base na probabilidade, facilidade de exploração e possível impacto comercial. Ao olhar as vulnerabilidades sob essa perspectiva, as equipes de segurança conseguem priorizar adequadamente seus esforços de combate, alocando recursos onde eles são mais necessários.

Nesta postagem, vamos conhecer os conceitos principais por trás da pontuação de risco da aplicação. Vamos esclarecer o que de fato é a pontuação de risco, explicar como funcionam os pontos do Sistema de Pontuação de Vulnerabilidades Comuns (CVSS) (e outros padrões de pontuação) e falar sobre o que significa integrar o contexto de negócios e fluxo de dados na sua avaliação de risco. Por fim, vamos dar uma olhada no papel do gerenciamento de postura de segurança de aplicações (ASPM) na pontuação e na avaliação de riscos das aplicações.

Riscos no contexto corporativo e de engenharia

No mundo dos negócios, é impossível evitar riscos. É normal que as empresas tenham que lidar com perdas de dados, clientes, finanças, reputação e propriedade intelectual. Para empresas desenvolvedoras de aplicações, esse risco é multiplicado devido à natureza dinâmica dos softwares. As atualizações e mudanças frequentes por integração/entrega contínuas (CI/CD) e desenvolvimento ágil geram vulnerabilidades novas. O cenário de risco é ainda mais complicado devido às aplicações nativas em nuvem.

Para transitar por esses riscos, as empresas realizam avaliações de risco contínuas. Equipes de segurança são responsáveis por mitigar as ameaças que podem impactar as operações da empresa. Obviamente, é fundamental pensar na priorização — com foco nas ameaças, as organizações podem alocar recursos de forma mais eficiente, garantindo que elas abordem os desafios de segurança mais urgentes primeiro. Mas como essa priorização deve ser definida?

As organizações precisam entender as funções comerciais das aplicações — e dos microsserviços que as compõem — cuja proteção é de responsabilidade delas. Estas perguntas podem ajudam a determinar onde os riscos terão o maior impacto:

1. O que a aplicação faz (ou seja, qual é a função comercial de cada microsserviço e API)?
2. Quais dados estão em jogo? Quais microsserviços e APIs processam ou se conectam a dados confidenciais, como PII (Personally Identifiable Information, dados pessoais identificáveis), PCI (Payment Card Industry, dados da indústria de cartões de pagamento) ou PHI (Protected Health Information, dados pessoais de saúde)?

Pela avaliação da criticidade de cada componente das aplicações e a confidencialidade dos dados envolvidos, uma organização pode se concentrar em vulnerabilidades que ameaçam a vantagem competitiva e a continuidade dos negócios.

As pontuações CVSS dão uma ideia parcial do risco

CVSS é um padrão amplamente reconhecido para averiguar a gravidade das vulnerabilidades de segurança em softwares. Desenvolvidas pelo  Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST), as pontuações CVSS são determinadas pela análise de vários aspectos das vulnerabilidades, para quantificar o possível impacto delas. As pontuações variam de 0 a 10:

• Gravidade baixa (0 a 3,9): representa um risco mínimo, que geralmente depende de condições específicas.
• Gravidade média (4,0 a 6,9): Riscos mais comuns que podem ser mais suscetíveis a exploits, mas que não costumam gerar consequências.
• Gravidade alta (7,0 a 8,9): uma ameaça significativa, que geralmente permite o acesso não autorizado ou o controle sobre os sistemas afetados.
• Gravidade crítica (9,0 a 10): o tipo de vulnerabilidade mais perigoso, que geralmente permite uma exploração generalizada com consequências graves, como perda de dados, tempo de inatividade do sistema ou tomada completa do sistema.

Pontuações CVSS geralmente são associadas a vulnerabilidades e exposições comuns (CVEs). Por exemplo, o Banco de Dados Nacional de Vulnerabilidades (NVD) atribui uma pontuação CVSS a cada CVE na sua listagem.

Ainda que as pontuações CVSS gerem insights sobre a gravidade das vulnerabilidades, é essencial entender que ela não é uma medida de explorabilidade.

Como medir a explorabilidade e a probabilidade

Para determinar a explorabilidade de uma vulnerabilidade, é preciso pensar se um componente é voltado para a Internet, se o uso é interno ou externo e se ele exige autenticação. Depois que a capacidade de um adversário atingir uma vulnerabilidade é definida, informações adicionais ajudam a determinar se atores mal intencionados estão atacando cada uma das fraquezas.

Para conhecer a explorabilidade em mais detalhes, vamos dar uma olhada no  Sistema de Pontuação de Previsão de Exploração (EPSS) e no ExPRT.AI.

Também liderado pelo FIRST, o EPSS gera uma pontuação que indica a probabilidade de uma vulnerabilidade ser explorada, e o ExPRT.AI determina quais vulnerabilidades são exploradas por adversários no mundo real. Tomadas em conjunto, essas métricas geram uma visualização mais abrangente sobre os riscos do que apenas as pontuações de CVSS.

Entender as limitações das pontuações de CVSS e simultaneamente integrar arquitetura da aplicação, EPSS e ExPRT.AI na avaliação de risco possibilita uma abordagem mais detalhada. Com essa integração, é possível apontar diferenças entre a gravidade de uma vulnerabilidade e sua explorabilidade em um ambiente comercial específico. No entanto, para fazer avaliações abrangentes dos riscos das aplicações, é necessário considerar um fator além da gravidade e da explorabilidade: a criticidade.

Como levar a criticidade em consideração

O risco que uma vulnerabilidade apresenta para uma aplicação também está relacionado ao possível impacto que será causado nos negócios, o que também é chamado de criticidade empresarial. Para avaliar essa criticidade, é preciso considerar o seguinte:

1. A função comercial de cada microsserviço e API na arquitetura da aplicação.
2. A confidencialidade dos fluxos de dados.

A criticidade da vulnerabilidade de um componente pode mudar drasticamente se ele processar dados altamente confidenciais (como PII, PHI ou dados sujeitos aos padrões PCI). Esta abordagem vai além de uma visão única para todas as vulnerabilidades, permitindo uma avaliação de risco mais personalizada que reflita os aspectos únicos de cada organização.

Monitorar os fluxos de dados confidenciais pelas aplicações é difícil. Primeiramente, cada banco de dados precisa ser auditado para determinar se contém informações confidenciais. Em seguida, o consumo desses dados deve ser monitorado através de todos os componentes das aplicações. À medida que a complexidade dos fluxos de dados aumenta, isso se torna um processo difícil — quando não impossível — de ser realizado manualmente.

Integrar o contexto de negócios e fluxo de dados na avaliação de risco garante a priorização das vulnerabilidades mais críticas, alinhando os esforços de cibersegurança com a estratégia geral de gestão de riscos da organização.

O ASPM e a pontuação de risco de aplicações

O ASPM é uma abordagem abrangente para proteger aplicações de software. Ele engloba a pontuação de riscos para determinar as vulnerabilidades de maior impacto para as aplicações e para os negócios, permitindo priorizar as correções.

Ferramentas de ASPM usam pontuações baseadas em risco para determinar a prioridade de cada vulnerabilidade. Esse método envolve analisar todos os três fatores abordados neste artigo: gravidade, explorabilidade e criticidade comercial do componente de aplicação afetado.

Por adotar uma abordagem baseada no risco, o ASPM permite que as organizações dediquem recursos para as ameaças mais relevantes, assim melhorando a postura geral de cibersegurança.

Conclusão

Uma abordagem que utiliza a pontuação de risco da aplicação é essencial para organizações modernas que precisam transitar pelo cenário atual de ciberameaças em meio à complexidade das aplicações e à natureza distribuída das equipes. Para utilizar recursos de forma eficaz e eficiente, a organização tem que priorizar corretamente os riscos que afetam a aplicação. Ou seja, é preciso avaliar a vulnerabilidade com base na gravidade (considerando a pontuação de CVSS), explorabilidade (considerando a arquitetura e o ExPRT.AI) e criticidade dos negócios.

A CrowdStrike continua a exercer seu papel de líder no campo da cibersegurança pela aquisição da Bionic, pioneira no campo do ASPM. Quando as empresas usam a plataforma CrowdStrike Falcon®, elas também usufruem de uma visibilidade completa dos riscos e da proteção oferecidos pela solução de ASPM integrada e de ponta da Bionic.

Para mais informações sobre a plataforma, registre-se para uma demonstração sob demanda ou fale conosco hoje mesmo.