David Marques: “Há coisas que estão lá aos milhares e já sabemos que nem sequer vamos corrigir” (com vídeo)

David Marques, Head of Cybersecurity do Grupo Nabeiro, subiu a palco com o keynote “Vulnerability Management - Patch Panic or Risk Reduction”, para falar de uma problemática com “que todos lidamos”.

O orador começou por explicar o porquê deste tema ser importante, focando-se na forma como os atacantes comprometem as organizações e instituições, sendo que estes ocorrem em duas vias: o comprometimento de identidades e a exploração de vulnerabilidades.

Baseando-se nos resultados do Data Breach Investigations Report da Verizon, David Marques mencionou que a exploração bem-sucedida de vulnerabilidades registou um aumento de 180% em 2024 e que continua a aumentar, mesmo não sendo tão significativo. “Isto não vai embora. Os atacantes, se conseguem explorar com sucesso, é algo que vão continuar a usar”.

A gestão de vulnerabilidades também é importante no ponto de vista de compliance, segundo David Marques. “A NIS2 tem 35 ocorrências da palavra vulnerabilidade ou vulnerabilidades. O Cyber Resilient Act usa 178 vezes estas expressões e o DORA 18 vezes”, destacando a importância na área de compliance por ser algo que todas as empresas terão de gerir e lidar.

Vulnerabilidades: risco ou severidade?

O Head of Cybersecurity destacou que estes temas das vulnerabilidades já são falados há anos, e que ainda se continua a falar do tema por ser algo difícil de gerir por inúmeras razões, como é o caso de o número de vulnerabilidades subir a cada ano: “Todos os anos são milhares e milhares de vulnerabilidades novas, e estamos a falar apenas daqueles que têm um CVE atribuído, porque há mais além destas, mas todos os anos este número está a crescer”.

No entanto, as empresas demonstram um problema recorrente: as organizações apenas conseguem corrigir 10% das novas vulnerabilidades que aparecem no mercado. “É fácil de perceber qual é o problema: estamos a acumular mês após mês um backlog de 90% de vulnerabilidades que não conseguimos efetivamente corrigir”. O orador acredita que as empresas são lentas a corrigir estes problemas e isso está relacionado com “as dificuldades impostas pelo negócio, com regras muito específicas. Há coisas que estão lá aos milhares e já sabemos que nem sequer vamos corrigir”.

David Marques considera que não é viável parar as empresas para corrigir vulnerabilidades e destaca outra questão: 34% das vulnerabilidades foram consideradas críticas ou de criticidade elevada em 2024, sendo estas vulnerabilidades críticas as mesmas que os responsáveis de cibersegurança se focam para corrigir, mas o pior é andarem “a correr atrás de milhares e milhares de vulnerabilidade, quando os estudos indicam que de todos os CVE publicados, só cerca de 1% é que são efetivamente explorados”.

Comunicação é chave

A maior parte das organizações recorrem ao CVSS para priorização das vulnerabilidades, algo que cria alguns problemas devido ao propósito deste modelo ser medir a severidade da vulnerabilidade e não para medir o risco da mesma. Um dos problemas mencionados pelo Head of Cybersecurity é o problema da comunicação: “Estamos a comunicar com a gestão de topo que gastamos cada vez mais recursos a corrigir vulnerabilidades, cada vez pedimos mais recursos para corrigir vulnerabilidades, mas se lhes mostramos os números, cada vez mais aquele número aumenta”.

Uma solução destacada pelo orador para resolver o problema de comunicação, seria transformar os números apresentados à gestão de topo em números de risco real, “senão vai ser muito difícil para quem tem de reportar para uma gestão de topo, que evidentemente não conhece estes temas intrínsecos à gestão de vulnerabilidades”. Além disso, é necessário “fugir à abordagem do compliance-based”, que passa pela definição de um número de vulnerabilidades a corrigir por mês e caso isso seja cumprido, mas é possível “não ter reduzido risco absolutamente nenhum para a organização”.

Soluções na gestão de vulnerabilidades

Numa primeira instância, uma solução para corrigir mais vulnerabilidades seria contratar mais pessoal com funções de correção de vulnerabilidades, o que “pode ser fixe a curto prazo, mas não é uma estratégia de redução de risco a longo prazo”. Na procura de outras abordagens, o orador destacou o princípio de Pareto, que implica em usar 20% do esforço para atingir 80% dos resultados, ou seja, “80% de redução de risco”. Segundo o orador, os responsáveis por cibersegurança têm de “começar a pensar mais numa lógica baseada em risco”.

Para encontrar os indicadores de risco, o Head of Cybersecurity destacou ser necessário procurar o contexto externo, como o contexto global que existe sobre ciberameaças, e o contexto interno das empresas. “Do ponto de vista externo, temos o CVSS, mas aquilo que queremos é construir algo que não esteja focado num único modelo”. O orador apresentou algumas opções de outros modelos de scoring de vulnerabilidades, como o EPSS e o CISA KEV, bem como iniciativas, como é o caso da iniciativa European Vulnerability Database, que poderão ajudar a construir medidas de corrigir vulnerabilidades baseadas em diversos modelos.

Correr atrás de vulnerabilidades não é a solução

Em declarações à IT Security, David Marques destacou a ideia que “não é possível parar o negócio para conseguir começar a corrigir vulnerabilidades, por mais graves que elas sejam. Temos de nos alinhar com aquilo que são as necessidades do negócio”, tornando este tema algo complexo de gerir em consideração ao que é o risco da organização “em relação às vulnerabilidades em que está exposta”.

O Head of Cybersecurity comentou que a forma de gerir este tema “não é correr atrás de vulnerabilidades pela severidade delas, mas sim construir modelos baseados no risco efetivo para a organização, porque aquilo que pode ser uma vulnerabilidade que tem um risco para a organização A, pode não ser o mesmo para a organização B”.