m1016-vulnerability-scanning

# M1016 — Vulnerability Scanning ## Visão Geral *Fonte: [MITRE ATT&CK — M1016](https://attack.mitre.org/mitigations/M1016)* ## Descrição O vulnerability scanning consiste na avaliação automatizada ou manual de sistemas, aplicações e redes para identificar configurações incorretas, software sem patches ou outras fragilidades de segurança. O processo ajuda a priorizar os esforços de remediação classificando as vulnerabilidades com base no risco e impacto, reduzindo a probabilidade de exploração por adversários. Esta mitigação pode ser implementada por meio das seguintes medidas: ```mermaid graph TB A["📅 Agendar scans periódicos e pós-deploy"] --> B["🔍 Scanner executa Nessus / OpenVAS / DAST"] B --> C["📋 Resultados triados por CVSS + EPSS + KEV"] C --> D["🎯 Priorizar CVEs críticos com exploit em circulação"] D --> E["🔧 Ticket de remediação atribuído por SLA"] E --> F["✅ Rescan confirma correção aplicada"] ``` Identificação Proativa de Vulnerabilidades - Implementação: Use ferramentas como Nessus ou OpenVAS para escanear endpoints, servidores e aplicações em busca de patches ausentes e problemas de configuração. Agende scans regulares para garantir a identificação oportuna de vulnerabilidades introduzidas por novos deploys ou atualizações. - Caso de uso: Um scan identifica software sem patch, como servidores Apache desatualizados, que poderiam ser explorados via CVE-XXXX-XXXX. O servidor é prontamente corrigido, mitigando o risco. Scanning de Ambientes Cloud - Implementação: Use ferramentas de gerenciamento de vulnerabilidades específicas para cloud, como AWS Inspector, Azure Security Center ou GCP Security Command Center, para identificar problemas como buckets S3 abertos ou perfis IAM com permissões excessivas. - Caso de uso: O scan detecta um bucket S3 mal configurado com acesso público de leitura, que é corrigido para evitar potencial vazamento de dados. Scanning de Dispositivos de Rede - Implementação: Use ferramentas para escanear dispositivos de rede em busca de vulnerabilidades, como strings SNMP fracas ou firmware desatualizado. Correlacione os resultados do scan com advisories de fornecedores para priorizar atualizações. - Caso de uso: O scanning detecta um roteador executando firmware desatualizado, vulnerável ao CVE-XXXX-YYYY. O firmware é atualizado para uma versão segura. Scanning de Aplicações Web - Implementação: Use ferramentas de dynamic application security testing (DAST) como OWASP ZAP ou Burp Suite para escanear vulnerabilidades comuns como SQL injection ou cross-site scripting (XSS). Realize scans regulares após o deploy para identificar vulnerabilidades recém-introduzidas. - Caso de uso: Um scan identifica uma vulnerabilidade de cross-site scripting em um campo de entrada de formulário, que é prontamente corrigida pelos desenvolvedores. Priorização de Vulnerabilidades - Implementação: Use frameworks de pontuação de vulnerabilidades como o CVSS para avaliar a severidade. Integre ferramentas de vulnerability scanning com sistemas de tickets para atribuir tarefas de remediação com base na criticidade. - Caso de uso: Uma vulnerabilidade crítica com pontuação CVSS de 9.8 afetando servidores de acesso remoto é priorizada e corrigida primeiro. *Ferramentas para Implementação* Ferramentas Open Source: - OpenVAS: Scanning abrangente de vulnerabilidades de rede e sistemas. - OWASP ZAP: Scanning dinâmico de aplicações web em busca de vulnerabilidades. - Nmap com NSE Scripts: Scanning de rede com scripts para detectar vulnerabilidades. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1210 | [[t1210-exploitation-of-remote-services\|T1210 — Exploitation of Remote Services]] | | T1190 | [[t1190-exploit-public-facing-application\|T1190 — Exploit Public-Facing Application]] | | T1195.001 | [[t1195-001-compromise-software-dependencies-and-development-tools\|T1195.001 — Compromise Software Dependencies and Development Tools]] | | T1195 | [[t1195-supply-chain-compromise\|T1195 — Supply Chain Compromise]] | | T1195.002 | [[t1195-002-compromise-software-supply-chain\|T1195.002 — Compromise Software Supply Chain]] | --- ## Contexto LATAM > [!globe] Relevância Regional > O vulnerability scanning é obrigatório para organizações reguladas no Brasil, mas a frequência e cobertura variam amplamente: empresas sujeitas ao PCI-DSS realizam scans trimestrais externos, enquanto a maioria das organizações limita-se a scans anuais ou sob demanda. A CISA KEV serve como referência prioritária para triagem, mas poucos times no Brasil integram EPSS com CVSS de forma sistemática para priorização. Vulnerabilidades em produtos amplamente usados no Brasil como Fortinet, Cisco e VMware frequentemente aparecem em campanhas ativas antes de serem escaneadas e corrigidas. > - Adoção em SOCs brasileiros: médio (scans existem, mas cobertura e frequência insuficientes) > - Regulamentações relevantes: BACEN 4893/2021 (gestão de vulnerabilidades como controle mandatório), PCI-DSS v4.0 (Req. 11.3), LGPD (Art. 46 - medidas preventivas de segurança) > - Desafios regionais: tempo médio de remediação elevado por falta de ownership claro, dificuldade de escanear ambientes OT/ICS sem impactar produção, e ausência de integração entre scanner e CMDB para contextualização de risco