O gerenciamento contínuo de exposição a ameaças (CTEM) é uma estrutura estratégica que ajuda as organizações a avaliar e gerenciar continuamente o risco cibernético. Ele divide a complexa tarefa de gerenciar ameaças à segurança em cinco estágios distintos: Escopo, Descoberta, Priorização, Validação e Mobilização. Cada um desses estágios desempenha um papel essential na identificação, abordagem e mitigação de vulnerabilidades – antes que possam ser exploradas por invasores.
No papel, o CTEM parece ótimo. Mas onde a borracha encontra a estrada – especialmente para os neófitos do CTEM – a implementação do CTEM pode parecer esmagadora. O processo de colocar em prática os princípios do CTEM pode parecer proibitivamente complexo à primeira vista. No entanto, com as ferramentas certas e uma compreensão clara de cada etapa, o CTEM pode ser um método eficaz para fortalecer a postura de segurança da sua organização.
É por isso que elaborei um guia passo a passo sobre quais ferramentas usar em cada estágio. Quer saber mais? Proceed lendo…
Etapa 1: Escopo
Ao definir ativos críticos durante a definição do escopo, você está dando o primeiro passo essencial para compreender os processos e recursos mais valiosos da sua organização. Seu objetivo aqui é identificar os ativos que são vitais para suas operações, e isso geralmente envolve contribuições de diversas partes interessadas – não apenas de sua equipe de operações de segurança (SecOps). O escopo não é apenas uma tarefa técnica, é um pessoas tarefa – trata-se de compreender verdadeiramente o contexto e os processos do seu negócio.
Uma maneira útil de abordar isso é por meio de workshops sobre ativos críticos para os negócios. Essas sessões reúnem tomadores de decisão, incluindo liderança sênior, para alinhar seus processos de negócios com a tecnologia que os apoia. Então, para apoiar seus esforços de definição do escopo, você pode usar ferramentas como as boas e antigas planilhas, sistemas mais avançados como bancos de dados de gerenciamento de configuração (CMDBs) ou soluções especializadas como gerenciamento de ativos de software program (SAM) e gerenciamento de ativos de {hardware} (HAM). Além disso, as ferramentas de gerenciamento de postura de segurança de dados (DSPM) fornecem insights valiosos ao analisar ativos e priorizar aqueles que precisam de mais proteção. (Leia mais sobre o escopo aqui.)
Etapa 2: Descoberta
O Discovery se concentra na identificação de ativos e vulnerabilidades em todo o ecossistema da sua organização – usando diversas ferramentas e métodos para compilar uma visão abrangente do seu cenário tecnológico e permitir que suas equipes de segurança avaliem riscos potenciais.
Ferramentas de verificação de vulnerabilidades são comumente usadas para descobrir ativos e identificar possíveis pontos fracos. Essas ferramentas verificam vulnerabilidades conhecidas (CVEs) em seus sistemas e redes e, em seguida, fornecem relatórios detalhados sobre quais áreas precisam de atenção. Além disso, o Lively Listing (AD) desempenha um papel essential na descoberta, especialmente em ambientes onde prevalecem problemas de identidade.
Para ambientes em nuvem, as ferramentas Cloud Safety Posture Administration (CSPM) são usadas para identificar configurações incorretas e vulnerabilidades em plataformas como AWS, Azure e GCP. Essas ferramentas também tratam de problemas de gerenciamento de identidade específicos de ambientes em nuvem. (Leia mais sobre a descoberta aqui.)
Etapa 3: Priorização
A priorização eficaz é essential porque garante que suas equipes de segurança se concentrem nas ameaças de maior impacto – reduzindo, em última análise, o risco geral para sua organização.
Talvez você já esteja usando soluções tradicionais de gerenciamento de vulnerabilidades que priorizam com base nas pontuações do CVSS (Widespread Vulnerability Scoring System). No entanto, tenha em mente que estas pontuações muitas vezes não incorporam o contexto empresarial, tornando difícil para as partes interessadas técnicas e não técnicas compreender a urgência de ameaças específicas. Por outro lado, priorizar no contexto dos ativos críticos para o negócio torna o processo mais compreensível para os líderes empresariais. Esse alinhamento permite que suas equipes de segurança comuniquem o impacto potencial das vulnerabilidades de maneira mais eficaz em toda a organização.
O mapeamento e o gerenciamento do caminho de ataque são cada vez mais reconhecidos como componentes essenciais da priorização. Essas ferramentas analisam como os invasores podem se mover lateralmente na sua rede, ajudando a identificar pontos de estrangulamento onde um ataque pode causar mais danos. As soluções que incorporam o mapeamento do caminho de ataque fornecem uma visão mais completa dos riscos de exposição, permitindo uma abordagem mais estratégica à priorização.
Finalmente, as plataformas externas de inteligência contra ameaças são fundamentais nesta fase. Essas ferramentas fornecem dados em tempo actual sobre vulnerabilidades exploradas ativamente, adicionando contexto crítico além das pontuações CVSS. Além disso, as tecnologias baseadas em IA podem dimensionar a detecção de ameaças e agilizar a priorização, mas é importante implementá-las cuidadosamente para evitar a introdução de erros no seu processo. (Leia mais sobre Priorização aqui.)
Etapa 4: Validação
A fase de validação do CTEM verifica se as vulnerabilidades identificadas podem de facto ser exploradas – avaliando o seu potencial impacto no mundo actual. Esse estágio garante que você não esteja apenas abordando riscos teóricos, mas priorizando ameaças genuínas que poderiam levar a violações significativas se não fossem abordadas.
Um dos métodos mais eficazes de validação é o teste de penetração. Os pen testers simulam ataques do mundo actual, tentando explorar vulnerabilidades e testando até que ponto eles podem se mover na sua rede. Isso valida diretamente se os controles de segurança implementados são eficazes ou se certas vulnerabilidades podem ser transformadas em armas. Oferece uma perspectiva prática – além das pontuações de risco teóricas.
Além do pen check handbook, as ferramentas de validação de controle de segurança, como Breach and Assault Simulation (BAS), desempenham um papel essential. Essas ferramentas simulam ataques em um ambiente controlado, permitindo verificar se vulnerabilidades específicas poderiam contornar suas defesas existentes. As ferramentas que usam um modelo de gêmeo digital permitem validar caminhos de ataque sem impactar os sistemas de produção – uma grande vantagem em relação aos métodos de teste tradicionais que podem interromper as operações. (Leia mais sobre Validação aqui.)
Etapa 5: Mobilização
O estágio de mobilização aproveita diversas ferramentas e processos que aprimoram a colaboração entre suas equipes de segurança e operações de TI. Permitir que SecOps comuniquem vulnerabilidades e exposições específicas que requerem atenção preenche a lacuna de conhecimento, ajudando as operações de TI a entender exatamente o que precisa ser corrigido e como fazê-lo.
Além disso, a integração de sistemas de tickets como Jira ou Freshworks pode agilizar o processo de correção. Essas ferramentas permitem rastrear vulnerabilidades e atribuir tarefas, garantindo que os problemas sejam priorizados com base em seu impacto potencial em ativos críticos.
As notificações por e-mail também podem ser valiosas para comunicar questões urgentes e atualizações às partes interessadas, enquanto as soluções de gerenciamento de informações e eventos de segurança (SIEM) podem centralizar dados de várias fontes, ajudando suas equipes a identificar e responder rapidamente às ameaças.
Por fim, é importante criar manuais claros que descrevam as etapas de correção para vulnerabilidades comuns. (Leia mais sobre Mobilização aqui.)
Tornando o CTEM alcançável com XM Cyber
Agora que você leu a longa lista de ferramentas necessárias para tornar o CTEM uma realidade, você está se sentindo mais pronto para começar?
Por mais transformacional que o CTEM seja, muitas equipes veem a lista acima e, compreensivelmente, recuam, sentindo que é um empreendimento muito complexo e cheio de nuances. Desde o início do CTEM, algumas equipes optaram por renunciar aos benefícios, porque mesmo com um roteiro, parece uma tarefa muito complicada para elas.
A maneira mais produtiva de tornar o CTEM uma realidade alcançável é com uma abordagem unificada do CTEM que simplifique a implementação, integrando todos os múltiplos estágios do CTEM em uma plataforma coesa. Isso minimiza a complexidade frequentemente associada à implantação de ferramentas e processos diferentes. Com o XM Cyber, você pode:
- Mapeie processos de negócios críticos para ativos de TI subjacentes para priorizar exposições com base no risco para o negócio.
- Descubra todos os CVEs e não CVEs (configurações incorretas, riscos de identidade, permissões excessivas) em ambientes locais e na nuvem e em superfícies de ataque internas e externas.
- Obtenha uma priorização mais rápida e precisa com base no Assault Graph Evaluation™ proprietário que aproveita a inteligência de ameaças, a complexidade do caminho de ataque, o número de ativos críticos que estão comprometidos e se está em pontos de estrangulamento para vários caminhos de ataque.-
- Valide se os problemas podem ser explorados em um ambiente específico e se os controles de segurança estão configurados para bloqueá-los.
- Melhorar a remediação, devido ao foco em evidências baseadas no contexto, orientações de remediação e alternativas. Ele também se integra a ferramentas de emissão de tickets, SIEM e SOAR para monitorar o progresso da correção.
CTEM – Este é o Caminho
A abordagem unificada da XM Cyber para CTEM simplifica a implementação integrando vários estágios em uma plataforma coesa. Isso minimiza a complexidade associada à implantação de ferramentas e processos diferentes. Com o XM Cyber, você obtém visibilidade em tempo actual de suas exposições, permitindo priorizar esforços de remediação com base no risco actual, em vez de avaliações teóricas.
A plataforma facilita a comunicação perfeita entre SecOps e operações de TI, garantindo que todos estejam na mesma página em relação a vulnerabilidades e soluções. Essa colaboração promove uma postura de segurança mais eficiente e ágil, permitindo que sua organização lide com ameaças potenciais de forma rápida e eficaz. (Para saber mais sobre por que o XM Cyber é a resposta mais completa ao CTEM, pegue uma cópia do nosso Guia do comprador CTEM aqui.)
Em última análise, o XM Cyber não apenas melhora a capacidade da sua equipe de gerenciar exposições, mas também permite que você se adapte continuamente a um cenário de ameaças em evolução.
Observação: Este artigo foi habilmente escrito e contribuído por Karsten Chearis, líder da equipe de engenharia de vendas de segurança dos EUA na XM Cyber.
