Com uma superfície de ataque em constante mudança, os programas cibernéticos devem evoluir de uma abordagem reativa clássica para defesas de segurança proativas e um foco na postura de segurança cibernética da organização. Na prática, isso implica a adoção de uma abordagem de gerenciamento de exposição.
O que é Gerenciamento de Exposição?
Simplificando, o gerenciamento de exposição é o processo de identificação, avaliação, priorização e correção de possíveis vulnerabilidades e lacunas de segurança em correlação com sua criticidade e valor de negócios.
Na prática, envolve a avaliação do potencial impacto operacional e em cascata de uma violação que afeta ativos e processos específicos, ao mesmo tempo em que gerencia proativamente os riscos de segurança associados a esses ativos.
Tanto os líderes de segurança quanto os executivos de negócios aceitam a realidade de que todas as lacunas não podem ser abordadas devido a restrições de tempo e limites de recursos. O objetivo é criar um plano de correção e melhoria de postura de segurança consistente e acionável que se conecte aos riscos e iniciativas de negócios.
A implementação de uma abordagem de gerenciamento de exposição otimiza a relação custo/benefício de cada esforço de remediação, pois garante que seja aplicado onde o impacto é mais benéfico.
Como funciona o gerenciamento de exposição?
Um programa ideal de gerenciamento de exposição geralmente segue um processo de cinco estágios, definido pelo Gartner como gerenciamento contínuo de exposição a ameaças (CTEM):
- Escopo: Esta etapa envolve todas as partes interessadas que participam da definição do escopo de cada ciclo de gestão da exposição. O escopo leva em consideração o contexto de negócios e a quantificação de risco estabelecida a partir de dados agregados na infraestrutura de TI e na pilha de segurança.
- Descoberta: envolve a identificação de todos os ativos, tanto externos – expostos à Internet – quanto internos – protegidos por acesso privilegiado e outros métodos de limitação de acesso. Ele inclui inventário abrangente de ativos, varredura de rede e monitoramento para garantir uma compreensão completa da pegada digital da organização – incluindo vulnerabilidades, configurações incorretas e fraquezas ou lacunas gerais.
- Priorização: correlacionar os resultados da avaliação de segurança com o valor organizacional dos ativos e processos é uma etapa crucial para garantir que as organizações aloquem recursos e priorizem os esforços de correção para abordar primeiro as lacunas de segurança potencialmente mais prejudiciais. A priorização ideal de vulnerabilidades e lacunas considera a eficácia do controle, controles de compensação e o contexto de negócios de ativos e processos.
- Validação: A eficácia dos esforços de remediação é validada pela reexecução das avaliações para testar a eficácia da nova mitigação e medir a melhoria na resiliência cibernética.
- Mobilização: como todas as correções não podem ser automatizadas, os programas de gerenciamento de exposição devem mobilizar as equipes de segurança, TI e toda a empresa para aplicar as mitigações e aceitar as possíveis interrupções nos sistemas e processos de negócios.
O gerenciamento da exposição é um processo cíclico em que o estágio de definição do escopo é redefinido com base nas descobertas do estágio de mobilização.
Aplicando a visão do atacante
Ao contrário do gerenciamento de vulnerabilidade tradicional, o gerenciamento de exposição também inclui a visão do invasor sobre a organização e os ativos – algo normalmente fornecido por testes de penetração. No entanto, soluções e ferramentas comprovadas agora podem automatizar essa mentalidade de segurança ofensiva para fornecer automação, análises avançadas e insights acionáveis para ajudar as organizações a gerenciar com eficiência sua exposição.
Aqui estão algumas soluções importantes e como mapeá-las para a abordagem CTEM:
- Gerenciamento de superfície de ataque (ASM): as ferramentas ASM verificam os domínios, subdomínios, endereços IP, portas e muito mais em busca de vulnerabilidades voltadas para a Internet. Ele também está procurando por Open-Source Intelligence (OSINT) que pode ser usado posteriormente em um ataque de engenharia social ou em uma campanha de phishing. Essa ferramenta ajuda as organizações a entender como os hackers podem obter uma posição inicial.
- Mapeamento para CTEM: as soluções ASM são fundamentais durante os estágios de descoberta e priorização.
- Vantagem: O gerenciamento de superfície de ataque interno que descobre todos os ativos não expostos à Internet, expandindo a extensão da descoberta de ativos e a profundidade do estágio de priorização.
- Validação de Segurança Contínua (BAS): as ferramentas BAS respondem à pergunta: “Qual é o desempenho dos meus controles e processos de segurança?” Eles lançam simulações de ataque e correlacionam as descobertas aos controles de segurança (e-mail e gateways da web, WAF, endpoint ou outros) para fornecer orientação de mitigação.
- Mapeamento para CTEM: as soluções BAS são fundamentais durante os estágios de priorização e validação.
- Vantagem: A Validação de Segurança inclui uma biblioteca de simulações realistas que validam controles individuais, executam testes em toda a cadeia de eliminação e todos os controles e permitem simulações de ataque personalizadas.
- Red Teaming Automatizado Contínuo (CART): As ferramentas CART vão além da fase de reconhecimento ASM para responder à pergunta: “Como um adversário pode violar minhas defesas e segmentação interna?” As ferramentas CART simulam uma campanha de ponta a ponta tentando penetrar na organização, analisando as vulnerabilidades expostas e implantando de forma autônoma técnicas de ataque que penetram na rede.
- Mapeamento para CTEM: as soluções CART são fundamentais durante os estágios de priorização e validação.
- Vantagem: O CART adiciona recursos de equipe vermelha virtual que atacam ainda mais o mapeamento de rotas, tentando encontrar rotas alternativas de ataque de forma independente quando o plano de ataque original é bloqueado por medidas de segurança existentes.
Os benefícios do gerenciamento de exposição
A implementação de um programa de gerenciamento de exposição dentro de uma organização oferece inúmeros benefícios:
- Risco reduzido de violações de dados: ao identificar e abordar proativamente as vulnerabilidades, as organizações podem reduzir significativamente o risco de ataques cibernéticos bem-sucedidos, protegendo dados confidenciais e protegendo sua reputação. O gerenciamento de exposição permite que as organizações fiquem à frente das ameaças emergentes e melhorem continuamente sua postura de segurança.
- Conformidade aprimorada com os regulamentos de segurança: o gerenciamento de exposição ajuda as organizações a garantir a conformidade com os regulamentos e padrões de segurança específicos do setor. Isso evita consequências legais e aumenta a confiança dos clientes e partes interessadas. A conformidade com os regulamentos de segurança é fundamental para organizações que operam em setores altamente regulamentados, como finanças, saúde ou setores governamentais.
- Condições aprimoradas de seguro cibernético: a capacidade de documentar os esforços para reduzir a exposição e remediar proativamente as lacunas de segurança é fundamental para facilitar as negociações com os subscritores de seguros cibernéticos, resultando potencialmente em prêmios mais baixos e cobertura expandida.
- Maior eficiência nas operações de segurança: concentrando-se nas lacunas de segurança mais críticas, o gerenciamento de exposição permite que as organizações aloquem recursos com eficiência, simplifiquem as operações de segurança e otimizem sua estratégia geral de segurança cibernética.
- Melhor tomada de decisões sobre investimentos em segurança: insights sobre a postura de segurança das organizações as ajudam a tomar decisões informadas sobre investimentos em segurança, garantindo que os recursos sejam alocados onde são mais necessários.
- Maior envolvimento de todas as partes interessadas: De acordo com a pesquisa da Cymulate, reuniões regulares envolvendo executivos e equipes de segurança cibernética reduzem o risco de violação. A integração da análise de exposição vincula diretamente a segurança cibernética com as partes interessadas dos níveis executivos que não são de TI e aumenta seu envolvimento no reforço da segurança.
O gerenciamento de exposição está se tornando um componente obrigatório da estratégia de segurança cibernética de qualquer organização, e o Gartner prevê que os CISOs que implementam uma abordagem CTEM verão uma redução de dois terços no número de violações e garantindo que as organizações permaneçam protegidas contra ataques cibernéticos prejudiciais de forma contínua.
Para organizações que buscam construir uma postura de segurança cibernética mais robusta e proativa, o CVS não é apenas crucial, mas está rapidamente se tornando obrigatório para ficar à frente das ameaças cibernéticas em evolução.
Deixe um comentário