Compreendendo os prós e contras do gerenciamento de exposição para segurança cibernética

Com uma superfície de ataque em constante mudança, os programas cibernéticos devem evoluir de uma abordagem reativa clássica para defesas de segurança proativas e um foco na postura de segurança cibernética da organização. Na prática, isso implica a adoção de uma abordagem de gerenciamento de exposição.

O que é Gerenciamento de Exposição?

Simplificando, o gerenciamento de exposição é o processo de identificação, avaliação, priorização e correção de possíveis vulnerabilidades e lacunas de segurança em correlação com sua criticidade e valor de negócios.

Na prática, envolve a avaliação do potencial impacto operacional e em cascata de uma violação que afeta ativos e processos específicos, ao mesmo tempo em que gerencia proativamente os riscos de segurança associados a esses ativos.

Tanto os líderes de segurança quanto os executivos de negócios aceitam a realidade de que todas as lacunas não podem ser abordadas devido a restrições de tempo e limites de recursos. O objetivo é criar um plano de correção e melhoria de postura de segurança consistente e acionável que se conecte aos riscos e iniciativas de negócios.

A implementação de uma abordagem de gerenciamento de exposição otimiza a relação custo/benefício de cada esforço de remediação, pois garante que seja aplicado onde o impacto é mais benéfico.

Como funciona o gerenciamento de exposição?

Um programa ideal de gerenciamento de exposição geralmente segue um processo de cinco estágios, definido pelo Gartner como gerenciamento contínuo de exposição a ameaças (CTEM):

1. Escopo: Esta etapa envolve todas as partes interessadas que participam da definição do escopo de cada ciclo de gestão da exposição. O escopo leva em consideração o contexto de negócios e a quantificação de risco estabelecida a partir de dados agregados na infraestrutura de TI e na pilha de segurança.
2. Descoberta: envolve a identificação de todos os ativos, tanto externos – expostos à Internet – quanto internos – protegidos por acesso privilegiado e outros métodos de limitação de acesso. Ele inclui inventário abrangente de ativos, varredura de rede e monitoramento para garantir uma compreensão completa da pegada digital da organização – incluindo vulnerabilidades, configurações incorretas e fraquezas ou lacunas gerais.
3. Priorização: correlacionar os resultados da avaliação de segurança com o valor organizacional dos ativos e processos é uma etapa crucial para garantir que as organizações aloquem recursos e priorizem os esforços de correção para abordar primeiro as lacunas de segurança potencialmente mais prejudiciais. A priorização ideal de vulnerabilidades e lacunas considera a eficácia do controle, controles de compensação e o contexto de negócios de ativos e processos.
4. Validação: A eficácia dos esforços de remediação é validada pela reexecução das avaliações para testar a eficácia da nova mitigação e medir a melhoria na resiliência cibernética.
5. Mobilização: como todas as correções não podem ser automatizadas, os programas de gerenciamento de exposição devem mobilizar as equipes de segurança, TI e toda a empresa para aplicar as mitigações e aceitar as possíveis interrupções nos sistemas e processos de negócios.

O gerenciamento da exposição é um processo cíclico em que o estágio de definição do escopo é redefinido com base nas descobertas do estágio de mobilização.

Aplicando a visão do atacante

Ao contrário do gerenciamento de vulnerabilidade tradicional, o gerenciamento de exposição também inclui a visão do invasor sobre a organização e os ativos – algo normalmente fornecido por testes de penetração. No entanto, soluções e ferramentas comprovadas agora podem automatizar essa mentalidade de segurança ofensiva para fornecer automação, análises avançadas e insights acionáveis ​​para ajudar as organizações a gerenciar com eficiência sua exposição.

Aqui estão algumas soluções importantes e como mapeá-las para a abordagem CTEM:

• Gerenciamento de superfície de ataque (ASM): as ferramentas ASM verificam os domínios, subdomínios, endereços IP, portas e muito mais em busca de vulnerabilidades voltadas para a Internet. Ele também está procurando por Open-Source Intelligence (OSINT) que pode ser usado posteriormente em um ataque de engenharia social ou em uma campanha de phishing. Essa ferramenta ajuda as organizações a entender como os hackers podem obter uma posição inicial.
  • Mapeamento para CTEM: as soluções ASM são fundamentais durante os estágios de descoberta e priorização.
  • Vantagem: O gerenciamento de superfície de ataque interno que descobre todos os ativos não expostos à Internet, expandindo a extensão da descoberta de ativos e a profundidade do estágio de priorização.
• Validação de Segurança Contínua (BAS): as ferramentas BAS respondem à pergunta: “Qual é o desempenho dos meus controles e processos de segurança?” Eles lançam simulações de ataque e correlacionam as descobertas aos controles de segurança (e-mail e gateways da web, WAF, endpoint ou outros) para fornecer orientação de mitigação.
  • Mapeamento para CTEM: as soluções BAS são fundamentais durante os estágios de priorização e validação.
  • Vantagem: A Validação de Segurança inclui uma biblioteca de simulações realistas que validam controles individuais, executam testes em toda a cadeia de eliminação e todos os controles e permitem simulações de ataque personalizadas.
• Red Teaming Automatizado Contínuo (CART): As ferramentas CART vão além da fase de reconhecimento ASM para responder à pergunta: “Como um adversário pode violar minhas defesas e segmentação interna?” As ferramentas CART simulam uma campanha de ponta a ponta tentando penetrar na organização, analisando as vulnerabilidades expostas e implantando de forma autônoma técnicas de ataque que penetram na rede.
  • Mapeamento para CTEM: as soluções CART são fundamentais durante os estágios de priorização e validação.
  • Vantagem: O CART adiciona recursos de equipe vermelha virtual que atacam ainda mais o mapeamento de rotas, tentando encontrar rotas alternativas de ataque de forma independente quando o plano de ataque original é bloqueado por medidas de segurança existentes.

Os benefícios do gerenciamento de exposição

A implementação de um programa de gerenciamento de exposição dentro de uma organização oferece inúmeros benefícios:

• Risco reduzido de violações de dados: ao identificar e abordar proativamente as vulnerabilidades, as organizações podem reduzir significativamente o risco de ataques cibernéticos bem-sucedidos, protegendo dados confidenciais e protegendo sua reputação. O gerenciamento de exposição permite que as organizações fiquem à frente das ameaças emergentes e melhorem continuamente sua postura de segurança.
• Conformidade aprimorada com os regulamentos de segurança: o gerenciamento de exposição ajuda as organizações a garantir a conformidade com os regulamentos e padrões de segurança específicos do setor. Isso evita consequências legais e aumenta a confiança dos clientes e partes interessadas. A conformidade com os regulamentos de segurança é fundamental para organizações que operam em setores altamente regulamentados, como finanças, saúde ou setores governamentais.
• Condições aprimoradas de seguro cibernético: a capacidade de documentar os esforços para reduzir a exposição e remediar proativamente as lacunas de segurança é fundamental para facilitar as negociações com os subscritores de seguros cibernéticos, resultando potencialmente em prêmios mais baixos e cobertura expandida.
• Maior eficiência nas operações de segurança: concentrando-se nas lacunas de segurança mais críticas, o gerenciamento de exposição permite que as organizações aloquem recursos com eficiência, simplifiquem as operações de segurança e otimizem sua estratégia geral de segurança cibernética.
• Melhor tomada de decisões sobre investimentos em segurança: insights sobre a postura de segurança das organizações as ajudam a tomar decisões informadas sobre investimentos em segurança, garantindo que os recursos sejam alocados onde são mais necessários.
• Maior envolvimento de todas as partes interessadas: De acordo com a pesquisa da Cymulate, reuniões regulares envolvendo executivos e equipes de segurança cibernética reduzem o risco de violação. A integração da análise de exposição vincula diretamente a segurança cibernética com as partes interessadas dos níveis executivos que não são de TI e aumenta seu envolvimento no reforço da segurança.

O gerenciamento de exposição está se tornando um componente obrigatório da estratégia de segurança cibernética de qualquer organização, e o Gartner prevê que os CISOs que implementam uma abordagem CTEM verão uma redução de dois terços no número de violações e  garantindo que as organizações permaneçam protegidas contra ataques cibernéticos prejudiciais de forma contínua.

Para organizações que buscam construir uma postura de segurança cibernética mais robusta e proativa, o CVS não é apenas crucial, mas está rapidamente se tornando obrigatório para ficar à frente das ameaças cibernéticas em evolução.