Por Jason Pappalexis
14 de outubro de 2024
Se você é CISO ou faz parte da equipe de resposta a incidentes, é provável que já tenha ouvido falar em gestão de exposição (EM – Exposure Management).
Apresentado pela Gartner em 2022 como a evolução da gestão de vulnerabilidades (VM), o termo “gestão de exposição” foi rapidamente adotado pelos fornecedores, mais rápido do que se pode dizer “next gen” ou “com IA integrada”. Infelizmente para os consumidores, esse entusiasmo gerou mais confusão do que clareza.
Este texto é uma oportunidade para redefinir expectativas. Primeiro, a boa notícia: EM representa um avanço significativo na redução de riscos. Segundo, é provável que você já esteja adotando práticas de gestão de exposição sem nem perceber.
Relembrando Rapidamente
Os gerentes de equipes de segurança de TI conhecem bem os altos níveis de estresse durante a resposta a incidentes, especialmente em situações mais críticas, como violações de dados ou ataques de ransomware, que exigem envolvimento do CISO, CEO e até do conselho.
Resolver problemas antes que escalem, como identificar um site que lida com dados pessoais sem WAF ou um ativo vulnerável ao CVE do HashiCorp Vault SSH, é o objetivo ideal para todos os envolvidos.
A definição da Gartner para EM soa como uma missão de CISO: “um conjunto de processos que dá às empresas a capacidade de avaliar continuamente e de forma consistente a visibilidade, acessibilidade e vulnerabilidade de seus ativos digitais.”
Mas equipes de segurança sobrecarregadas precisam de mais detalhes, ou correm o risco de interpretar mal o que fazer e como fazer. Com muita incerteza, a implementação pode ser adiada pela quantidade de tempo para “descobrir o caminho”.
Em 2024, para esclarecer melhor, a Gartner subdividiu o conceito de EM em duas categorias: validação de exposição adversária (AEV) e plataforma de avaliação de exposição (EAP). AEV foca na validação de caminhos de ataque, enquanto EAP trata da identificação, avaliação e priorização de vulnerabilidades. Juntas, elas formam a gestão de exposição a ameaças (TEM), substituindo o termo original.
A implementação de TEM começa com o Continuous Threat Exposure Management (CTEM), um programa de cinco etapas para operacionalizar essa missão.
Seis Sinais de que sua Organização Precisa de TEM
Se você enfrenta desafios com visibilidade, cobertura e listas intermináveis de problemas que exigem validação e revalidação manual, você não está sozinho. Muitas organizações têm mais problemas surgindo do que conseguem resolver. Por exemplo, nosso estudo recente revelou que 60% das empresas atualizam aplicações web semanalmente ou com mais frequência, mas 75% só testam essas aplicações uma vez por mês – um claro descompasso.
Veja seis sinais de que sua organização se beneficiaria com TEM:
- Visibilidade limitada de ativos externos: sem visibilidade completa de todos os ativos expostos, especialmente os externos à infraestrutura principal, sua organização fica vulnerável.
- Pegada digital ampla ou cadeia de suprimentos complexa: redes amplas de parceiros, fornecedores e sistemas externos aumentam o risco de pontos de exposição passarem despercebidos.
- Incidentes frequentes e alto índice de falsos positivos: se a equipe está sobrecarregada com alertas desnecessários, é um sinal de que o sistema atual não está sendo eficiente.
- Incidentes originados por Shadow IT: sistemas ou apps não autorizados criam vulnerabilidades se não forem visíveis e gerenciados.
- Tempo médio de remediação (MTTR) elevado: esforço manual para validar criticidade de problemas é um sinal claro de que o MTTR está alto demais.
- Dificuldade para atender a frameworks de compliance: dificuldade em cumprir regulamentações como GDPR ou PCI-DSS indica que a gestão de exposição está incompleta.
Cinco Prioridades Críticas
Como mencionado, você provavelmente já está buscando TEM sem perceber. Por quê? Porque, em seus (raros) momentos de descanso ou ao fim de uma reunião, você já imaginou diversos cenários ideais para reduzir o esforço e aumentar a sua resiliência contra ataques.
Como evolução da VM, as etapas do CTEM – escopo, descoberta, priorização, validação e mobilização – abrangem muitos desses desejos. (Atenção: os termos podem ser enganosos; vale a pena entender as nuances de cada um.)
Para melhorar sua operação e atender às demandas atuais – e futuras – de TI, comece com o essencial:
- Foque em exposições externas: Mais de 80% das violações envolvem agentes externos.
- Descubra tudo: Todas as unidades de negócio expostas e todos os ativos relacionados, em nuvem e on-premises. Sem exceções.
- Teste tudo: Testes ativos, incluindo segurança de aplicações, em todos os ativos expostos, não apenas os mais críticos. Sem exceções.
- Priorize com base no risco: Leve em conta o risco para o negócio, não apenas a criticidade técnica.
- Compartilhe amplamente: Use integrações para unir tudo aos seus processos atuais.
Esses elementos fornecem a base para uma gestão de exposição eficaz: problemas validados, significativos e que permitem resposta ágil das equipes.
Tecnologias legadas, que não oferecem essas capacidades, não conseguem reagir dinamicamente às mudanças da superfície de ataque e ignoram riscos que vão além de CVEs , como configurações erradas, dados expostos e falhas de controles de segurança. (Tecnologias baseadas apenas em CVE sempre ficam para trás – hoje, o NVD tem mais de 17 mil vulnerabilidades em atraso.)
Dê o Próximo PassoCom a tecnologia certa, a implementação de TEM não precisa ser lenta. A CyCognito automatiza as etapas-chave do CTEM – escopo, descoberta, priorização, validação e mobilização. Fale conosco em contato@cybergate.solutions para saber como empresas que usam a plataforma CyCognito alcançam 95% de seus objetivos de tecnologia de EM para superfícies de ataque externas, sem instalação, configuração ou manutenção. Tudo automaticamente.