top of page
  • Foto do escritorNetconn Netconn

O que é CTEM e quais são seus benefícios?

Atualizado: 22 de mai.


Em um mundo de jargões cada vez maiores, adicionar outra sigla ao seu glossário pode parecer a última coisa que gostaria de fazer, mas se você está procurando maneiras de reduzir os riscos em seu ambiente continuamente e, ao mesmo tempo, fazer melhorias significativas e consistentes na sua postura de segurança; você provavelmente desejará considerar um programa de Continuous Threat Exposure Management (CTEM), ou em português, um programa de Gerenciamento Contínuo de Exposição a Ameaças.


CTEM é uma abordagem ao gerenciamento de riscos cibernéticos que combina uma simulação de ataques, uma priorização de riscos e uma orientação de remediação em apenas um processo coordenado. O termo Gerenciamento Contínuo de Exposição a Ameaças apareceu pela primeira vez no relatório Gartner®, “Implement a Continuous Threat Exposure Management Program (CTEM)” (Gartner, 21 de julho de 2022). Desde então, temos visto que organizações em todo o mundo estão a constatar os benefícios desta abordagem integrada e contínua.




Concentre-Se Nas Áreas Com Maior Risco


Mas por que o CTEM é popular e como ele se destaca dentro de um mundo cheio de gerenciamento de vulnerabilidades?


O objetivo do CTEM é a descoberta de riscos reais e acionáveis ​​para ativos críticos. Qualquer pessoa pode identificar melhorias de segurança em um ambiente de uma organização, mas a questão não é só encontrar exposições, é ser sobrecarregado por elas e ser capaz de saber quais representam um maior risco para os ativos críticos.


O CTEM te ajuda a:


  1. Identificar seus ativos mais expostos e como um invasor pode aproveitá-los

  2. Entender o impacto e a probabilidade de possíveis violações

  3. Priorizar os riscos e vulnerabilidades mais urgentes

  4. Obter recomendações práticas sobre como corrigi-los

  5. Monitorar sua postura de segurança continuamente e acompanhar seu progresso


Com um programa CTEM, você pode ter a “visão do invasor”, cruzando falhas em seu ambiente que tem a probabilidade de serem usadas por um invasor. O resultado é uma lista priorizada de exposições a serem abordadas, incluindo aquelas que podem ser tratadas com segurança posteriormente.


As Cinco Etapas De Um Programa CTEM


5 etapas CTEM

Diferente de ser um produto ou serviço específico, o CTEM é um programa que reduz as exposições de segurança cibernética através de cinco etapas:


  1. Escopo – Para definir e, posteriormente, refinar o escopo da iniciativa CTEM, as equipes de segurança precisam primeiro entender o que é importante para seus colegas de trabalho e quais impactos (como por exemplo, uma interrupção necessária de um sistema de produção) são prováveis de serem graves o suficiente para justificar uma correção.

  2. Descoberta – Uma vez que o escopo é concluído, é importante iniciar um processo de descoberta de ativos e seus perfis de risco. Deve ser dada prioridade à descoberta em áreas do negócio que foram identificadas pelo processo de definição do escopo, embora esse nem sempre seja o caminho. A descoberta de exposições vai além das vulnerabilidades: pode incluir configurações incorretas de ativos e controles de segurança, ativos falsificados, respostas incorretas para um teste de phishing e outras fraquezas também.

  3. Priorização – O objetivo do gerenciamento de exposição não é tentar remediar todos os problemas identificados e nem, por exemplo, a maioria das ameaças de dia zero (zero-day threats), mas sim identificar e abordar as ameaças com maior probabilidade de serem exploradas contra a organização. Ele também fala que as organizações não podem lidar com as formas tradicionais de priorizar exposições por meio de classificações predefinidas de gravidade, porque precisam levar em conta a prevalência de explorações, os controles disponíveis, as opções de mitigação e a criticidade do negócio para refletir o impacto potencial na organização.

  4. Validação – É a parte do processo que a organização pode validar como potenciais invasores podem realmente explorar uma exposição identificada e como os sistemas de monitoramento e controle podem reagir. Os objetivos da etapa de validação incluem avaliar o provável sucesso do ataque, confirmando que os invasores poderiam realmente explorar as exposições previamente descobertas e priorizadas.

  5. Mobilização – Para garantir o sucesso, os líderes de segurança devem reconhecer e comunicar a todas as partes interessadas que a correção não pode ser totalmente automatizada. O objetivo da mobilização é garantir que as equipes operacionalizem as conclusões do CTEM, reduzindo o atrito na aprovação, nos processos de implementação e nas implantações de mitigação. Ele exige que as organizações definam padrões de comunicação (requisitos de informação) e fluxos de trabalho de aprovação da equipe documentados.


CTEM versus abordagens alternativas


Existem diversas abordagens alternativas para compreender e melhorar a postura de segurança, algumas das quais estão em uso há décadas.

  • O Vulnerability Management/RBVM: foca na redução de riscos por escâner para identificar vulnerabilidades e, em seguida, os priorizam e corrigem com base em uma análise estática. A automação é essencial, dada a quantidade de ativos que precisam ser analisados e o número cada vez maior de vulnerabilidades identificadas. Mas o RBVM limita-se a identificar CVEs e não aborda problemas de identidade e configurações incorretas. Além disso, não possui as informações necessárias para priorizar adequadamente a correção, normalmente levando a atrasos generalizados.

  • Exercícios de Red Team: são testes manuais, caros e pontuais de defesas de segurança cibernética. Eles procuram identificar se existe ou não um caminho de ataque bem-sucedido em um determinado momento, mas não conseguem identificar toda a gama de riscos.

  • O Teste de Penetração: usa uma metodologia de teste como avaliação de risco e fornece um resultado pontual. Como envolve interação ativa com a rede e os sistemas, normalmente é limitado em relação a ativos críticos, devido ao risco de interrupção.

  • O Cloud Security Posture Management (CSPM): concentra-se em problemas de configuração incorreta e riscos de conformidade exclusivamente em ambientes de nuvem. Embora importante, não considera funcionários remotos, ativos locais ou interações entre vários fornecedores de nuvem. Essas soluções desconhecem o caminho completo dos riscos de ataque que atravessam diferentes ambientes, um risco comum no mundo real.


Uma abordagem baseada num programa CTEM oferece as vantagens de:


  • Cobrir todos os ativos (na nuvem, locais e remotos) e sabendo quais são os mais críticos

  • Descobrir continuamente todos os tipos de exposições – CVEs tradicionais, identidades e configurações incorretas.

  • Apresenta insights do mundo real sobre a visão do invasor

  • Priorizando esforços de remediação para eliminar os caminhos de ataques com o menor número de correções

  • Fornecer conselhos de remediação para melhorias confiáveis e repetidas


O valor do CTEM


Acreditamos que a abordagem CTEM tem vantagens substanciais sobre alternativas, algumas das quais têm sido utilizadas há décadas.


Fundamentalmente, as organizações passaram anos identificando exposições, acrescentando-as a listas intermináveis ​​de tarefas, gastando tempo​​ analisando essas listas e ainda assim não obtendo um benefício claro. Com o CTEM, uma abordagem mais cuidadosa para descoberta e priorização agregando valor por:


  • Reduzir rapidamente o risco geral

  • Aumentar o valor de cada remediação e potencialmente liberando recursos

  • Melhorar o alinhamento entre as equipes de segurança e TI

  • Fornecer uma visão comum de todo o processo, incentivando um ciclo de feedback positivo que impulsiona a melhoria contínua


Primeiros passos para o CTEM

Como o CTEM é um processo e não um serviço específico ou solução de software, começar é um esforço holístico. A adesão organizacional é um primeiro passo crítico. Outras considerações incluem:


  • Apoiar processos e coleta de dados com os componentes de software certos

  • Definição de ativos críticos e atualização de correções nos fluxos de trabalho

  • Executando com base nas integrações de sistemas corretos

  • Determinar relatórios executivos adequados e uma abordagem para melhorias na postura de segurança


Com o CTEM, as organizações podem promover uma linguagem comum de risco para Segurança e TI; e garantir que o nível de risco de cada exposição fique claro. Isto permite que as poucas exposições que realmente representam risco, entre os muitos que existem, sejam abordadas de uma forma significativa e mensurável.

Conte com a Netconn

 

A Netconn é um hub de inovação e tecnologia em segurança, com 26 anos de experiência no mercado. Nossa expertise reside na implementação de soluções para acesso remoto e gestão de privilégios em redes. Atuamos em estreita colaboração com parceiros internacionais e contamos com as maiores empresas do Brasil como clientes.

 

Para obter mais informações sobre como começar seu programa CTEM, ou gostaria de saber mais sobre a XM Cyber, acesse a nossa gravação do webinar no Youtube, onde explicamos mais sobre essa solução: https://www.youtube.com/watch?v=zLuKp5XWbps&t=1699s

 

Caso haja perguntas ou comentários, nos envie para o email: contato@netconn.com.br.

226 visualizações

Comments


Fale Conosco

Outros Contatos:

+55 11 99435-8164

+55 (11) 3023-1500

R. Cunha Gago, 700 Pinheiros,
São Paulo - SP

RH & Curriculum

Suporte

bottom of page