Em um mundo de jargões cada vez maiores, adicionar outra sigla ao seu glossário pode parecer a última coisa que gostaria de fazer, mas se você está procurando maneiras de reduzir os riscos em seu ambiente continuamente e, ao mesmo tempo, fazer melhorias significativas e consistentes na sua postura de segurança; você provavelmente desejará considerar um programa de Continuous Threat Exposure Management (CTEM), ou em português, um programa de Gerenciamento Contínuo de Exposição a Ameaças.
CTEM é uma abordagem ao gerenciamento de riscos cibernéticos que combina uma simulação de ataques, uma priorização de riscos e uma orientação de remediação em apenas um processo coordenado. O termo Gerenciamento Contínuo de Exposição a Ameaças apareceu pela primeira vez no relatório Gartner®, “Implement a Continuous Threat Exposure Management Program (CTEM)” (Gartner, 21 de julho de 2022). Desde então, temos visto que organizações em todo o mundo estão a constatar os benefícios desta abordagem integrada e contínua.
Concentre-Se Nas Áreas Com Maior Risco
Mas por que o CTEM é popular e como ele se destaca dentro de um mundo cheio de gerenciamento de vulnerabilidades?
O objetivo do CTEM é a descoberta de riscos reais e acionáveis para ativos críticos. Qualquer pessoa pode identificar melhorias de segurança em um ambiente de uma organização, mas a questão não é só encontrar exposições, é ser sobrecarregado por elas e ser capaz de saber quais representam um maior risco para os ativos críticos.
O CTEM te ajuda a:
Identificar seus ativos mais expostos e como um invasor pode aproveitá-los
Entender o impacto e a probabilidade de possíveis violações
Priorizar os riscos e vulnerabilidades mais urgentes
Obter recomendações práticas sobre como corrigi-los
Monitorar sua postura de segurança continuamente e acompanhar seu progresso
Com um programa CTEM, você pode ter a “visão do invasor”, cruzando falhas em seu ambiente que tem a probabilidade de serem usadas por um invasor. O resultado é uma lista priorizada de exposições a serem abordadas, incluindo aquelas que podem ser tratadas com segurança posteriormente.
As Cinco Etapas De Um Programa CTEM
Diferente de ser um produto ou serviço específico, o CTEM é um programa que reduz as exposições de segurança cibernética através de cinco etapas:
Escopo – Para definir e, posteriormente, refinar o escopo da iniciativa CTEM, as equipes de segurança precisam primeiro entender o que é importante para seus colegas de trabalho e quais impactos (como por exemplo, uma interrupção necessária de um sistema de produção) são prováveis de serem graves o suficiente para justificar uma correção.
Descoberta – Uma vez que o escopo é concluído, é importante iniciar um processo de descoberta de ativos e seus perfis de risco. Deve ser dada prioridade à descoberta em áreas do negócio que foram identificadas pelo processo de definição do escopo, embora esse nem sempre seja o caminho. A descoberta de exposições vai além das vulnerabilidades: pode incluir configurações incorretas de ativos e controles de segurança, ativos falsificados, respostas incorretas para um teste de phishing e outras fraquezas também.
Priorização – O objetivo do gerenciamento de exposição não é tentar remediar todos os problemas identificados e nem, por exemplo, a maioria das ameaças de dia zero (zero-day threats), mas sim identificar e abordar as ameaças com maior probabilidade de serem exploradas contra a organização. Ele também fala que as organizações não podem lidar com as formas tradicionais de priorizar exposições por meio de classificações predefinidas de gravidade, porque precisam levar em conta a prevalência de explorações, os controles disponíveis, as opções de mitigação e a criticidade do negócio para refletir o impacto potencial na organização.
Validação – É a parte do processo que a organização pode validar como potenciais invasores podem realmente explorar uma exposição identificada e como os sistemas de monitoramento e controle podem reagir. Os objetivos da etapa de validação incluem avaliar o provável sucesso do ataque, confirmando que os invasores poderiam realmente explorar as exposições previamente descobertas e priorizadas.
Mobilização – Para garantir o sucesso, os líderes de segurança devem reconhecer e comunicar a todas as partes interessadas que a correção não pode ser totalmente automatizada. O objetivo da mobilização é garantir que as equipes operacionalizem as conclusões do CTEM, reduzindo o atrito na aprovação, nos processos de implementação e nas implantações de mitigação. Ele exige que as organizações definam padrões de comunicação (requisitos de informação) e fluxos de trabalho de aprovação da equipe documentados.
CTEM versus abordagens alternativas
Existem diversas abordagens alternativas para compreender e melhorar a postura de segurança, algumas das quais estão em uso há décadas.
O Vulnerability Management/RBVM: foca na redução de riscos por escâner para identificar vulnerabilidades e, em seguida, os priorizam e corrigem com base em uma análise estática. A automação é essencial, dada a quantidade de ativos que precisam ser analisados e o número cada vez maior de vulnerabilidades identificadas. Mas o RBVM limita-se a identificar CVEs e não aborda problemas de identidade e configurações incorretas. Além disso, não possui as informações necessárias para priorizar adequadamente a correção, normalmente levando a atrasos generalizados.
Exercícios de Red Team: são testes manuais, caros e pontuais de defesas de segurança cibernética. Eles procuram identificar se existe ou não um caminho de ataque bem-sucedido em um determinado momento, mas não conseguem identificar toda a gama de riscos.
O Teste de Penetração: usa uma metodologia de teste como avaliação de risco e fornece um resultado pontual. Como envolve interação ativa com a rede e os sistemas, normalmente é limitado em relação a ativos críticos, devido ao risco de interrupção.
O Cloud Security Posture Management (CSPM): concentra-se em problemas de configuração incorreta e riscos de conformidade exclusivamente em ambientes de nuvem. Embora importante, não considera funcionários remotos, ativos locais ou interações entre vários fornecedores de nuvem. Essas soluções desconhecem o caminho completo dos riscos de ataque que atravessam diferentes ambientes, um risco comum no mundo real.
Uma abordagem baseada num programa CTEM oferece as vantagens de:
Cobrir todos os ativos (na nuvem, locais e remotos) e sabendo quais são os mais críticos
Descobrir continuamente todos os tipos de exposições – CVEs tradicionais, identidades e configurações incorretas.
Apresenta insights do mundo real sobre a visão do invasor
Priorizando esforços de remediação para eliminar os caminhos de ataques com o menor número de correções
Fornecer conselhos de remediação para melhorias confiáveis e repetidas
O valor do CTEM
Acreditamos que a abordagem CTEM tem vantagens substanciais sobre alternativas, algumas das quais têm sido utilizadas há décadas.
Fundamentalmente, as organizações passaram anos identificando exposições, acrescentando-as a listas intermináveis de tarefas, gastando tempo analisando essas listas e ainda assim não obtendo um benefício claro. Com o CTEM, uma abordagem mais cuidadosa para descoberta e priorização agregando valor por:
Reduzir rapidamente o risco geral
Aumentar o valor de cada remediação e potencialmente liberando recursos
Melhorar o alinhamento entre as equipes de segurança e TI
Fornecer uma visão comum de todo o processo, incentivando um ciclo de feedback positivo que impulsiona a melhoria contínua
Primeiros passos para o CTEM
Como o CTEM é um processo e não um serviço específico ou solução de software, começar é um esforço holístico. A adesão organizacional é um primeiro passo crítico. Outras considerações incluem:
Apoiar processos e coleta de dados com os componentes de software certos
Definição de ativos críticos e atualização de correções nos fluxos de trabalho
Executando com base nas integrações de sistemas corretos
Determinar relatórios executivos adequados e uma abordagem para melhorias na postura de segurança
Com o CTEM, as organizações podem promover uma linguagem comum de risco para Segurança e TI; e garantir que o nível de risco de cada exposição fique claro. Isto permite que as poucas exposições que realmente representam risco, entre os muitos que existem, sejam abordadas de uma forma significativa e mensurável.
Conte com a Netconn
A Netconn é um hub de inovação e tecnologia em segurança, com 26 anos de experiência no mercado. Nossa expertise reside na implementação de soluções para acesso remoto e gestão de privilégios em redes. Atuamos em estreita colaboração com parceiros internacionais e contamos com as maiores empresas do Brasil como clientes.
Para obter mais informações sobre como começar seu programa CTEM, ou gostaria de saber mais sobre a XM Cyber, acesse a nossa gravação do webinar no Youtube, onde explicamos mais sobre essa solução: https://www.youtube.com/watch?v=zLuKp5XWbps&t=1699s
Caso haja perguntas ou comentários, nos envie para o email: contato@netconn.com.br.
Comments