É hora de repensar a abordagem de 30/60/90 dias para o gerenciamento de vulnerabilidades
Ao longo dos anos, o valor do modelo clássico de correção de vulnerabilidades tem diminuído.
Antes um pilar das políticas de gestão de vulnerabilidades, a abordagem 30/60/90 dias envolve tratar vulnerabilidades críticas e de alto risco em 30 dias, vulnerabilidades de risco médio em 60 dias e vulnerabilidades de baixo risco em 90 dias.
Essa estrutura fazia sentido em uma época que as ameaças e os ambientes empresariais eram mais estáticos e menos complexos. Contudo, essa abordagem já não atende às demandas atuais, deixando muitos em busca de alternativas mais eficazes.
Neste artigo, é explorado por que esse modelo já não é suficiente e propor formas para que as organizações enfrentem, de maneira eficaz, os problemas que realmente as afetam, da visão do CISO da XM Cyber, Jason Fruge.
O que mudou?
Em 2023, foram identificadas 28.902 novas vulnerabilidades, 3.821 a mais do que em 2022. Essa tendência se repete ano após ano, com mais CVEs identificados a cada período. No entanto, os CVEs representam apenas uma fração das questões que colocam os ativos em risco. Problemas como credenciais fracas, configurações incorretas e outras fraquezas são responsáveis pela maioria dos riscos enfrentados pelas organizações.
Lidar com o crescente número de exposições e vulnerabilidades de segurança é um grande desafio. Fatores como a ampliação contínua da superfície de ataque, atacantes persistentes e a complexidade dos ambientes em nuvem contribuem para a sensação de que os defensores têm capacidade limitada de acompanhar essa avalanche de problemas.
Embora o modelo 30/60/90 dias tenha desempenhado seu papel no gerenciamento de vulnerabilidades, suas limitações se tornam cada vez mais evidentes.
Com o aumento da complexidade nos negócios e nas ameaças, nossa resposta a esses riscos também precisa evoluir.
As limitações do plano 30/60/90
Natureza Reativa: O plano 30/60/90 é, por definição, reativo. Ele responde às vulnerabilidades somente após serem descobertas e reportadas, frequentemente deixando janelas críticas de exposição para os atacantes explorarem.
Falta de Contexto: Essa abordagem não considera o contexto e o impacto potencial das vulnerabilidades. Nem todas são iguais; algumas podem representar riscos maiores para ativos críticos do que outras, independentemente das pontuações CVSS. Algumas podem nem ser exploráveis ou ter baixa probabilidade de exploração.
Alocação Ineficiente de Recursos: Ao seguir um cronograma rígido, as organizações frequentemente desperdiçam recursos corrigindo vulnerabilidades com baixo risco de exploração, enquanto negligenciam aquelas que poderiam causar brechas severas.
A transição para o Continuous Threat Exposure Management (CTEM)
E agora?
Em 2022, o Gartner introduziu o modelo Continuous Threat Exposure Management (CTEM), que representa uma mudança de paradigma. Ele abandona as avaliações periódicas tradicionais em favor de uma abordagem contínua e dinâmica de gerenciamento de vulnerabilidades e exposições.
O CTEM é baseado em cinco etapas contínuas:
Definição do Escopo: Identificar ativos, sistemas e processos críticos para os negócios que requerem proteção.
Descoberta: Mapear todas as exposições na infraestrutura, incluindo vulnerabilidades, configurações incorretas, identidades arriscadas, etc.
Priorização: Analisar exposições com base em explorabilidade, prevalência e impacto potencial nos negócios para orientar o plano de melhoria.
Validação: Confirmar, por meio de simulações, que as exposições podem ser exploradas de fato.
Mobilização: Estimular a colaboração entre equipes para implementar controles, processos e tecnologias que reduzam os riscos.
Embora as empresas precisem de tempo para implementar esse modelo, ao adotá-lo, muitos líderes de segurança se perguntarão por que não fizeram isso antes.
Por que o CTEM é um divisor de águas?
Identificação Proativa: O CTEM monitora e identifica ameaças continuamente, antes que possam ser exploradas, reduzindo significativamente o risco de invasões.
Priorização Contextual: Avalia as vulnerabilidades no contexto do ambiente específico da organização, priorizando a remediação com base no risco real para processos críticos de negócios, em vez de seguir um cronograma genérico.
Abordagem Integrada: Integra-se a diversas ferramentas e processos de segurança, oferecendo uma visão holística do cenário de ameaças. Isso permite um gerenciamento mais eficiente e preciso das vulnerabilidades.
Conclusão
Embora o modelo clássico de remediação de vulnerabilidades 30/60/90 dias tenha servido bem em uma era diferente, ele já não é suficiente para proteger contra as ameaças sofisticadas e de rápida evolução que enfrentamos atualmente. O framework Continuous Threat Exposure Management oferece uma abordagem mais eficaz, proativa e abrangente para a cibersegurança.
De acordo Jason Fruge, "Como CISOs, é nossa responsabilidade adotar essas estratégias avançadas para garantir que nossas organizações permaneçam resilientes diante das ameaças cibernéticas em constante mudança. Dessa forma, podemos passar de simplesmente gerenciar vulnerabilidades para realmente gerenciar riscos."
Entre em contato com a gente e saiba mais sobre como a plataforma Continuous Exposure Management da XM Cyber pode apoiar uma estratégia de cibersegurança mais eficaz.