O gerenciamento contínuo de exposição a ameaças (CTEM) é uma estrutura estratégica que ajuda as organizações a avaliar e gerenciar continuamente os riscos cibernéticos. Ele divide a complexa tarefa de gerenciar ameaças à segurança em cinco fases distintas: Escopo, Detecção, Priorização, Validação e Integração. Cada uma dessas categorias desempenha um papel importante na identificação, abordagem e mitigação de vulnerabilidades – antes que possam ser exploradas por invasores.
No papel, o CTEM parece bom. Mas onde a borracha encontra a estrada – especialmente para os neófitos do CTEM – o uso do CTEM pode parecer complicado. O processo de colocar em prática os princípios do CTEM pode parecer desnecessariamente complicado à primeira vista. No entanto, com as ferramentas certas e uma compreensão clara de cada fase, o CTEM pode ser uma forma eficaz de fortalecer a postura de segurança da sua organização.
É por isso que elaborei um guia passo a passo sobre quais ferramentas usar em cada estágio. Quer saber mais? Continue lendo…
Seção 1: Escopo
Ao definir os principais ativos durante a definição do escopo, você dá um primeiro passo importante na compreensão dos principais processos e recursos da sua organização. Seu objetivo aqui é identificar ativos que são importantes para sua operação, e isso geralmente envolve contribuições de várias partes interessadas – não apenas de sua equipe de operações de segurança (SecOps). O escopo não é apenas uma tarefa técnica, é pessoas trabalho – trata-se de realmente compreender o contexto e os processos do seu negócio.
Uma maneira útil de lidar com isso é por meio de workshops sobre valor comercial. Estas sessões reúnem tomadores de decisão, incluindo liderança sênior, para alinhar seus processos de negócios com a tecnologia que os suporta. Então, para apoiar seus esforços de teste, você pode usar ferramentas como as boas e antigas planilhas, sistemas mais avançados como bancos de dados de gerenciamento de configuração (CMDBs) ou soluções especializadas como gerenciamento de ativos de software (SAM) e gerenciamento de ativos de computador (HAM). Além disso, as ferramentas de gerenciamento de postura de segurança de dados (DSPM) fornecem insights valiosos ao analisar ativos e priorizar aqueles que precisam de mais proteção. (Leia mais sobre o escopo aqui.)
Fase 2: Descoberta
O Discovery se concentra na identificação de ativos e vulnerabilidades em todo o ecossistema da sua organização – usando uma variedade de ferramentas e métodos para reunir uma visão abrangente do seu ambiente tecnológico e capacitar suas equipes de segurança para avaliar vulnerabilidades potenciais.
As ferramentas de verificação de vulnerabilidades são frequentemente usadas para encontrar ativos e identificar vulnerabilidades potenciais. Essas ferramentas verificam vulnerabilidades conhecidas (CVEs) em seus sistemas e redes e fornecem relatórios detalhados sobre quais áreas precisam de atenção. Além disso, o Active Directory (AD) desempenha um papel importante na descoberta, especialmente em áreas onde os problemas de identidade são predominantes.
Em ambientes de nuvem, as ferramentas Cloud Security Posture Management (CSPM) são usadas para identificar vulnerabilidades e vulnerabilidades em plataformas como AWS, Azure e GCP. Essas ferramentas também tratam de problemas de gerenciamento de identidade específicos do ambiente de nuvem. (Leia mais sobre a descoberta aqui.)
Fase 3: Priorização
A priorização eficaz é importante porque garante que suas equipes de segurança se concentrem nas ameaças que têm maior impacto – reduzindo, em última análise, o risco para sua organização.
Talvez você já esteja usando soluções comuns de gerenciamento de vulnerabilidades que priorizam com base nas pontuações do CVSS (Common Vulnerability Scoring System). No entanto, lembre-se que estes pontos muitas vezes não incluem o contexto empresarial, tornando difícil para as partes interessadas técnicas e não técnicas compreender a urgência de certas ameaças. Por outro lado, priorizar no contexto dos principais ativos de negócios torna o processo compreensível para os líderes empresariais. Esse alinhamento permite que suas equipes de segurança comuniquem o impacto potencial de uma vulnerabilidade de maneira mais eficaz em toda a organização.
O planejamento da estratégia de ataque e o gerenciamento da estratégia de ataque são cada vez mais reconhecidos como aspectos importantes da priorização. Essas ferramentas analisam como os invasores podem se mover lateralmente na sua rede, ajudando a identificar gargalos onde os ataques podem causar mais danos. As soluções que incluem mapeamento do caminho de ataque fornecem uma visão completa dos riscos de exposição, permitindo uma abordagem mais estratégica à priorização.
Finalmente, as plataformas externas de inteligência são importantes nesta fase. Essas ferramentas fornecem dados em tempo real sobre vulnerabilidades exploradas, acrescentando um contexto valioso além das pontuações CVSS. Além disso, a tecnologia baseada em IA pode medir a detecção de ameaças e orientar a priorização, mas é importante usá-la com cuidado para evitar a introdução de erros no seu processo. (Leia mais sobre como definir prioridades aqui.)
Seção 4: Verificação
A fase de validação do CTEM garante que as vulnerabilidades identificadas possam realmente ser implementadas – testando o seu potencial impacto no mundo real. Esta seção garante que você não analise apenas os riscos teóricos, mas priorize ameaças reais que podem levar a violações significativas se não forem atendidas.
Uma das maneiras mais eficazes de garantir a penetração são os testes. Os pen testers simulam ataques do mundo real, tentando explorar vulnerabilidades e testando até que ponto eles podem viajar na sua rede. Isso verifica diretamente se os controles de segurança implementados estão funcionando ou se certas vulnerabilidades estão sendo exploradas. Fornece uma visão realista – além dos pontos de risco percebidos.
Além do pen test manual, as ferramentas de validação de controle de segurança, como Breach and Attack Simulation (BAS), desempenham um papel importante. Essas ferramentas simulam ataques em um ambiente controlado, permitindo garantir que certas vulnerabilidades possam contornar suas defesas existentes. As ferramentas que usam o modelo de gêmeo digital permitem verificar métodos de ataque sem impactar os sistemas de produção – uma enorme vantagem sobre os métodos de teste tradicionais que podem atrapalhar o desempenho. (Leia mais sobre autenticação aqui.)
Seção 5: Motivação
A fase de integração utiliza diversas ferramentas e processos que melhoram a colaboração entre suas equipes de segurança e de TI. Permitir que SecOps comuniquem vulnerabilidades e exposições específicas que requerem atenção preenche a lacuna de informações, ajudando as operações de TI a entender melhor o que precisa ser corrigido e como fazê-lo.
Além disso, a integração de sistemas de tickets como Jira ou Freshworks pode simplificar o processo de manutenção. Essas ferramentas permitem rastrear riscos e atribuir tarefas, garantindo que os problemas sejam priorizados com base no seu impacto potencial em ativos críticos.
Os alertas por email também podem ser úteis para comunicar questões urgentes e atualizações às partes interessadas, enquanto as soluções de gerenciamento de informações e eventos de segurança (SIEM) podem integrar dados de várias fontes, ajudando suas equipes a identificar e responder rapidamente às ameaças.
Por fim, é essencial criar manuais claros que descrevam as etapas para corrigir vulnerabilidades comuns. (Leia mais sobre motivação aqui.)
Tornando o CTEM real com XM Cyber
Agora que você leu a lista de ferramentas necessárias para tornar o CTEM uma realidade, você se sente mais pronto para começar?
À medida que o CTEM evolui, muitos grupos veem a lista acima e, compreensivelmente, recuam, sentindo que é uma tarefa muito complexa e muito complexa. Desde o início do CTEM, alguns grupos optaram por abrir mão dos benefícios, porque até o caminho parece muito difícil para eles.
A maneira mais produtiva de tornar o CTEM uma realidade acessível é usar uma abordagem CTEM unificada que simplifique a implementação, integrando todas as muitas fases do CTEM em uma plataforma unificada. Isto reduz a complexidade frequentemente associada à terceirização de diferentes ferramentas e processos. Com o XM Cyber, você pode:
- Mapeie processos de negócios críticos para os principais ativos de TI para priorizar exposições com base no risco de negócios.
- Descubra todos os CVEs e não CVEs (vulnerabilidades, vulnerabilidades de identidade, permissões excessivas) em ambientes abertos e em nuvem e superfícies de ataque internas e externas.
- Obtenha priorização rápida e precisa com base no Attack Graph Analysis™ proprietário que usa inteligência de ameaças, complexidade do método de ataque, número de ativos críticos em risco e se há ou não pontos de estrangulamento em vários métodos de ataque.-
- Verifique se as explorações podem ser exploradas em um ambiente específico e se os controles de segurança estão configurados para evitá-las.
- Melhorar a remediação, concentrando-se em evidências baseadas no contexto, orientações corretivas e outros métodos. Também inclui ferramentas de tickets, SIEM e SOAR para monitorar o progresso do reparo.
CTEM – Este é o Caminho
XM Cyber Isso reduz a complexidade associada à implementação de diferentes ferramentas e processos. Com o XM Cyber, você obtém visibilidade em tempo real da sua exposição, permitindo priorizar os esforços de remediação com base no risco real, em vez de avaliações subjetivas.
A plataforma facilita a comunicação perfeita entre SecOps e operações de TI, garantindo que todos estejam na mesma página em relação a vulnerabilidades e soluções. Esta colaboração promove um ambiente de segurança eficiente e responsivo, permitindo que sua organização responda a ameaças potenciais de forma rápida e eficaz. (Para saber mais sobre por que o XM Cyber é a resposta perfeita para o CTEM, obtenha uma cópia do nosso Guia do comprador CTEM aqui.)
Em última análise, o XM Cyber não apenas melhora a capacidade da sua equipe de gerenciar a exposição, mas também permite que você se adapte continuamente a um ambiente de ameaças em constante mudança.
Observação: Este artigo foi habilmente escrito e contribuído por Karsten Chearis, líder da equipe de engenharia de vendas de segurança dos EUA na XM Cyber.
