Neste verão, o Gartner apresentou o Continuous Threat Exposure Management (CTEM). Este é um conjunto de processos e recursos que permitem que as organizações criem um sistema para revisão de exposições que seja mais rápido do que a abordagem periódica baseada em projetos.
Com infinitas ameaças e vulnerabilidades martelando as organizações de hoje, o gerenciamento de exposição que avalia a acessibilidade, exposição e capacidade de exploração de todos os ativos digitais e físicos são necessários para governar e priorizar a redução de riscos para as empresas.
Conversamos com Haggai Polak, CPO da Skybox Security, para saber mais sobre o que esse novo termo significa para segurança corporativa, especialmente quando as organizações se preparam para enfrentar novas ameaças em 2023.
BN: Você pode conte-nos mais sobre o CTEM e como ele difere do gerenciamento tradicional de vulnerabilidades?
HP: O próprio nome já sugere muita coisa. O objetivo do CTEM é criar um plano de correção de postura de segurança acionável que as organizações possam entender e as equipes de segurança possam implementar. O objetivo do processo é identificar e abordar continuamente as ameaças com maior probabilidade de serem exploradas, em vez de tentar remediar todas as ameaças identificadas.
CTEM é uma melhoria em relação aos programas de gerenciamento de vulnerabilidades que foram empregados em passado, principalmente no aspecto contínuo. As organizações precisam reconhecer que apenas executar uma varredura ou trazer uma agência para fazer testes duas vezes por ano não é suficiente. Como novas vulnerabilidades são introduzidas o tempo todo, sabemos que os bancos de dados de vulnerabilidades comuns crescem a taxas de dezenas de milhares por ano, enquanto a infraestrutura de uma organização está em constante mudança. As organizações de hoje precisam da capacidade de fazer avaliação de ameaças e gerenciamento de exposição de forma contínua. Normalmente, recomendamos que os clientes executem verificações diárias para ver o que mudou, tanto em termos de infraestrutura quanto de configuração, bem como novas ameaças ou exploits que se tornaram disponíveis para agentes mal-intencionados.
Outra mudança que eu apontaria é que agora estamos usando o termo exposição em vez de apenas vulnerabilidades. Isso também é uma expansão do escopo dos programas originais de gerenciamento de vulnerabilidades que eram realmente focados apenas em vulnerabilidades, algo que é potencialmente comprometido em uma peça específica de software ou hardware que alguém poderia explorar. A exposição é muito mais ampla do que isso. Uma configuração incorreta pode ser uma exposição, bem como uma lacuna de controle ausente, por exemplo. Portanto, não é necessariamente que haja um bug de software ou algo esteja quebrado. Pode ser tão simples quanto um erro humano que permite o acesso a uma área da rede que deveria ser protegida. É por isso que o CTEM é visto como uma forma mais madura de gerenciar o risco cibernético em toda a empresa.
BN: Você pode nos explicar como é um programa CTEM?
HP: Quando olhamos para a definição dos programas de gestão da exposição, existem algumas etapas bem distintas. A primeira é a descoberta. O gerenciamento de exposição começa com a compreensão detalhada de quais ativos uma organização possui, quem é o proprietário dos ativos, qual é sua importância e muito mais. A próxima parte é detectar as exposições, e é aí que é fundamental integrar vários scanners no mundo de TI e OT para começar a mapear as várias exposições existentes em diferentes ativos.
Depois de terminarmos com Nesse segundo estágio, normalmente há uma lista de dezenas de milhares de possíveis exposições na infraestrutura que precisam ser classificadas. As empresas que dependem de pontuações de vulnerabilidade tradicionais geralmente se deparam com o problema de ter muitas vulnerabilidades críticas e largura de banda de correção limitada, muitas vezes levando-as a se concentrar nas coisas erradas. É aí que as tecnologias de priorização baseadas em risco podem ajudar a decidir o que é mais crítico-por exemplo, descobrindo quais dessas vulnerabilidades estão sendo exploradas na natureza ou quais ativos estão expostos.
Então chegamos ao quarto estágio , que é correção e verificação. É aí que as equipes de segurança iniciam a correção das exposições, manual ou automaticamente. É também aqui que eles verificam se a correção foi realmente eficaz e medem várias métricas em torno do programa, como a capacidade de atender aos SLAs de correção.
BN: Quais tendências você está vendo no espaço de gerenciamento de vulnerabilidade?
HP: Há algumas tendências que eu gostaria de apontar. A quantificação do risco cibernético é grande. Estamos vendo as equipes de segurança cada vez mais pedirem nossa ajuda para traduzir o risco cibernético em uma linguagem que os negócios em geral possam entender. Por exemplo, se houver um grande risco em um pequeno número de servidores, mas esses servidores forem extremamente críticos para a organização, qualquer tempo de inatividade nesses servidores se traduzirá em perdas monetárias substanciais. Isso é algo que nossos clientes querem ajudar a calcular e mostrar para que possam mostrar por que estão priorizando a correção e as despesas adicionais de segurança nesse pequeno grupo de ativos.
O segundo seria em torno da automação. Todos nós sabemos sobre a escassez de pessoal de segurança cibernética. É por isso que muitas organizações em todos os setores estão buscando automatizar seu gerenciamento de configuração e vulnerabilidade. De certa forma, as soluções de automação mais tradicionais decepcionaram os clientes porque não eram inteligentes o suficiente para fazer a automação com segurança e com muito contexto. Os clientes de segurança não estão desistindo e ainda estão procurando maneiras de corrigir mais rapidamente com menos envolvimento humano, menos erros humanos e responder rapidamente a ameaças de alta gravidade no ambiente.
O último é o expansão da aplicação do gerenciamento de vulnerabilidades na TI legada tradicional para a execução do gerenciamento de exposição e ameaças em partes um tanto negligenciadas de sua infraestrutura, como equipamentos de tecnologia operacional (OT). É aqui que vemos as equipes de segurança solicitando a aplicação do gerenciamento de vulnerabilidades e ameaças em suas OT, cargas de trabalho na nuvem e, em alguns casos, para trabalhadores remotos. Não basta mais apenas fazer o gerenciamento de vulnerabilidades nos servidores de um data center ou nos dispositivos do prédio.
Crédito da imagem: alexskopje/depositphotos.com