O Continuous Threat Exposure Management (CTEM) é uma estrutura estratégica que ajuda as organizações a avaliar e gerenciar continuamente o risco cibernético. Ele divide a tarefa complexa de gerenciar ameaças de segurança em cinco estágios distintos: escopo, descoberta, priorização, validação e mobilização. Cada um desses estágios desempenha um papel crucial na identificação, tratamento e mitigação de vulnerabilidades – antes que elas possam ser exploradas por invasores.
No papel, o CTEM parece ótimo. Mas quando a teoria encontra a prática – especialmente para neófitos do CTEM – implementar o CTEM pode parecer assustador. O processo de colocar os princípios do CTEM em prática pode parecer proibitivamente complexo no início. No entanto, com as ferramentas certas e uma compreensão clara de cada estágio, o CTEM pode ser um método eficaz para fortalecer a postura de segurança da sua organização.
Abaixo está um passo a passo sobre quais ferramentas usar em cada estágio.
Etapa 1: escopo
Ao definir ativos críticos durante o escopo, você está dando o primeiro passo para entender os processos e recursos mais valiosos da sua organização. Seu objetivo aqui é identificar os ativos que são vitais para suas operações, e isso geralmente envolve a contribuição de uma variedade de partes interessadas – não apenas sua equipe de operações de segurança (SecOps). O escopo não é apenas uma tarefa técnica, é uma tarefa de pessoas – trata-se de realmente entender o contexto e os processos do seu negócio.
Uma maneira útil de abordar isso é por meio de workshops de ativos críticos para os negócios. Essas sessões reúnem tomadores de decisão, incluindo a liderança sênior, para alinhar seus processos de negócios com a tecnologia que os suporta. Então, para dar suporte aos seus esforços de escopo, você pode usar ferramentas como as boas e velhas planilhas, sistemas mais avançados como Configuration Management Databases (CMDBs) ou soluções especializadas como Software Asset Management (SAM) e Hardware Asset Management (HAM). Além disso, as ferramentas Data Security Posture Management (DSPM) fornecem insights valiosos ao analisar ativos e priorizar aqueles que precisam de mais proteção.
Etapa 2: descoberta
A descoberta se concentra na identificação de ativos e vulnerabilidades em todo o ecossistema da sua organização, usando várias ferramentas e métodos para compilar uma visão abrangente do seu cenário tecnológico e permitir que suas equipes de segurança avaliem riscos potenciais.
Ferramentas de varredura de vulnerabilidades são comumente usadas para descobrir ativos e identificar possíveis fraquezas. Essas ferramentas varrem vulnerabilidades conhecidas (CVEs) em seus sistemas e redes e, em seguida, fornecem relatórios detalhados sobre quais áreas precisam de atenção. Além disso, o Active Directory (AD) desempenha um papel crucial na descoberta, especialmente em ambientes nos quais os problemas de identidade são prevalentes.
Para ambientes de nuvem, as ferramentas Cloud Security Posture Management (CSPM) são usadas para identificar configurações incorretas e vulnerabilidades em plataformas como AWS, Azure e GCP. Essas ferramentas também lidam com problemas de gerenciamento de identidade específicos para ambientes de nuvem.
Etapa 3: priorização
A priorização eficaz é crucial porque garante que suas equipes de segurança se concentrem nas ameaças mais impactantes, reduzindo, em última análise, o risco geral para sua organização.
Você já pode estar usando soluções tradicionais de gerenciamento de vulnerabilidades que priorizam com base nas pontuações do CVSS (Common Vulnerability Scoring System). No entanto, tenha em mente que essas pontuações geralmente não incorporam o contexto empresarial, dificultando que as partes interessadas técnicas e não técnicas entendam a urgência de ameaças específicas. Em contraste, priorizar dentro do contexto de seus ativos críticos para os negócios torna o processo mais compreensível para os líderes empresariais. Esse alinhamento permite que suas equipes de segurança comuniquem o impacto potencial das vulnerabilidades de forma mais eficaz em toda a organização.
O mapeamento do caminho de ataque e o gerenciamento do caminho de ataque são cada vez mais reconhecidos como componentes essenciais da priorização. Essas ferramentas analisam como os invasores podem se mover lateralmente em sua rede, ajudando você a identificar pontos de estrangulamento onde um ataque pode causar mais danos. Soluções que incorporam o mapeamento do caminho de ataque fornecem uma imagem mais completa dos riscos de exposição, permitindo uma abordagem mais estratégica para a priorização.
Finalmente, plataformas externas de inteligência de ameaças são essenciais neste estágio. Essas ferramentas fornecem dados em tempo real sobre vulnerabilidades exploradas ativamente, adicionando contexto crítico além das pontuações CVSS. Além disso, tecnologias baseadas em IA podem escalar a detecção de ameaças e otimizar a priorização, mas é importante implementá-las cuidadosamente para evitar introduzir erros em seu processo.
Etapa 4: validação
O estágio de validação do CTEM verifica se as vulnerabilidades identificadas podem de fato ser exploradas – avaliando seu potencial impacto no mundo real. Este estágio garante que você não esteja apenas abordando riscos teóricos, mas priorizando ameaças genuínas que podem levar a violações significativas se não forem abordadas.
Um dos métodos mais eficazes para validação é o teste de invasão (Pentest). Os pentesters simulam ataques do mundo real, tentando explorar vulnerabilidades e testando até onde eles podem se mover pela sua rede. Isso valida diretamente se os controles de segurança que você tem em vigor são eficazes ou se certas vulnerabilidades podem ser transformadas em armas. Ele oferece uma perspectiva prática – além das pontuações de risco teóricas.
Além do teste de invasão manual, ferramentas de validação de controle de segurança como Breach and Attack Simulation (BAS) desempenham um papel crucial. Essas ferramentas simulam ataques em um ambiente controlado, permitindo que você verifique se vulnerabilidades específicas podem contornar suas defesas existentes. Ferramentas que usam um modelo de gêmeo digital permitem que você valide caminhos de ataque sem impactar os sistemas de produção – uma grande vantagem sobre os métodos de teste tradicionais que podem interromper as operações.
Etapa 5: mobilização
O estágio de mobilização aproveita várias ferramentas e processos que aprimoram a colaboração entre suas equipes de segurança e operações de TI. Permitir que o SecOps comunique vulnerabilidades e exposições específicas que exigem atenção preenche a lacuna de conhecimento, ajudando o IT Ops a entender exatamente o que precisa ser corrigido e como fazê-lo.
Além disso, a integração de sistemas de tickets como Jira ou Freshworks pode agilizar o processo de correção. Essas ferramentas permitem que você rastreie vulnerabilidades e atribua tarefas, garantindo que os problemas sejam priorizados com base em seu impacto potencial em ativos críticos.
As notificações por e-mail também podem ser valiosas para comunicar problemas urgentes e atualizações às partes interessadas, enquanto as soluções de Security Information and Event Management (SIEM) podem centralizar dados de várias fontes, ajudando suas equipes a identificar e responder rapidamente às ameaças.
Por fim, é importante criar manuais claros que descrevam as etapas de correção para vulnerabilidades comuns.
Webinar Clavis: Gerenciamento da superfície de ataque
Se interessou pelo assunto? A Clavis lançou um webinar sobre Gerenciamento da Superfície de Ataque conduzido por Leonardo Pinheiro, CTO da companhia. O vídeo aborda desde o conceito até a aplicação em cases reais. Mais que isso, foram apresentados os diferenciais que a Plataforma de Segurança Clavis pode oferecer para as companhias. Assista ao webinar abaixo e acesse o nosso site para saber mais.
Para saber mais, clique aqui.