O gerenciamento de exposição é o futuro da segurança proativa
Todas as segundas-feiras, a Tenable Exposure Management Academy fornece a orientação prática e real de que você precisa para mudar do gerenciamento de vulnerabilidades para o gerenciamento de exposição. Nesta publicação, Jorge Orchilles, Senior Director of Readiness and Proactive Security da Verizon, oferece um panorama do raciocínio que o levou a migrar para o gerenciamento de exposição. Você pode ler a série completa da Academia de gerenciamento de exposição aqui.
À medida que mudamos o foco de segurança para o gerenciamento de exposição proativo na Verizon, estamos consolidando ferramentas e equipes para focarmos em riscos reais passíveis de exploração. Ao alinhar as funções de segurança ofensiva em uma estratégia unificada, priorizando as ameaças passíveis de exploração e promovendo a colaboração, mudamos nosso foco de correção baseado em conformidade para a correção baseada em riscos.
Você conhece a história: nós, da área de segurança cibernética, jogamos um jogo de altas apostas de Whac-a-mole® praticamente todos os dias. Passamos a vida perseguindo vulnerabilidades e emitindo (ou respondendo a) mandatos como: "Patch dentro de 30 dias" ou "Código vermelho, aplicar patch agora!"
Mas, à medida que as superfícies de ataque aumentam e os agentes de ameaças tornam-se mais sofisticados, essa abordagem reativa torna-se inadequada.
Na Verizon, percebemos que, com um cenário tão heterogêneo que precisa atender às necessidades diversas de áreas como corporativa, varejo, técnicos de campo móvel etc., a melhor solução não era simplesmente reunir mais um conjunto de tecnologias discrepantes. Precisávamos de uma plataforma de gerenciamento de exposição única e consolidada, que pudesse cobrir cada canto da nossa empresa. A jornada para chegar lá quebrou silos e mudou nossa mentalidade de conformidade para um foco baseado em riscos.
É importante ressaltar que, antes mesmo de considerarmos uma nova tecnologia, precisávamos alinhar várias equipes, cada uma com suas próprias ferramentas e prioridades, em torno de uma estratégia compartilhada.
Unir ferramentas separadas em uma só
As equipes de segurança sempre faziam malabarismos com uma miscelânea de ferramentas: Ferramentas separadas para o gerenciamento de superfície de ataque, a visibilidade de ativos, a verificação de vulnerabilidades, a exposição de identidade e a segurança da nuvem. Na maioria das empresas, diferentes equipes operam as soluções e cada uma delas exige seu próprio conjunto de conhecimentos. A intenção da fragmentação é garantir que você tenha pessoas com as habilidades certas solucionando os problemas certos.
A abordagem em silos diminui o tempo de resposta e cria pontos cegos que podem deixar vulnerabilidades críticas sem solução simplesmente porque estão fora da área de especialização da equipe. Não é possível fazer a análise de vias de ataque em silos!
Não quero estar no ramo de apenas marcar caixas de verificação.
Precisávamos criar um programa de segurança que priorizasse os riscos do mundo real, e não todas as vulnerabilidades. E, nessa iniciativa, fica claro que o valor de uma abordagem integrada supera os benefícios de recursos de nicho.
Portanto, para lidar com esses desafios, optamos por consolidar tudo em uma única plataforma: o Tenable One.
O segredo para gerenciar mudanças: um pouco de Dale Carnegie
Embora a plataforma certa faça toda a diferença, a implementação do gerenciamento de exposição não é puramente técnica — é organizacional. Lançar um programa de gerenciamento de exposição significa mudar a propriedade de funções de segurança importantes e isoladas, o que pode exigir que as equipes trabalhem juntas de uma forma nunca vista antes.
Por exemplo, na Verizon, antes, o gerenciamento de superfície de ataque era feito por uma equipe separada. Agora, essas pessoas fazem parte do meu grupo. A equipe do Active Directory, que executa ferramentas de exposição de identidade como o Bloodhound, permanece independente, mas colaboramos de perto para que ela veja as perspectivas de segurança como algo valioso, não punitivo.
Os especialistas em segurança da Internet das Coisas (IoT) e tecnologia operacional (OT), que antes usavam um conjunto diferente de ferramentas, agora trabalham na mesma estrutura.
Equipes de segurança acostumadas a trabalhar isoladas agora precisam compartilhar dados e a tomada de decisões, o que pode ser um ajuste difícil. Descobri que o segredo para transpor isso é a transparência e a parceria.
De fato, ler um pouco de Dale Carnegie regularmente pode ser tão importante quanto uma dose diária de Brian Krebs.
Portanto, para facilitar a transição, em vez de impor mandatos de cima para baixo, focamos em alinhar as equipes por meio de objetivos compartilhados, comunicação clara e demonstração de valor no início do processo. Ao envolver as partes interessadas desde o início, em áreas como segurança de identidade, operações de TI e segurança da nuvem, garantimos que a mudança não seja algo feito para elas, mas algo que elas moldam e apoiam ativamente.
Quero ressaltar que nada disso aconteceu da noite para o dia.
Isso exigia uma adesão de alto nível e planejamento cuidadoso. A essas equipes, não era solicitado apenas usar uma nova ferramenta, mas também mudar a maneira como trabalhavam. A única forma de garantir o sucesso dessa transição é mostrar aos membros da equipe como essa abordagem facilita o trabalho deles, não dificulta.
Pare de tentar corrigir tudo
Uma das maiores mudanças de mentalidade no gerenciamento de exposição é reconhecer que nem toda vulnerabilidade precisa ser corrigida imediatamente. Claro, pode ser algo difícil de se lidar. Mas, quando tudo é crítico, nada é crítico. Essa abordagem só gera esgotamento, ineficiência e mais exposições.
Em vez disso, na Verizon, focamos nas vulnerabilidades que são realmente passíveis de exploração e fazem parte de uma via de ataque realista.
Portanto, se houver uma vulnerabilidade crítica em uma aplicação, mas não houver uma maneira viável de um invasor utilizá-la, ela deverá realmente ser uma alta prioridade? Por outro lado, se uma vulnerabilidade fornecer uma via direta para um ativo de valor inestimável, precisaremos abordá-la imediatamente.
O segredo é a priorização com base em cenários de ataque do mundo real, não em pontuações arbitrárias de severidade.
Trabalhar com a alta gestão
Outra vantagem crítica do gerenciamento de exposição é como ele muda as conversas sobre segurança a nível executivo. Em vez de fornecer longas listas de vulnerabilidades que pouco significam para líderes não técnicos, podemos apresentar um quadro claro em alguns pontos-chave:
- O que está em risco?
- Como um invasor poderia entrar?
- Quais são as prioridades mais urgentes a serem corrigidas?
E quando uma grande vulnerabilidade ocorre, não precisamos nos esforçar para descobrir se fomos afetados. Temos os dados na palma das mãos. Esse é o valor real do gerenciamento de exposição: velocidade, clareza e capacidade de agir antes dos invasores.
O futuro da segurança cibernética é o gerenciamento de exposição proativo
Em sua essência, o gerenciamento de exposição consiste em passar de uma segurança reativa para uma segurança proativa. Vai além de apenas corrigir vulnerabilidades. É entender o risco no contexto do negócio.
Conforme mais organizações avançarem nessa direção, o gerenciamento de exposição continuará a evoluir.
A consolidação de fornecedores está em andamento, as equipes estão sendo reestruturadas e os líderes de segurança estão percebendo que aplicar patches em tudo e em todos os lugares ao mesmo tempo é uma missão impossível.
Portanto, assim como a Verizon, o setor deve focar no que realmente importa: prevenir os ataques que podem de fato levar a um comprometimento.
E para quem, como nós, na ponta da lança dessa mudança, é hora de parar a reatividade e começar a gerenciar a exposição como o risco estratégico que ela de fato é.
Jorge compartilha em que você se concentrar focar em seguida
Saiba mais
- Leia a Guia de estratégia de gerenciamento de exposição para líderes de segurança para obter uma abordagem comprovada e pragmática a fim de implementar um programa de gerenciamento de exposição, além de conselhos sobre como defini-lo, envolver as partes interessadas e obter adesão.
Whac-a-Mole é uma marca registrada da Mattel Inc.
Jorge Orchilles
Senior Director of Readiness and Proactive Security, Verizon
Jorge Orchilles é líder em segurança cibernética e atualmente é Senior Director da Verizon, dirigindo a equipe de prontidão e segurança proativa (gerenciamento de exposição e vulnerabilidade, teste de penetração, equipe vermelha e uma equipe roxa dedicada). Ele é o autor do quadro de exercícios de equipe roxa e criador do projeto C2 Matrix. Antes da Verizon, ele foi CTO da SCYTHE por três anos e liderou a equipe de segurança ofensiva do Citi por mais de 10 anos.
Artigos relacionados
Building a Cloud Security Strategy with AWS Native Tools
Are you an Amazon Web Services customer looking to build a cloud security strategy? If so, you’ve got an array of choices. Learn about their strengths and gaps — and why you need to augment them with a CNAPP like Tenable Cloud Security.
Frequently Asked Questions About Chinese State-Sponsored Actors Compromising Global Networks
An analysis of Tenable telemetry data shows that the vulnerabilities being exploited by Chinese state-sponsored actors remain unremediated on a considerable number of devices, posing major risk to the organizations that have yet to successfully address these flaws.
Your Map for the Cloud Security Maze: An Integrated Cloud Security Solution That’s Part of an Exposure Management Approach
Check out highlights from the IDC white paper “Bridging Cloud Security and Exposure Management for Unified Risk Reduction,” which explains how CNAPPs help security teams tame the complexity of multi-cloud environments by shifting from a reactive, alert-driven model to a proactive exposure…
- Exposure Management
- Exposure Management Academy