Gerenciamento de exposição: nossa visão de como proteger a superfície de ataque moderna

Para proteger os ambientes de TI complexos e dinâmicos dos dias de hoje, é preciso reunir gerenciamento de vulnerabilidades, segurança de aplicações Web, segurança da nuvem, segurança de identidade, análise das vias de ataque e gerenciamento de superfície de ataque externa para ajudar a entender a amplitude completa da sua exposição.

Graças à minha função de Chief Technology Officer da Tenable, tenho um lugar reservado na primeira fila para combater os desafios reais enfrentados pelos profissionais de segurança cibernética do mundo todo, em seu esforço para reduzir o risco cibernético e melhorar a postura de segurança cibernética. As perspectivas dos nossos clientes embasam todas as decisões de tecnologia que tomamos na Tenable. Essas perspectivas nos inspiram a vislumbrar um futuro em que o gerenciamento de vulnerabilidades e outras ferramentas preventivas de segurança cibernética se unam em um novo paradigma que chamamos de gerenciamento de exposição.

A proteção da superfície de ataque moderna depende da compreensão de todas as condições relevantes nos ambientes complexos e dinâmicos da atualidade. Um programa de gerenciamento de exposição reúne tecnologias como gerenciamento de vulnerabilidades, segurança de aplicações Web, segurança da nuvem, segurança de identidade, análise das vias de ataque e gerenciamento de superfície de ataque externo para ajudar a organização a entender toda a amplitude e a profundidade da sua exposição e tomar as medidas necessárias para reduzi-la por meio de fluxos de trabalho de correção e resposta a incidentes.

Por que o gerenciamento de exposição é tão importante? Porque quando um agente de ameaças avalia sua superfície de ataque, ele não pensa nos silos organizacionais. Ele avalia a combinação certa de vulnerabilidades, configurações incorretas e identidades que darão a ele o acesso necessário para cumprir seus objetivos.

A pergunta a se fazer é a seguinte: se a sua superfície de ataque não é composta por diversos silos, por que o seu programa de segurança é configurado dessa forma? Em parte, porque o setor de segurança como um todo focou na criação de soluções pontuais, sob medida para abordar aspectos muito específicos da segurança cibernética. O resultado? Uma miscelânea de tecnologias que atendem a uma função específica, mas não permitem que as organizações vejam o escopo completo do seu risco cibernético.

Um programa de gerenciamento de exposição eficaz requer que os silos sejam eliminados. A plataforma de gerenciamento de exposição Tenable One, lançada neste mês, foi concebida para oferecer uma visão holística da sua superfície de ataque, de modo que você possa ver o que o invasor vê. Nesta postagem, discutiremos os atuais recursos do Tenable One e por que acreditamos que uma abordagem baseada em plataforma ao gerenciamento de exposição pode transformar a forma como as organizações praticam a segurança cibernética preventiva.

Tenable One: gerenciamento de exposição para a superfície de ataque moderna

Historicamente, foram criados produtos para tentar unir todas as diferentes tecnologias que estavam em uso no ambiente de segurança cibernética. A detecção e resposta estendidas (XDR) é um exemplo: o recurso coleta dados de produtos pontuais na tentativa de identificar os ataques conforme fossem acontecendo. Embora essa abordagem seja excelente para a segurança orientada à atividade, ela não serve para a prática de segurança cibernética preventiva. E, ao focar apenas nos dados de atividade, as organizações também não terão um panorama completo da sua postura de segurança.

Hoje, na tentativa de quantificar o risco, vejo muitas organizações calculando como suas equipes de SOC (centro de operações de segurança) respondem exclusivamente aos dados orientados à atividade. Você também precisa de uma forma de avaliar a eficácia dos programas preventivos para ter um panorama completo da exposição — essencialmente, o inverso do XDR.

Não há dúvidas de que os dados gerados por ferramentas de segurança preventiva são, de longe, a melhor opção para tentar calcular a exposição. O eterno problema é que as ferramentas de segurança preventiva fornecem uma quantidade enorme de informação que destaca tudo o que há de errado no silo que está sendo avaliado. É muita informação para a organização abordar. Como são muitos os dados gerados por essas várias ferramentas, não há muito o que fazer, a não ser despejar os dados em planilhas, validando a velha piada de que o Excel é a ferramenta de segurança mais usada no mundo.

Nos últimos anos, surgiram ferramentas que agregaram dados na tentativa de priorizar a tarefa em que você deve focar para estar mais seguro. Será que alguma dessas ferramentas ajuda de fato as organizações a reduzir ativamente os riscos? Não muito. O motivo, novamente, é que essas ferramentas oferecem apenas um escopo limitado do problema. Por exemplo, elas conseguem apenas agregar dados de vulnerabilidades de software de várias ferramentas diferentes, sem qualquer outro contexto, e criar uma fórmula para dizer às pessoas a qual software aplicar patches primeiro. Embora identificar e corrigir vulnerabilidades de software seja algo crítico para uma boa higiene cibernética, essa não pode ser a única maneira de calcular e corrigir riscos.

O cálculo eficaz da postura de segurança não acontece no vácuo. Seria falta de sinceridade da nossa parte, ou da parte de qualquer fornecedor, sugerir que um programa de gerenciamento de exposição pudesse ser desenvolvido com base em um conjunto limitado de contribuições. É preciso coletar dados extraídos de várias ferramentas para aplicar a profundidade necessária de análise em toda a amplitude do ambiente da organização.

A verdade é uma só: observar apenas as vulnerabilidades de software não dá a você um panorama completo do risco cibernético. Da mesma forma que você não pode observar sua superfície de ataque no vácuo, não pode observar vulnerabilidades, configurações incorretas etc. no vácuo. O contexto é importante. Você precisa ser capaz de ver holisticamente toda a superfície de ataque. Você precisa ver todas as vulnerabilidades de software, as configurações incorretas, quem usa quais sistemas e o nível de acesso que eles têm todos correlacionados, independentemente de ser um notebook, um contêiner, uma aplicação ou um controlador lógico programável (PLC).

Por exemplo, digamos que sua organização tenha dois notebooks com a pior vulnerabilidade possível em todo o mundo. Se observados com ferramentas isoladas, você poderia presumir que ambos estão igualmente em má situação, que colocam igualmente a organização em risco e que ambos precisam ser corrigidos o mais rápido possível.

Neste exemplo, como saber se a organização está realmente em risco e qual notebook corrigir primeiro? E se você visse que um desses notebooks está sendo usado pela administradora do Salesforce da empresa e que ela não está usando uma autenticação multifator (MFA)? E que o outro notebook é usado pelo rapaz que trabalha na recepção, verifica os documentos de identidade e não tem acesso a mais nada? De repente, com o contexto, é possível tomar decisões fundamentadas sobre o que priorizar.

Este é um exemplo muito básico da diferença entre gerenciamento de exposição e gerenciamento de vulnerabilidades e serve para mostrar o que é possível quando a organização consegue começar a reunir, correlacionar, calcular e priorizar dados provenientes de ferramentas de segurança preventiva.

O gerenciamento de exposição é uma mudança de paradigma na forma de abordar a segurança

Quando você considera sua própria superfície de ataque maciça e complexa, e os milhares de problemas e alertas que surgem todos os dias exigem que você tome decisões constantes de priorização, fica claro que um resultado conciso, significativo e impactante é o que você precisa para extrair o melhor das suas habilidades. Você precisa de dados que mostrem a amplitude completa da sua superfície de ataque e toda a profundidade da análise.

Entender a amplitude completa da superfície de ataque requer visibilidade e perspectivas sobre:

• Ativos tradicionais além da infraestrutura de TI, inclusive tecnologia operacional (OT); 
• Como os recursos de nuvem são configurados ou protegidos;
• O que está acontecendo com os sistemas voltados à Internet e os sites.

Entender a profundidade completa da superfície de ataque requer visibilidade e perspectivas sobre:

• Usuários e seus privilégios de acesso;
• Possíveis vias de ataque em toda a organização.

Todos os elementos acima foram considerados no raciocínio para as aquisições que a Tenable fez até o momento. Acreditamos que é o tipo de raciocínio que acabará transformando a forma como organizações de todos os portes abordam a segurança cibernética. Porém, existem mais elementos na superfície de ataque e, para conduzir o gerenciamento de exposição com eficácia, é preciso ingerir dados de outras soluções de segurança. Na Tenable, nós reconhecemos isso e abraçamos a oportunidade de trabalhar com outros fornecedores para que essa visão se concretize em realidade.

A plataforma de gerenciamento de exposição Tenable One representa a evolução natural da visão da Tenable. É uma abordagem estratégica e duradoura para a segurança cibernética, pronta para transformar a forma como as organizações gerenciam os riscos no mundo todo.

Saiba mais

• Faça download da publicação: Três desafios reais enfrentados pelas organizações de segurança cibernética: como uma plataforma de gerenciamento de exposição pode ajudar
• Leia a postagem do blog: Gerenciamento de exposição: como reduzir o risco na superfície de ataque moderna
• Assista ao webinar: Analyst Roundtable: How Exposure Management Helps You Gain Visibility, Prevent Attacks, and Communicate Risk for Better Decision Making