Gerenciamento de exposição: como reduzir o risco na superfície de ataque moderna

As organizações de segurança cibernética enfrentam dificuldades com programas de segurança reativos, isolados e com uma série de ferramentas pontuais que geram montanhas de dados fragmentados, mas poucas perspectivas. Aqui, nós explicamos por que elas precisam de uma plataforma de gerenciamento de exposição que proporcione visibilidade abrangente e permita que elas prevejam as ameaças, priorizem a correção e reduzam os riscos.

Os ambientes de TI com limites bem definidos no local seguiram o caminho dos telefone de discagem. Por quê? Veja os suspeitos de sempre: nuvem, mobilidade, distribuição contínua de software, IoT e todas as outras tecnologias e processos modernos que surgiram nos últimos anos.

Como resultado, os ambientes de TI tornaram-se complexos, distribuídos, híbridos e pouco conectados — o que faz que com seja muito difícil protegê-los. Essa superfície de ataque complicada e em constante expansão oferece aos criminosos cibernéticos muitos pontos cegos e lacunas para explorar.

Nesse novo mundo, as organizações de segurança cibernética continuam tendo dificuldades com programas de segurança reativos e isolados, com uma série de ferramentas pontuais que geram montanhas de dados fragmentados, normalmente impossíveis de serem correlacionados com facilidade e difíceis de extrair perspectivas significativas.

O que fazer? Use o gerenciamento de exposição

Conforme os ambientes de TI evoluem e se tornam mais complexos, o mesmo acontece com as ferramentas e as técnicas necessárias para proteger todos os nossos ativos. O gerenciamento de vulnerabilidades nos serviu bem para entender melhor a postura de segurança dos ativos de TI tradicionais, como servidores, estações de trabalho ou dispositivos de rede. Mas a transição para plataformas em nuvem, microsserviços, aplicações Web, dispositivos de tecnologia operacional conectados e serviços de identidade requer ferramentas cada vez mais especializadas que possam avaliar, de forma segura e correta, cada uma dessas tecnologias para determinar que risco elas podem representar para a organização.

O gerenciamento de exposição é a versão mais moderna desse tipo de metodologia de avaliação em silos, em que os dados de cada ferramenta e técnica de avaliação podem ser reunidos e analisados para ver as relações entre cada descoberta, permitindo que as organizações entendam a verdadeira natureza de onde podem estar expostas a um ataque. Como os invasores costumam passar de um tipo de vulnerabilidade para outro, os defensores precisam ser capazes de entender como os dados de vulnerabilidades e configurações incorretas que eles têm podem afetar uns aos outros. Historicamente, esse tipo de análise agregada e focada nas relações era manual, feita em um armazenamento de dados externo, no qual as equipes de segurança precisavam criar suas próprias relações de risco e fazer uso da sua compreensão pessoal da infraestrutura, o que acarretava uma visão incompleta do ambiente e um processo muito difícil e atribulado para tentar contornar o problema.

Existe uma resposta para esse cenário espinhoso: um programa de gerenciamento de exposição que transcenda o gerenciamento tradicional de vulnerabilidades e inclua dados de problemas de configuração, vulnerabilidades e vias de ataque em um espectro de ativos e tecnologias — incluindo soluções de identidade, configurações e implementações de nuvem e aplicações Web.

Um programa de gerenciamento de exposição, embasado por uma plataforma de tecnologia e pelos processos necessários para entender, responder e corrigir exposições, permite às organizações:

• Obter visibilidade abrangente de toda a superfície de ataque moderna;
• Prever ameaças e priorizar iniciativas para evitar ataques;
• Comunicar o risco cibernético para melhor tomada de decisões.

Você precisa de gerenciamento de exposição?

Este questionário ajudará a determinar se você precisa adotar um programa de gerenciamento de exposição:

• As ferramentas da sua pilha de segurança interagem entre si e fornecem perspectivas abrangentes sobre a sua exposição?
• Você tem visibilidade completa da sua superfície de ataque — endpoints, nuvem, ambientes locais, enfim, todos os lugares?
• Você pode priorizar suas iniciativas de correção de forma preditiva a qualquer momento para sempre saber o que precisa fazer primeiro?
• Você utiliza threat intel para entender seu cenário de ameaças?
• Você consegue analisar todas as vias de ataque que possam levar os criminosos cibernéticos aos seus ativos mais críticos?
• Você está corrigindo os problemas de forma precisa, contínua e em tempo hábil, de modo a atender ou superar as análises comparativas do setor?
• Você pode responder com confiança e propriedade à pergunta: "Até que ponto estamos seguros?"
• Você consegue comunicar claramente seu status de segurança para os executivos de negócios e para a equipe de segurança?
• Suas decisões de alocação de recursos na organização de segurança são baseadas em dados?

Se você respondeu "não" a todas ou à maioria das perguntas, provavelmente o gerenciamento de exposição traria benefícios para você.

Principais benefícios

Um programa abrangente de gerenciamento de exposição ajuda várias partes interessadas. Veja a seguir os benefícios que ele oferece a três grupos principais.

• Profissionais de segurança 

  • Visibilidade completa e compreensão de toda a superfície de ataque;
  • Visão unificada de todos os ativos — sem mais pontos cegos;
  • Priorização de correção precisa para todos os tipos de vulnerabilidade e exposição;
  • Clareza no desenvolvimento de uma linha de base para o gerenciamento efetivo do risco;
  • Tomada de decisões de risco aprimorada.

• Gerentes de segurança

  • Perspectivas abrangentes e contexto de ameaças, ativos e privilégios; 
  • Redução do risco e dos recursos necessários de correção e resposta;
  • Capacidade de prever as consequências de um ataque por meio de uma visão contextual de ativos e usuários na superfície de ataque;
  • Indicadores-chave de desempenho (KPIs) claros e de fácil comunicação para acompanhar o progresso ao longo do tempo e fazer análises comparativas.

• CISOs, Business Information Security Officers (BISOs) e outros executivos da área de segurança

  • Avaliações de risco precisas para melhorar as decisões de investimentos e segurabilidade, atender aos requisitos de conformidade e gerar melhoria organizacional; 
  • Métricas práticas para ajudar a calcular, comparar e comunicar o risco cibernético para as equipes de TI e segurança, executivos não técnicos e equipes operacionais; 
  • Uma visão unificada do risco cibernético com KPIs claros para calcular o progresso e fazer análises comparativas com empresas do mesmo setor e dentro da própria organização;
  • A capacidade de responder à pergunta: "Até que ponto estamos seguros?".

Três aspectos a considerar em uma plataforma de gerenciamento de exposição

Uma plataforma de gerenciamento de exposição eficaz precisa oferecer três recursos principais:

Visibilidade abrangente

Para entender e gerenciar o risco cibernético da organização e de toda a superfície de ataque com rapidez e tranquilidade, além de eliminar pontos cegos, a plataforma deve oferecer:

• Uma visão unificada de todos os ativos e vulnerabilidades de software associadas, de configuração e de direitos, seja no local ou na nuvem;

• Monitoramento contínuo da Internet para descobrir e identificar com agilidade todos os ativos externos e eliminar áreas de riscos de segurança conhecidos e desconhecidos. 

Previsão e priorização

Para ajudar a equipe de segurança a prever as consequências de um ataque cibernético, priorizar as ações e reduzir o risco com o mínimo de esforço, a plataforma deve:

• Oferecer contexto sobre os ameaças, exposições, privilégios e ativos inter-relacionados em uma via de ataque, utilizando os grandes conjuntos de dados disponíveis em várias ferramentas pontuais;

• Identificar e focar continuamente nas vias de ataque que apresentam o maior risco de serem exploradas pelos invasores;

• Fornecer orientações e perspectivas precisas e preditivas de correção.

Métricas eficazes para comunicar o risco cibernético

Para oferecer aos executivos de segurança e líderes de negócios uma visão alinhada ao negócio e centralizada do risco cibernético, com KPIs claros, e permitir que eles façam uma análise comparativa dos recursos, a plataforma deve:

• Fornecer perspectivas práticas sobre o risco cibernético geral da organização, incluindo o valor das iniciativas proativas que são tomadas diariamente; 

• Permitir que os usuários explorem detalhes sobre cada departamento, unidade de negócios, localização geográfica, tipo de tecnologia ou qualquer outra forma de operações de negócios;

• Ajudar a melhorar a comunicação geral e a colaboração entre diferentes grupos da organização;

• Oferecer métricas práticas que ajudem a economizar tempo, melhorar as decisões de investimento, apoiar iniciativas de seguro cibernético e gerar melhorias, enquanto reduz o risco de forma tangível.

Como a Tenable pode ajudar

Hoje, a Tenable lançou a plataforma de gerenciamento de exposição Tenable One, que unifica várias fontes de dados em uma única visualização de exposição para ajudar as organizações a obter visibilidade, priorizar as iniciativas e comunicar os riscos cibernéticos.

Com base em produtos comprovados da Tenable, o Tenable One reúne em um só local vulnerabilidades, configurações incorretas e outros problemas de segurança, unificando o contexto de risco em todas as descobertas e proporcionando um entendimento contextualizado de onde está o maior risco da organização. Isso possibilita ponderar igualmente o risco de um patch ausente, uma vulnerabilidade de injeção de SQL, um contêiner mal configurado, e entender o que pode ser mais impactante para o seu negócio. Com o Tenable One, as organizações podem tirar proveito das integrações já existentes entre a Tenable e suas parcerias, como a ServiceNow. Ele também foi projetado para formar a base de um programa de gerenciamento de exposição, juntamente com outras ferramentas, processos e serviços de segurança já implementados na maioria das organizações.

Saiba mais

• Baixe a publicação Três desafios reais enfrentados pelas organizações de segurança cibernética: como uma plataforma de gerenciamento de exposição pode ajudar
• Veja o infográfico, Do gerenciamento de vulnerabilidades baseado em riscos ao gerenciamento de exposição: a mudança na definição de higiene cibernética adequada
• Leia o blog Introdução à plataforma de gerenciamento de exposição Tenable One