Como descobrir e avaliar continuamente toda a superfície de ataque

Para eliminar os pontos cegos da rede e compreender totalmente toda a superfície de ataque, é essencial determinar quais ferramentas de descoberta e avaliação são necessárias para cada tipo de ativo.

Se você trabalha com segurança há alguns anos, sem dúvidas viu sua rede evoluir de conter ativos de TI locais estritamente tradicionais para uma que inclui ambientes locais e baseados em nuvem com diversos tipos de ativos, incluindo plataformas virtuais, serviços em nuvem, contêineres, aplicações Web, tecnologia operacional (OT) e internet das coisas (IoT). Embora a evolução em si seja bem compreendida pelos profissionais de segurança, muitos ainda têm dificuldades de fazer as modificações apropriadas para descobrir completamente e avaliar de forma adequada sua ampla gama de ativos digitais modernos.

Na época em que as redes não eram mais do que conjuntos homogêneos de ativos físicos de TI locais, em sua maioria dentro do datacenter bem controlado e no endereço IP da organização, executar somente um verificador de vulnerabilidades de rede era suficiente para entender o que você tinha e onde estava exposto. Era comum tentar "fazer o impossível" ao avaliar se havia risco em potencial de que adversários explorassem vulnerabilidades. Mas, com a gama atual de tipos de ativos, você precisa de mais ferramentas específicas para obter visibilidade com segurança e precisão em toda a superfície de ataque e desenvolver uma compreensão profunda da postura de segurança de cada ativo, onde quer que ele resida no ambiente.

A maioria dos tipos de ativos modernos exige uma metodologia e/ou conjunto de ferramentas específico para descobrir e avaliá-los com precisão. Eis alguns exemplos:

• Conectores de nuvem: como os ambientes em nuvem não estão fisicamente conectados à rede, um conector é necessário para mantê-los em contato com a plataforma de gerenciamento de vulnerabilidades.

• Agentes: ativos como notebooks são frequentemente desconectados da rede durante as verificações de rotina, fazendo com que suas vulnerabilidades não sejam percebidas por longos períodos de tempo. A instalação de agentes localmente no host pode resolver esse desafio, monitorando e relatando continuamente as descobertas sempre que o ativo for conectado à rede.

• Sensores de consulta ativa para dispositivos OT: a maioria dos ativos em ambientes de OT e IoT são sistemas construídos especificamente que operam de maneira muito diferente dos ativos de TI tradicionais. Por causa disso, eles são melhor avaliados com sensores que podem consultar (em vez de verificar) os dispositivos com segurança, usando sua linguagem de comando nativa para determinar se há vulnerabilidades ou configurações incorretas. Isso permite o monitoramento constante não apenas de ataques em potencial, mas também de configurações e limites incorretos.

• Verificador de apps Web: as aplicações Web têm aparência e comportamento diferentes dos ativos de TI tradicionais por vários motivos, e suas vulnerabilidades são normalmente categorizadas como Enumerações de fraqueza comuns (CWEs) em vez de Vulnerabilidades e exposições comuns (CVEs). Como resultado, um verificador desenvolvido especificamente para descobrir e avaliar as aplicações Web é necessário para obter uma compreensão da postura de segurança de aplicações Web.

• Segurança de contêineres: ativos digitais modernos, como imagens de contêiner, não podem ser avaliados usando métodos tradicionais. Dispositivos de segurança feitos especificamente para contêineres podem armazenar e verificar imagens de contêineres conforme as imagens são criadas e fornecer detecção de vulnerabilidades e malware, junto com monitoramento contínuo e validação de imagens de contêiner.


Claro, um dos principais problemas que os profissionais de segurança enfrentam hoje é que há muito mais vulnerabilidades do que eles podem enfrentar. Adotar uma abordagem de "fazer o impossível" simplesmente não é viável para a maioria das organizações devido às limitações de recursos e tempo. Em vez disso, você precisa determinar quais vulnerabilidades realmente representam o maior risco para seus sistemas mais críticos, para que possa priorizar efetivamente seus esforços de correção.

Para realizar a priorização eficaz de vulnerabilidades, você precisa analisar seus dados de segurança para compreender totalmente cada vulnerabilidade no contexto. É bem provável que você já tenha muitos dados para analisar e esteja analisando-os manualmente. Além disso, cada uma das ferramentas de segurança destacadas acima gera ainda mais dados, agravando o problema. É por isso que você precisa de uma plataforma de gerenciamento de vulnerabilidades abrangente, capaz de ingerir todos os tipos de dados de segurança e empregar automação para processar e analisá-los imediatamente. Dessa forma, você obtém os dados de inteligência de segurança importantes na velocidade necessária.

Em resumo, combinar as ferramentas certas de descoberta e avaliação com cada tipo de ativo permite que você entenda completamente toda a sua superfície de ataque, eliminando pontos cegos em sua rede. Usar uma ferramenta de gerenciamento de vulnerabilidades capaz de ingerir as entradas de cada uma dessas ferramentas permite que você avalie seus vários ativos em uma visão unificada para que possa priorizar adequadamente seus esforços de correção de vulnerabilidades.

Saiba mais

• Quer saber mais sobre como determinar os sensores e métodos corretos para descobrir e avaliar toda a sua superfície de ataque e, depois, como lidar efetivamente com a enxurrada de dados que vem com toda essa visibilidade adicional? Veja o webinar: It May Be Time to Stop Freaking Out About Too Many Vulnerabilities.
• Migrar de um VM legado para uma VM baseado em riscod, incluindo as ferramentas, produtos e integrações de parceiros recomendados para cada etapa do procedimento. Leia a publicação, Arquitetura de referência: gerenciamento de vulnerabilidades baseado em riscos.
• Aprenda por que uma plataforma de VM unificado é necessária para avaliar e defender dinamicamente toda a sua superfície de ataque. Leia a publicação: Como superar os desafios criados por ferramentas discrepantes de gerenciamento de vulnerabilidades.