O que é CAASM?

CAASM (cyber asset attack surface management, ou gerenciamento da superfície de ataque de ativos cibernéticos) é uma maneira proativa de identificar, gerenciar e reduzir sua superfície de ataque cibernético. O CAASM oferece visibilidade unificada de todos os seus ativos, incluindo ambientes locais, na nuvem e de terceiros. 

Ele ajuda as equipes de segurança a fazer o inventário e correlacionar dados de várias fontes para entender melhor cada ativo conectado e o risco associado.

À medida que sua organização adota novas tecnologias e aumenta a pegada digital, a superfície de ataque cresce exponencialmente, criando brechas de segurança e vulnerabilidades que os invasores podem explorar. 

As ferramentas tradicionais de gerenciamento de ativos não mostram uma visão consolidada de ambientes diversificados. Ao unificar a visibilidade dos ativos com o CAASM, você pode priorizar com mais eficácia e corrigir proativamente o risco cibernético.

A função central das ferramentas de CAASM é fornecer um inventário unificado de todos os dados conhecidos sobre ativos, riscos e configurações. 

Embora algumas possam examinar diretamente a superfície de ataque usando monitoramento passivo ou ativo, a maioria das ferramentas de CAASM integra-se diretamente às ferramentas existentes por meio de APIs para agregar informações sobre ativos. 

As fontes de dados comuns incluem gerenciamento de ativos de TI, banco de dados de gerenciamento de configurações (CMDB), descoberta de rede, avaliação de vulnerabilidades, gerenciamento de superfície de ataque externa (EASM), detecção e resposta de endpoints (EDR), detecção e resposta estendida (XDR), segurança da nuvem, gerenciamento de eventos e informações de segurança (SIEM), segurança de tecnologia operacional (OT), gerenciamento de identidade e acesso, análise de composição de software e DevOps, entre outros. 

O CAASM coleta informações de ativos de várias fontes e as armazena em um data lake central para análise. 

Em seguida, ele racionaliza e normaliza as informações de ativos de várias ferramentas para remover duplicatas e padronizar a formatação das informações e criar uma visão consistente dos ativos. 

Também racionaliza entradas redundantes ou conflitantes, como nomes diferentes para o mesmo dispositivo em diferentes ferramentas.

Em seguida, enriquece as informações dos ativos com o contexto de várias ferramentas para fornecer perspectivas mais profundas, como todos os detalhes de riscos conhecidos de um determinado ativo, incluindo vulnerabilidades, configurações incorretas e excesso de permissões, proprietário e uso do ativo, status de conformidade e relações entre ativos. Exemplos de relações entre ativos incluem conectividade entre ativos, recursos virtuais e cargas de trabalho associadas a um ativo e relações entre ativos e identidades, como os usuários de um ativo. 

As ferramentas de CAASM avaliam e normalizam o risco em toda a superfície de ataque para permitir a priorização. 

A priorização de riscos costuma considerar muitas variáveis importantes, inclusive a severidade de um risco com base na prioridade ou na pontuação padrão do setor, como o Common Vulnerability Scoring System (CVSS), que usa uma métrica qualitativa para a severidade da vulnerabilidade. 

A explorabilidade do risco afeta a priorização da vulnerabilidade ao considerar fatores como o código de exploração disponível para as vulnerabilidades e a acessibilidade dos ativos na Internet. 

A criticidade dos ativos foca nas funções dos ativos, como o impacto comercial ou material, como as chances de interromper um serviço, processo ou função essencial ao negócio. 

Como a maioria das ferramentas oferece uma pontuação de risco exclusiva, as ferramentas de CAASM costumam fornecer seus próprios padrões ou padrões baseados em opções para pontuar e priorizar o risco de forma consistente.

Com atualizações constantes, as ferramentas de CAASM detectam novos ativos, alterações de configuração ou vulnerabilidades emergentes para manter uma visão atualizada da sua superfície de ataque e identificar alterações perigosas antes que ocorram incidentes. 

Você pode realizar consultas simples ou complexas para identificar padrões ou realizar rotinas de cyber hygiene. As integrações comportam fluxos de trabalho simplificados, como abertura de tíquetes para correção, envio de relatórios por e-mail ou envio de alertas. 

As ferramentas de CAASM costumam atender a vários públicos, como equipes de TI e conformidade, profissionais de segurança e executivos. 

Painéis e relatórios fornecem perspectivas sobre o inventário de ativos, as tendências de risco e o progresso ao longo do tempo, a postura de conformidade e a visibilidade de outros indicadores-chave de desempenho (KPIs). 

Perspectivas consistentes sobre ativos em todos os silos permitem melhor colaboração, tomada de decisões e investimentos em equipes normalmente discrepantes.

• Visibilidade contínua dos ativos em toda a sua superfície de ataque, incluindo shadow IT, dispositivos não gerenciados e ativos de terceiros;
• Agregação e normalização de dados de várias ferramentas de segurança e TI para criar um inventário unificado de ativos e riscos associados;
• Avaliações de risco para identificar vulnerabilidades, configurações incorretas e pontos de exposição relacionados a cada ativo para determinar os níveis de risco;
• Recursos de priorização de vulnerabilidades e integrações com fluxos de trabalho de correção;
• Monitoramento e atualizações contínuas do inventário da superfície de ataque para refletir dinamicamente as mudanças e descobrir novos riscos.

• Garante visibilidade abrangente de todos os ativos cibernéticos, como TI, OT, IoT, nuvem, identidades, aplicações, máquinas virtuais, contêineres e Kubernetes;
• Melhora a avaliação de riscos agregando proativamente aos ativos todas as informações de risco conhecidas associadas e normalizando a pontuação de risco em fontes diferentes;
• Promove melhor colaboração e confiança com uma visão consistente das informações de ativos entre as equipes de TI, conformidade e segurança; 
• Simplifica os processos de correção integrando e automatizando os fluxos de trabalho de segurança e TI, como a abertura de tíquetes e o fornecimento de etapas de correção recomendadas;
• Reduz erros e atrasos que auditorias manuais e periódicas das informações dos ativos geram com a descoberta contínua de ativos e riscos;
• Acelera e padroniza a geração de relatórios de conformidade em todos os domínios, fornecendo relatórios prontos para uso, alinhados com regulamentos e análises comparativas; 
• Fornece contexto técnico e de negócio para priorizar melhor os riscos que podem ter um impacto importante na organização.

A Gartner define Continuous Threat Exposure Management (CTEM) como um "conjunto de processos e recursos que permitem às empresas avaliar de forma contínua e consistente a acessibilidade, a exposição e a explorabilidade dos ativos físicos e digitais de uma empresa".

O processo de CTEM contém cinco etapas: escopo, descoberta, priorização, validação e mobilização. O CAASM desempenha um papel fundamental em todas as cinco etapas do modelo de CTEM. 

A integração do CAASM com o CTEM oferece visibilidade contínua em tempo real e gerenciamento eficiente de riscos para gerenciar a superfície de ataque e reduzir a exposição geral a ameaças de forma proativa.

Cinco etapas para implementar soluções de cyber asset attack surface management:

1. Identificar o que sua organização deseja alcançar, como reduzir pontos cegos ou melhorar a priorização de riscos.
2. Avaliar as ferramentas de segurança cibernética para obter uma visibilidade abrangente dos ativos que se integram de forma simplificada à pilha de TI e segurança existente.
3. Concentrar as iniciativas iniciais em ativos e sistemas críticos ao negócio ou em riscos antes negligenciados.
4. Criar fluxos de trabalho para descoberta, correlação e correção para usar o CAASM e agregar valor aos processos e aos sistemas existentes.
5. Usar métricas como redução de riscos, tempo médio para corrigir (MTTR) e melhorias de visibilidade para acompanhar o progresso.

A implementação e a operacionalização do CAASM como parte do seu programa de segurança podem melhorar significativamente a visibilidade e o gerenciamento de riscos. Porém, como as implementações do CAASM precisam da participação de um amplo conjunto de equipes, ferramentas e fluxos de trabalho, podem surgir desafios que atrasam ou atrapalham o sucesso da implementação. Por exemplo:

• O CAASM depende da integração com uma ampla gama de ferramentas para fornecer uma visão unificada, mas dados incompletos ou inconsistentes podem limitar sua eficácia;
• Garantir a compatibilidade, configurar APIs e gerenciar a autenticação entre ferramentas pode ser demorado e ter uma alta demanda técnica;
• Grandes organizações com milhares de ativos espalhados em vários ambientes (no local, na nuvem, híbridos) podem ter desafios de escalabilidade;
• A marcação imprecisa de ativos, informações desatualizadas ou inventários incompletos resultantes de shadow IT podem prejudicar a confiabilidade da informação ou gerar lacunas de visibilidade;
• Muitas organizações não têm equipes de segurança ou conjuntos de habilidades suficientes para configurar e manter o CAASM; 
• As partes interessadas, como equipes de TI com ferramentas de gerenciamento de ativos ou CMDBs, podem resistir à adoção do CAASM, ao compartilhamento de dados ou a mudanças no fluxo de trabalho.

A implementação e a operacionalização eficazes do CAASM requerem um planejamento cuidadoso e uma execução focada. Veja algumas práticas recomendadas para ajudar:

1. Simplifique a implementação planejando as integrações com antecedência. Identifique as principais ferramentas, a disponibilidade e a compatibilidade das suas APIs, mapeie os fluxos de dados entre as ferramentas e priorize as integrações que proporcionam valor rápido às partes interessadas.
2. Aprimore a qualidade dos dados auditando-os regularmente para verificar se estão completos e precisos, normalizando e identificando dados duplicados ou conflitantes, limpando dados em sistemas integrados e definindo processos e responsáveis para manter a qualidade contínua dos dados.
3. Comece com alguns casos de uso de alto impacto que abordem diretamente as prioridades da sua organização, como melhoria da conformidade ou redução da superfície de ataque. Defina métricas, como o volume de riscos identificados e corrigidos, para quantificar e demonstrar o sucesso.
4. Obtenha a adesão das partes interessadas para uma adoção de sucesso. Envolva as equipes desde o início. Informe-as sobre os benefícios do CAASM e compartilhe vitórias rápidas para criar confiança e segurança. 
5. Invista em automação para simplificar os processos, permitir a agregação de dados, automatizar fluxos de trabalho como geração de tíquetes em plataformas de TI e configurar alertas para riscos críticos a fim de garantir respostas mais rápidas e consistentes.
6. Utilize recursos de geração de relatórios. Crie painéis de controle personalizados, monitore tendências ao longo do tempo e alinhe os relatórios com os requisitos de conformidade. Forneça perspectivas práticas e demonstre um valor mensurável para a liderança e as partes interessadas.

O CAASM foca nos ativos internos e consolida os dados do seu ambiente. O gerenciamento de superfície de ataque externa (EASM) tem como alvo os ativos voltados para o exterior e visíveis para os invasores. 

O EASM identifica riscos como serviços expostos, configurações incorretas e shadow IT de uma perspectiva externa, que complementa a visão interna do CAASM. Juntos, o EASM e o CAASM proporcionam uma compreensão holística de toda a sua superfície de ataque e dos riscos.

As ferramentas de CAASM capacitam as principais partes interessadas com perspectivas práticas adaptadas às suas responsabilidades específicas. 

Chief Information Security Officer (CISO)
O CAASM oferece aos CISOs um inventário unificado de ativos, priorização de riscos e visibilidade completa dos ativos cibernéticos. Com esses dados, os CISOs podem aprimorar seus processos de tomada de decisões estratégicas, focando os recursos na abordagem dos riscos mais críticos à segurança.

Equipe de operações de segurança (SecOps)
O CAASM simplifica o gerenciamento de vulnerabilidades e acelera a resposta a incidentes com contexto de risco e ativos em tempo real. Uma solução de CAASM permite que SecOps corrija as vulnerabilidades mais rápido, com uma resposta otimizada às ameaças. 

Diretor de Conformidade
Ao validar e monitorar a conformidade regulatória, o CAASM pode simplificar os processos de conformidade e reduzir o risco de penalidades. Com os recursos de relatórios automatizados, você pode criar confiança na auditoria e obter perspectivas de conformidade atualizadas na palma das suas mãos.

Gerente de operações de TI
O CAASM oferece suporte ao monitoramento contínuo de controles de segurança, como MFA e criptografia, para garantir a implementação consistente em todos os sistemas. Essa solução também minimiza os riscos operacionais que as configurações incorretas criam e aprimora o gerenciamento geral da segurança de TI.

Arquiteto de nuvem
O CAASM identifica shadow IT e ativos de nuvem com configurações incorretas, oferecendo perspectivas sobre recursos não gerenciados em ambientes dinâmicos da nuvem. Você pode usar essas informações para reduzir a superfície de ataque com mais eficiência e garantir que as implementações na nuvem sigam as políticas da organização e as práticas recomendadas de segurança.

Diretor de gerenciamento de risco
O CAASM pode avaliar os riscos da cadeia de suprimentos, como avaliações de fornecedores, para reduzir a exposição a vulnerabilidades e garantir que as práticas de segurança e conformidade dos parceiros atendam aos padrões da organização e a outros requisitos.

Líder de fusões e aquisições (M&A)
O CAASM oferece suporte à rápida identificação e avaliação de riscos cibernéticos para entidades recém-adquiridas. Ao abordar ativos vulneráveis ou fora de conformidade antes da integração, você consegue proteger seu processo geral de M&A.

Engenheiro de DevOps
Ao se integrar aos pipelines de CI/CD, o CAASM monitora as aplicações em busca de vulnerabilidades e configurações incorretas para garantir a implementação segura de aplicações e, ao mesmo tempo, manter a agilidade do fluxo de trabalho de DevOps.

Ao alinhar os recursos do CAASM com as necessidades específicas das funções, você pode promover a colaboração e garantir uma abordagem proativa para gerenciar a superfície de ataque cibernético.

Confira outros recursos e produtos de CAASM da Tenable para entender melhor o gerenciamento da superfície de ataque de ativos cibernéticos e como ele ajuda a identificar, priorizar e eliminar a exposição cibernética.