Com a mudança para a nuvem, o aumento de aplicações de software como serviço (SaaS) e nas capacidades de trabalho remoto, a superfície de ataque das organizações tornou-se maior e mais complexa, ou seja, exponencialmente mais difícil de definir e defender. Como praticamente qualquer ativo é capaz de ser um ponto de entrada para um ciber ataque, é mais importante do que nunca para a organização melhorar a visibilidade da superfície de ataque em todos os ativos — conhecidos ou desconhecidos, locais ou na nuvem, internos ou externos.
O que é o gerenciamento de superfície de ataque?
O gerenciamento de superfície de ataque é a descoberta, monitoramento, avaliação, priorização e remediação contínua de vetores de ataque dentro da infraestrutura de TI de uma organização.
Embora semelhante em natureza à descoberta de ativos ou ao gerenciamento de ativos, frequentemente encontrados em soluções de higiene de TI, a diferença crítica no gerenciamento de superfície de ataque é que ele aborda a detecção de ameaças e o gerenciamento de vulnerabilidades da perspectiva do invasor. Ao fazer isso, a organização consegue identificar e avaliar o risco representado não apenas por ativos conhecidos, mas também por componentes desconhecidos e não autorizados.
Saiba mais
Os hackers estão continuamente tentando explorar configurações fracas de TI, o que leva a ataques. Com frequência, a CrowdStrike vê organizações cujos ambientes contêm sistemas legados ou direitos administrativos excessivos serem vítimas desses tipos de ataque. Os Serviços de Avaliação de Higiene de TI da CrowdStrike oferecem melhor visibilidade da sua rede para ajudar a identificar vulnerabilidades e proteger sua rede antes que esses ataques ocorram.
O que é uma superfície de ataque?
A superfície de ataque é o termo usado para descrever a rede interconectada de ativos de TI que pode ser aproveitada por um invasor durante um ciber ataque. Em termos gerais, a superfície de ataque de uma organização é composta por quatro componentes principais:
- Ativos no local: ativos localizado no local, como servidores e hardware.
- Ativos na nuvem: qualquer ativo que utiliza a nuvem para operação ou entrega, como servidores na nuvem e workloads, aplicações de SaaS ou bancos de dados hospedados na nuvem.
- Ativos externos: um serviço on-line adquirido de um fabricante ou parceiro externo, que armazena e processa dados da empresa ou é integrado à rede corporativa.
- Redes subsidiárias: redes que são compartilhadas por mais de uma organização, como aquelas de propriedade de uma holding no caso de uma fusão ou aquisição.
É importante observar que a superfície de ataque da organização evoluirá ao longo do tempo, à medida que dispositivos forem adicionados constantemente, novos usuários forem introduzidos e as necessidades do negócio mudarem. Por esta razão, a organização deve monitorar e avaliar continuamente todos os ativos e identificar vulnerabilidades antes que sejam exploradas por ciber criminosos.
O valor do gerenciamento da superfície de ataque
Ao assumir a mentalidade do invasor e imitar seu conjunto de ferramentas, a organização pode melhorar a visibilidade em todos os possíveis vetores de ataque, permitindo assim que eles tomem medidas direcionadas para melhorar a postura de segurança, mitigando o risco associado a determinado ativo ou reduzindo a própria superfície de ataque. Uma ferramenta eficaz de gerenciamento de superfície de ataque pode permitir que a organização:
- automatize a descoberta, revisão e remediação de ativos
- mapeie todos os ativos de forma contínua
- identifique e desative rapidamente ativos de shadow IT e outros ativos previamente desconhecidos
- elimine vulnerabilidades conhecidas, como senhas fracas, erros de configuração e software desatualizado ou não corrigido
Quais são as principais funções do gerenciamento de superfície de ataque?
Existem cinco funções principais de uma estratégia eficaz de gerenciamento de superfície de ataque:
Fase 1: Descoberta
Nesta fase inicial, a organização identifica e mapeia todos os ativos digitais na superfície de ataque interna e externa. Embora as soluções legadas possam não ser capazes de descobrir ativos externos desconhecidos ou não autorizados, uma solução moderna de gerenciamento de superfície de ataque imita o conjunto de ferramentas usado pelo ator de ameaças para encontrar vulnerabilidades e fragilidades no ambiente de TI. Isso aumenta a visibilidade em toda a superfície de ataque e garante que a organização tenha mapeado qualquer ativo que possa ser usado como um possível vetor de ataque.
Fase 2: Testes
A superfície de ataque muda constantemente à medida que novos dispositivos são conectados, usuários são adicionados e o negócio evolui. Por isso, é importante que a ferramenta seja capaz de realizar monitoramento e testes contínuos da superfície de ataque. Uma solução moderna de gerenciamento de superfície de ataque revisará e analisará ativos 24 horas por dia, 7 dias por semana, para evitar a introdução de novas vulnerabilidades de segurança, identificar lacunas de segurança e eliminar erros de configuração e outros riscos.
Fase 3: Contexto
Embora qualquer ativo possa servir como vetor de ataque, nem todos os componentes de TI apresentam o mesmo risco. Uma solução avançada de gerenciamento de superfície de ataque realiza análises de superfície de ataque e fornece informações relevantes sobre o ativo exposto e seu contexto dentro do ambiente de TI. Fatores como quando, onde e como o ativo é usado, quem é o proprietário dele, seu endereço IP e os pontos de conexão de rede podem ajudar a determinar a gravidade do risco cibernético representado para o negócio.
Fase 4: Priorização
Como a solução de gerenciamento de superfície de ataque tem como objetivo descobrir e mapear todos os ativos de TI, a organização deve ter uma maneira de priorizar os esforços de remediação para vulnerabilidades e fragilidades existentes. O gerenciamento de superfície de ataque fornece pontuação de risco acionável e classificações de segurança com base em uma série de fatores, como o quão visível é a vulnerabilidade, o quão explorável ela é, o quão complicado é o risco de corrigir e o histórico de exploração. Ao contrário dos testes de intrusão, red teaming e outros métodos tradicionais de avaliação de risco e gerenciamento de vulnerabilidades, que podem ser um tanto subjetivos, a pontuação de gerenciamento de superfície de ataque é baseada em critérios objetivos, que são calculados usando parâmetros e dados predefinidos do sistema.
Fase 5: Remediação
Com base nas etapas automatizadas nas cinco primeiras fases do programa de gerenciamento de superfícies de ataque, a equipe de TI agora está bem equipada para identificar os riscos mais graves e priorizar a remediação. Como esses esforços geralmente são liderados por equipes de TI, e não por profissionais de cibersegurança, é importante garantir que as informações sejam compartilhadas entre cada função e que todos os membros da equipe estejam alinhados nas operações de segurança.
Como a sua organização pode mitigar os riscos de superfície de ataque?
Para identificar e impedir uma série de táticas de adversários em evolução, as equipes de segurança exigem uma visão de 360 graus de sua superfície de ataque digital para melhor detectar ameaças e defender sua empresa. Isso requer visibilidade contínua de todos os ativos, incluindo as redes internas da organização, sua presença fora do firewall e uma revisão dos sistemas e das entidades com os quais os usuários e os sistemas estão interagindo.
À medida que as organizações adotam uma agenda de transformação digital, pode se tornar mais difícil manter a visibilidade de uma ampla superfície de ataque. Workloads na nuvem, aplicações SaaS, microsserviços e outras soluções digitais adicionaram complexidade ao ambiente de TI, tornando mais desafiador detectar, investigar e responder a ameaças.
O RiskIQ Illuminate da CrowdStrike foi integrado à plataforma CrowdStrike Falcon® para combinar perfeitamente a telemetria de endpoint interno com petabytes de dados externos da Internet coletados ao longo de mais de uma década. A sobreposição de inteligência de internet sobre dados de endpoint em um único local fornece um contexto crucial para incidentes internos, ajudando as equipes de segurança a entender como os ativos internos interagem com a infraestrutura externa para que possam bloquear ou impedir ataques e saber se foram violados.
As principais capacidades e benefícios do RiskIQ Illuminate incluem:
- Acelerar a detecção e a resposta: capacita a equipe de segurança com contexto de 360 graus e visibilidade aprimorada dentro e fora do firewall para defender melhor a empresa das ameaças mais recentes, como comprometimento de dados e ataque de ransomware.
- Fortalecer a colaboração: o RiskIQ Illuminate habilita equipes de segurança corporativa para colaborar perfeitamente em investigações de ameaças ou atividades de resposta a incidentes, sobrepondo conhecimento interno e inteligência de ameaças aos resultados de analistas.
- Gerenciar proativamente a superfície de ataque digital: obtenha visibilidade completa de todos os ativos voltados para o exterior e garanta que eles sejam gerenciados e protegidos.
Rona Kedmi é uma profissional sênior de marketing de produtos na CrowdStrike, especializada em gerenciamento de superfície de ataque externo (EASM) e gerenciamento de exposição. Com uma vasta experiência em cibersegurança, Rona aprimorou suas habilidades em proteção de dados, segurança de rede, gerenciamento de superfície de ataque e proteção de cibersegurança automotiva. Antes de ingressar na CrowdStrike, ela ocupou diversos cargos de marketing em startups de software como um serviço (SaaS) B2B em Israel. Rona é bacharel em Relações Internacionais, mestra em Estudos de Comunicação e MBA com foco em Gestão de Marketing; todos obtidos com honras pela Universidade Hebraica de Jerusalém.
