Definição de "gerenciamento contínuo de exposição a ameaças (CTEM)"

O que é gerenciamento contínuo de exposição a ameaças?

CTEM (continuous threat exposure management, gerenciamento contínuo de exposição a ameaças) é um framework para gerenciar e mitigar proativamente a exposição a ameaças por meio de uma abordagem iterativa que enfatiza a criação de processos organizacionais estruturados, além do uso de ferramentas de segurança. 

Neste artigo, vamos analisar o CTEM, seus principais componentes e uma estratégia de implementação em cinco etapas para reduzir a exposição ao risco, melhorar a priorização e fortalecer o gerenciamento de exposição e vulnerabilidades.

Entendendo o gerenciamento contínuo de exposição a ameaças

No gerenciamento de vulnerabilidades tradicional, as equipes de segurança desempenham suas funções de forma relativamente isolada, concentrando-se menos no "porquê" e no "como" do que é descoberto na avaliação de vulnerabilidades. Em contrapartida, o CTEM é uma abordagem proativa que ajuda as organizações a:

• Definir os tipos de ativos que a organização considera mais importantes
• Identificar os ativos abrangidos no escopo e os vários tipos de exposição desses ativos 
• Validar a real explorabilidade das exposições identificadas e a eficácia das respostas organizacionais predefinidas
• Mobilizar a organização para dar uma resposta adequada 
• Monitorar e fazer iterações para aprimorar o programa 

O CTEM adota uma abordagem iterativa que refina continuamente a postura de segurança da organização. Ao seguir essa abordagem, as organizações podem formular um plano de segurança viável que a equipe de gestão possa compreender, as unidades de negócio possam apoiar e as equipes técnicas possam usar como guia.

As cinco etapas do ciclo de CTEM

O documento da Gartner How to Manage Cybersecurity Threats, Not Episodes (Como gerenciar ameaças de cibersegurança, não episódios) propõe uma estratégia de cinco etapas para implementar o CTEM.

Etapa 1: Identificar o escopo inicial

A maioria das organizações não consegue acompanhar a velocidade do crescimento digital da superfície de ativos. Nesta etapa, a organização precisa decidir quais tipos de ativos são mais importantes para ela. Ao iniciar um programa de CTEM, as organizações devem considerar o seguinte modelo como seu escopo inicial:

• Superfície de ataque externa: isso inclui os ativos de uma organização expostos na internet que um invasor pode atacar para obter acesso. 
• Postura de segurança do software como serviço (SaaS): devido ao aumento da adesão ao trabalho remoto, muitas organizações recebem e enviam dados comerciais para APIs e aplicações de terceiros que são hospedados externamente.

Etapa 2: Descobrir ativos e avaliar riscos

A fase de descoberta envolve a identificação de ativos individuais na categoria que foi determinada na etapa anterior, de definição de escopo, e a avaliação de suas exposições. As exposições incluídas não devem se limitar às CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) e precisam abranger configurações incorretas e outras fragilidades. 

Obviamente, identificar ativos com base em uma definição precisa do escopo dos riscos de negócios é muito mais relevante do que uma análise geral que identifica inúmeros ativos e vulnerabilidades.

Etapa 3: Priorizar as ameaças que importam

A priorização envolve avaliar a importância dos problemas identificados. Esta etapa é crucial para filtrar o ruído de incontáveis vulnerabilidades de segurança e focar nos riscos que realmente importam.  As organizações não devem se limitar às CVEs e precisam considerar a prevalência de exploits e fatores específicos da organização, como controles disponíveis, opções de mitigação, criticidade para os negócios e apetite ao risco.

Um processo de priorização maduro classifica as exposições com base em urgência, explorabilidade, impacto nos negócios e ameaças ativas, garantindo que as equipes de segurança se concentrem em riscos reais, não em riscos teóricos. A análise de caminhos de ataque ajuda a identificar gargalos onde uma única correção pode neutralizar múltiplas ameaças, enquanto a pontuação de risco baseada em IA alinha os esforços de segurança com cenários de ataque reais

Etapa 4: Validar a explorabilidade e a resposta de segurança

A etapa de validação utiliza ferramentas como simulações de caminhos de ataque, simulações de violação e ataque, ou outras simulações controladas, para validar a explorabilidade das vulnerabilidades priorizadas e seu impacto em sistemas críticos. Esta etapa confirma se as vulnerabilidades podem ser exploradas e se o plano de defesa atual será capaz de mitigá-las. Esse processo inclui ataques simulados e a confirmação de que os planos de resposta sejam acionados corretamente.

A etapa de validação também envolve a definição dos gatilhos e sinais que vão iniciar o plano de resposta. Como um plano de resposta pode envolver medidas drásticas — como remoção do acesso a ativos essenciais ou bloqueio da rede — é importante avaliar quando tal resposta seria necessária. 

Etapa 5: Mobilizar as equipes de remediação

O objetivo do esforço de "mobilização" é ajudar as equipes a agir com base nas descobertas do CTEM, simplificando aprovações, processos de implementação e medidas de mitigação. A responsabilidade e as consequências da remediação geralmente recaem sobre equipes que não são a equipe de segurança. Geralmente, existem várias maneiras de solucionar problemas, e cada solução pode ter um impacto diferente nos negócios. É importante aproveitar a automação inicial das ferramentas para criar um processo de remediação estruturado e coordenado. Essa etapa de mobilização reduz os atrasos nos fluxos de trabalho operacionais e nos processos de implementação, garantindo tempos de resposta rápidos. 

Benefícios da implementação do CTEM

As organizações que adotam uma abordagem de CTEM recebem diversos benefícios. Incluindo:

• Redução da exposição ao risco: o uso do monitoramento contínuo para identificar ameaças antes que elas afetem as operações de negócios ajuda a reduzir a exposição ao risco. 
• Priorização aprimorada: o CTEM ajuda as organizações a entender a gravidade de cada ameaça, para que possam determinar quais delas exigem atenção e recursos urgentes.
• Postura de segurança proativa: a abordagem proativa do CTEM é particularmente evidente nas etapas de definição de escopo e descoberta, que lidam continuamente com ameaças emergentes.
• Reforço da resposta a incidentes: os ataques simulados e as etapas de remediação automatizada que foram definidas durante a fase de validação confirmam a eficácia dos planos de resposta e seus gatilhos, capacitando as equipes a responder mais rapidamente aos incidentes.

Segurança proativa com a CrowdStrike

O CrowdStrike Falcon® Exposure Management ajuda as equipes de segurança a operacionalizar e otimizar seus programas de CTEM ao longo de todo o ciclo de vida, da definição do escopo, descoberta e priorização até a validação e mobilização.

• Defina o escopo com as capacidades nativas de gerenciamento de superfície de ataque externa (EASM) do CrowdStrike Falcon® Exposure Management e com a segurança de software como serviço (SaaS) do CrowdStrike Falcon® Shield
• Descubra a visibilidade incomparável de ativos proporcionada pelo CrowdStrike Falcon® Exposure Management e realize avaliações completas de exposição de vulnerabilidades, configurações incorretas, extensões de navegador arriscadas e muito mais
• Priorize o uso da solução proprietária de pontuação preditiva ExPRT.AI da CrowdStrike, que se baseia em inteligência de exploits e criticidade automatizada de ativos.
• Use a Análise de caminho de ataque para validação, pois ela mapeia o desconhecido e demonstra a real explorabilidade das exposições em seu ambiente específico
• Mobilize com avançado contexto de segurança, integração nativa de orquestração, automação e resposta de segurança (SOAR) e ações rápidas de remediação

O CrowdStrike Falcon® Exposure Management é uma poderosa solução de gerenciamento de vulnerabilidades e riscos que oferece descoberta e compreensão inéditas de ativos, avaliação abrangente de exposições, análise de caminhos de ataque e visibilidade consolidada em toda a superfície de ataque. Ele utiliza o agente unificado e leve CrowdStrike Falcon® Agent, que permite a avaliação de vulnerabilidades em tempo real e sem necessidade de manutenção. Além disso, o modelo preditivo de priorização ExPRT.AI da CrowdStrike possibilita que as equipes aloquem estrategicamente seus recursos limitados e se concentrem nas exposições a riscos que têm maior probabilidade de serem exploradas por adversários.