(Tempo de Leitura: 4 min.)

Os cibercriminosos estão cada vez mais atualizados e eficientes, fazendo com que as organizações redobrem seus esforços para automatizar controles e implementar patches de segurança que evitem esse tipo de invasão. Essas táticas podem até funcionar a curto prazo, mas não reduzem a exposição futura!

Neste caso, é fundamental pensar além e considerar estratégias como o CTEM (Continuous Threat Exposure Management – Gerenciamento Contínuo de Exposição a Ameaças) que, além de reduzir os riscos no ambiente digital continuamente, também promove melhorias consistentes na postura de segurança da empresa. 

Mas, afinal, o que é o CTEM?

O termo apareceu pela primeira vez no relatório “Implement a Continuous Threat Exposure Management Program (CTEM)”, publicado pela Gartner® no dia 21 de julho de 2022, e diz respeito a uma abordagem coordenada que combina simulações de ataques, priorização de riscos a uma orientação eficiente de remediação.

Identificar melhorias de segurança é uma prática comum no campo da cibersegurança. Muitas empresas já adotam a cultura de proteger seus ambientes digitais, mas o desafio não é apenas encontrar vulnerabilidades, e sim lidar com a grande quantidade delas e saber quais representam os maiores riscos para os ativos críticos.

Para isso, a Gartner® propõe que a criação de qualquer programa com essa finalidade siga 5 critérios técnicos, que você pode conferir a seguir:

1 – Escopo

O primeiro passo é avaliar a “superfície de ataque” da organização, especialmente pontos de entrada e ativos vulneráveis, indo além dos programas típicos de gerenciamento de vulnerabilidades. Considere não apenas dispositivos e aplicações tradicionais, mas também elementos, como contas corporativas nas redes sociais, repositórios de código on-line e sistemas integrados de cadeia de abastecimento.

Para testar a primeira iniciativa CTEM, as organizações podem considerar duas áreas:

1.     Superfície de ataque externo

2.     Postura de segurança SaaS (software como serviço)

2 – Descoberta

Apesar de a descoberta geralmente ter início pelas áreas do negócio identificadas na primeira etapa, é fundamental avançar para identificar ativos visíveis e ocultos, vulnerabilidades, configurações incorretas e outros riscos. Durante a criação de um programa CTEM, não confunda definição do escopo com descoberta, afinal, o resultado positivo não será o volume de ativos e vulnerabilidades encontrados, mas sim a precisão do escopo, baseado no risco de negócio e no impacto potencial.

3 – Priorização

Dê mais atenção às ameaças e às vulnerabilidades prováveis de serem exploradas. O objetivo do CTEM não é corrigir todos os problemas de segurança, mas sim priorizar, para isso é interessante classificar:

·       Urgência

·       Risco e impacto da vulnerabilidade 

·       Disponibilidade de controles de compensatórios

·       Tolerância para a superfície de ataque residual

·       Apetite por risco para aquele processo de negócio ou organização

O essencial é identificar os ativos de alto valor para o negócio e focar em um plano que os proteja.

4 – Validação

Nesta etapa, inicialmente verifique se os invasores podem de fato explorar uma vulnerabilidade, analise todos os possíveis caminhos de ataque ao ativo e avalie se o plano de resposta atual é rápido e eficaz o suficiente para proteger o negócio. Além disso, é importante obter o consenso de todas as partes interessadas da empresa sobre quais gatilhos devem levar à remediação. Para isto, pode-se incluir o uso de técnicas de modelagem de ameaças, validação de efetividade de controles, ferramentas de simulação de ataques (BAS – Breach and Attack Simulation), entre outras técnicas. 

5 – Mobilização

Mobilização é sobre garantir que as equipes operacionalizam as conclusões do CTEM, reduzindo quaisquer obstáculos nas aprovações para as correções das vulnerabilidades e mitigação dos riscos, processos de implementação e, especialmente, documentar os fluxos de trabalho de aprovação entre as equipes.

Priorização técnica das vulnerabilidades (EPSS e CVSS)

Gerenciado pelo FIRST (Fórum de Resposta a Incidentes e Equipes de Segurança), o EPSS (Exploit Prediction Scoring System) é uma ferramenta que estima a probabilidade de uma vulnerabilidade a ser explorada e, assim como o CVSS, complementa outros sistemas de pontuação.

O sistema se baseia em dados reais de tentativas de invasão gerados a partir de um modelo de aprendizado de máquina (machine learning), que integra informações de bancos de dados de vulnerabilidades e de tentativas de invasão detectadas no mundo real.

Mesmo com todas essas informações, o EPSS combinado ao CVSS ainda não é suficiente, pois mesmo que as informações sobre quais CVEs têm maior probabilidade de serem explorados, ainda assim é necessário encontrar os sistemas que têm maior probabilidade de serem acessados e, a partir daí, explorados.

A relação entre esses dois sistemas de pontuação com o CTEM envolve a maneira como eles são utilizados para avaliar, priorizar e gerenciar riscos de segurança cibernética em uma organização. 

No contexto do CTEM, o EPSS é usado para refinar ainda mais a priorização das vulnerabilidades. Enquanto o CVSS fornece uma visão da gravidade potencial, o EPSS oferece uma visão da probabilidade de exploração, permitindo que as organizações priorizem vulnerabilidades que não apenas têm um alto impacto, mas também uma alta probabilidade de serem exploradas ativamente.

No mais, aliar estratégias como essas é a forma mais eficiente de criar um processo mais robusto de avaliação e gestão de riscos!

Conheça as soluções GAT Infosec

A GAT InfoSec é uma empresa especializada em gerenciamento de exposição cibernética baseada em risco.

A plataforma GAT Core oferece real visibilidade dos ativos e dos riscos cibernéticos da empresa, permitindo conhecer o nível de exposição e acelerar a tomada de decisão com contexto de negócio.

O GAT Core otimiza o processo de gestão de riscos cibernéticos ao integrar o monitoramento da superfície de ataque (ASM/CAASM), a gestão de vulnerabilidades baseada em risco com a gestão de riscos de fornecedores (TPRM).

Para saber mais, entre em contato com a nossa equipe!

 

Referências 

https://www.tenable.com/analyst-research/2022-gartner-exposure-management-report?utm_campaign=gs-{1886141441}-{163056776531}-{686511571810}_00028058_fy23&utm_promoter=tenable-one-gatedasset-gartner-ctem-report-00028058&utm_source=google&utm_term=gartner%20ctem&utm_medium=cpc&utm_geo=amer&gad_source=1&gclid=Cj0KCQjw9vqyBhCKARIsAIIcLMGZ6V9HtWKlbTIg14eGoaZAcUygdA4HwM6iE1hXchJDJELNNxgf8XgaAmU9EALw_wcB

https://www.netconn.com.br/post/o-que-e-ctem-e-quais-sao-seus-beneficios

https://www.gartner.com/en/articles/how-to-manage-cybersecurity-threats-not-episodes

https://safewayconsultoria.com/novo-sistema-epss-de-pontuacao-ajuda-empresas-a-priorizarem-a-correcao-de-suas-vulnerabilidades/

https://orca.security/resources/blog/epss-scoring-system-explained/#:~:text=The%20Exploit%20Prediction%20Scoring%20System,scoring%20systems%2C%20CVSS%20in%20particular

 

Você também pode curtir isso:

Av. Angélica, 2582 – 2° Andar Bela Vista – São Paulo/SP CEP 01228-200
+55 (11) 4395-1322
[email protected]

Siga-Nos