Redução da Janela de Exposição a Riscos

Um dos fatores mais críticos, quando falamos sobre riscos cibernéticos, é o período em que uma organização está exposta a tais riscos. Enquanto alguma vulnerabilidade não for corrigida, a operação está sujeita à ação de agentes externos, que podem fazer uso de tais vulnerabilidades para iniciar um ataque cibernético. É exatamente durante este período, chamado de janela de exposição, que ocorrem a maioria dos ataques cibernéticos. 

Grande parte das organizações, com algum nível de digitalização em suas operações, têm diversos ativos voltados para a Internet pública. Muitas vezes, estas organizações não têm visibilidade do inventário exposto, que compõe a superfície de ataque, o que representa um alto nível de risco para as operações. Com diversos ativos expostos e vulnerabilidades presentes, surge a janela de exposição, período que dura até que tais vulnerabilidades sejam corrigidas.

Processos como o gerenciamento da superfície de ataque (ASM – Attack Surface Management) e a gestão de vulnerabilidades baseada em riscos (RBVM – Risk Based Vulnerability Management) têm, entre seus objetivos, a identificação e a priorização do tratamento de vulnerabilidades identificadas. São processos complementares, que permitem obter real visão dos riscos cibernéticos e estar no controle da mitigação desses riscos. Mas afinal, como isso afeta a diminuição da janela de exposição e quais benefícios uma organização pode obter, ao adotar uma postura de resiliência cibernética baseada nesses processos?

Continue lendo o artigo e saiba como reduzir a janela de exposição em sua operação, diminuindo as chances de ataques como ransomware, vazamento de dados, e paradas não programadas, além de riscos à imagem da marca, prejuízos, multas e sanções decorrentes de tais incidentes.

Cenário

Em um mundo conectado, onde cadeias de suprimento são cada vez mais dependentes de tecnologia como forma de manter a competitividade e inovação em seus mercados, qualquer operação com algum nível de digitalização está sujeita a riscos cibernéticos que aumentam, diariamente, em intensidade e volume.

Nesse cenário, é preciso estar ciente dos riscos que podem afetar a operação, tanto internos quanto externos, a fim de diminuir a janela de exposição a riscos originados em vulnerabilidades presentes em seus sistemas. Entre estes riscos, estão as vulnerabilidades publicamente conhecidas e previamente classificadas (CVE – Common Vulnerabilities and Exposures), para as quais já existe correção disponível, e as vulnerabilidades desconhecidas para as quais ainda não há uma correção disponível, que permitem ataques do tipo Zero Day Exploit.

Vetores de Ataque

Os vetores de ataques baseados em vulnerabilidades conhecidas e não corrigidas são muito similares aos vetores de ataques do tipo Zero Day Exploit. Arquivos e programas infectados com vírus, anexos nocivos enviados em mensagens de e-mail, websites com códigos maliciosos e diversas outras táticas de distribuição são, constantemente, utilizados para.

Os navegadores web, por exemplo, são alvos muito visados por criminosos devido à sua ampla distribuição e utilização. Se um usuário visitou algum site que contém um código malicioso, por exemplo, tal código pode explorar vulnerabilidades não corrigidas em seu navegador.

Serviços de e-mail também são alvos constantes, pois cibercriminosos podem enviar anexos de e-mail maliciosos, muitas vezes criados e vendidos por fornecedores internacionais de malware e spyware, que exploram vulnerabilidades em sistemas e aplicativos de correio eletrônico.

Outra forma de ataque muito comum é a utilização de arquivos inseridos diretamente nas redes. Seja por meio de um dispositivo USB (pen-drives e similares) ou pelo próprio tráfego de rede (conectando um dispositivo à infraestrutura), os criminosos podem injetar um spyware ou malware e aproveitar tais explorações para comprometer os sistemas atacados ou roubar dados confidenciais.

Visão e Controle

Costumamos repetir essas palavras como um mantra. São conceitos que norteiam nossas ações em torno da gestão de riscos em Segurança da Informação e resumem as principais questões ligadas aos processos e boas práticas que fazem parte da maioria dos checklists e frameworks utilizados pelo mercado. Esses conceitos guiam nossos passos, e é a partir deles que desdobramos o tratamento de riscos cibernéticos, pois são os passos essenciais para atingir um nível elevado de maturidade e cultura em Segurança da Informação.

Somente com a identificação de vulnerabilidades em ativos expostos à Internet pública, por meio de processos de gerenciamento da superfície de ataque (ASM – Attack Surface Management), e com a priorização da mitigação dessas vulnerabilidades, por meio de processos de gestão de vulnerabilidades baseada em riscos (RBVM – Risk Based Vulnerability Management) é possível diminuir a janela de exposição em uma operação de forma realmente eficaz.

Para que tais processos sejam desenvolvidos da forma adequada, é necessário garantir uma real visibilidade dos riscos e planejar um modelo de gerenciamento para a mitigação de tais riscos, implantando um programa de Segurança da Informação que tenha como base a gestão de vulnerabilidades baseada em riscos. Uma solução muito eficaz é o nosso Starter Pack, um pacote de soluções que engloba o GAT Security Score e o GAT Core como forma de fornecer uma solução completa para processos de gerenciamento da superfície de ataque e gestão de vulnerabilidades baseada em riscos, possibilitando real visão e controle dos riscos e vulnerabilidades.

Principais Desafios

A maioria das organizações que desejam atingir a maturidade em Segurança da Informação e implantar políticas para governança de vulnerabilidades cibernéticas estão, constantemente, enfrentando diversos desafios durante este processo. Frequentemente, relatam diversas dificuldades comum a todos, que listamos abaixo:

Gestão Manual em Planilhas

Um dos desafios mais comuns, relatados por diversas organizações, é a ausência de centralização de dados e orquestração de processos, o que permite um grande número de falhas. Muitas equipes ainda realizam o controle manual em planilhas, dificultando o acompanhamento, rastreabilidade e controle de forma colaborativa, enquanto criam mecanismos que se tornam defasados rapidamente e dependem de interações manuais para serem atualizados.

Visibilidade de Ameaças

A falta de visibilidade de riscos e vulnerabilidades tem um papel imenso entre os desafios encontrados com frequência, sendo o principal calcanhar de Aquiles em muitas organizações. O fato de uma vulnerabilidade existir e não ser identificada aumenta, a cada dia, a janela de exposição a riscos.

Priorização de Riscos

Uma vez que os riscos e vulnerabilidades são identificados, surge a dúvida sobre quais devem ser tratados antes, e em que ordem. Além do contexto de negócio, devem ser analisados os possíveis impactos de cada ocorrência e o nível de risco a que expõem a organização. Na maioria das vezes, os maiores riscos vêm de vulnerabilidades conhecidas publicamente, para as quais já há correção disponível, mas que não são tratadas com a devida importância.

Colaboração e Rastreabilidade

Com processos manuais de controle, falta de visibilidade de riscos e ausência de processos de priorização, o trabalho de forma colaborativa torna-se quase impossível. Não basta ter uma equipe altamente qualificada se os dados sobre riscos e vulnerabilidades não estiverem disponíveis para todos, de forma centralizada, com fácil acesso e alto nível de clareza.

Comunicação com C-Level

Os processos de identificação, análise e mitigação de riscos costumam ser extremamente técnicos, carregados de siglas e termos específicos, o que faz com que o discurso dos profissionais de Segurança da Informação seja de difícil compreensão por parte dos executivos de uma empresa. Este cenário pode dificultar a comunicação de riscos entre a equipe e contribuir, de forma negativa, para a compreensão dos riscos aos quais uma operação está sujeita.

Custo das Soluções

Com a maioria das ferramentas sendo desenvolvidas por empresas estrangeiras, o custo das soluções pode tornar-se proibitivo para muitas organizações, além de estar sujeito a variações de câmbio que podem fazer com que o valor flutue sensivelmente, dificultando a previsão orçamentária e, muitas vezes, inviabilizando sua utilização.

Falta de Integração entre Ferramentas

O excesso de ferramentas disponíveis no mercado, que nem sempre podem ser integradas, cria um enorme problema pois dificulta a consolidação dos dados e a orquestração de processos. Como consequência, isto traz falta de rastreabilidade para os processos, o que dificulta a mitigação de vulnerabilidades.

Integração e Automação como Aliadas

Nas organizações que investem em Segurança da Informação, há uma tendência maior em relação ao uso de tecnologia por parte das equipes de alto desempenho, que fazem uso de boas práticas com as quais outras organizações podem aprender muito. Em geral as equipes que demonstram melhores resultados fazem uso extensivo de automação e integração entre ferramentas para melhor executar suas funções, trazendo um ganho perceptível na otimização dos processos, além de uma considerável redução de custos.

Uma das formas mais eficazes de manter um alto nível de eficiência é por meio do uso de uma plataforma centralizadora como o GAT Core, que conta com alto nível de automação e concentra toda a operação de governança e gestão de conformidade e Segurança da Informação em um só lugar. Sabemos, porém, que, em grandes empresas, cada área trabalha com suas próprias ferramentas de gestão, monitoramento, análise e coleta de dados. Desde a correção de vulnerabilidades na infraestrutura até ferramentas de Service Desk, para receber chamados e atuar sobre os mesmos, são inúmeras as ferramentas focadas em Segurança da Informação.

Com isso em mente, desenvolvemos uma série de integrações e conectores nativos para ajudar a obter real visibilidade dos riscos e ameaças, criando integrações entre produtos de fabricantes distintos e com as mais variadas funcionalidades. O objetivo é criar uma base de dados centralizada, onde toda a gestão de Segurança da Informação é realizada com base na visão consolidada, propiciada por tais integrações, trazendo para uma única plataforma os dados de fontes diversas e com diversos enfoques aderentes ao contexto de negócio.

Gestão de Riscos Estruturada

Como você deve imaginar, não é fácil controlar todos esses processos e informações. Afinal, estamos falando de processos pontuais e dinâmicos que não favorecem a rastreabilidade, definição de workflows e mesmo follow-ups da equipe sobre os processos e projetos. Por isso, a melhor solução para gerenciar seu projeto é utilizar uma plataforma de gestão integrada de Segurança da Informação e conformidade como o GAT Core.

Por meio de integrações nativas, é possível importar informações vindas das principais ferramentas de varredura disponíveis no mercado, garantindo consistência, integração e orquestração eficiente de dados, com métricas de evolução, economia de tempo e precisão. O GAT Core possui integrações com as principais ferramentas de Segurança da Informação no mercado, tais como BugHunt, Tenable Nessus, Tenable.io, Burp Suite, Qualys, OpenVAS, InsightVM, Arachni, Have I Been Pwned?, Jira Service Desk e o GAT Security Score, entre tantas outras que podem ser integradas com a plataforma por meio da arquitetura de API aberta (OAS – OpenAPI Specification), sendo uma excelente opção para a centralização de dados e gestão de Segurança da Informação.

Desta forma, toda a equipe pode ter acesso aos dados críticos sobre riscos e vulnerabilidade, fazendo com que diferentes departamentos utilizem uma única plataforma para realizar a centralização de dados e a orquestração de processos. Da mesma forma que o departamento comercial utiliza uma plataforma de CRM, ou que diversas equipes utilizam um ERP, o GAT Core tornou-se a principal plataforma utilizada por equipes de gestão, compliance e Segurança da Informação em nossos clientes. Ao mesmo tempo em que as equipes utilizam a plataforma para a gestão de seus processos, o GAT Core também pode ser utilizado como um cockpit do C-Level, trazendo dashboards e indicadores claros que auxiliam nos processos de gestão de riscos.

A plataforma também traz a bordo os principais checklists de conformidade em cibersegurança e proteção de dados como CIS Controls, NIST Cybersecurity Framework, OWASP ASVS, ISO 27701, LGPD e outros, facilitando os processos e gerando economia significativa de custos.

Para entender como funciona, agende uma demonstração gratuita para obter uma visão integrada da gestão dos processos de conformidade. Agilize os processos de gestão e centralize todas as tarefas do seu programa de segurança em uma única plataforma — um avanço e tanto em relação às planilhas.