Nenhuma organização pode se proteger contra todos os eventos de segurança cibernética.
Em vez disso, comprometa-se a lidar com as exposições que mais ameaçam seus negócios.
Uma necessidade crescente de gerenciamento contínuo de exposição a ameaças
Os invasores de segurança cibernética de hoje mudam rapidamente, deixando as organizações lutando para automatizar controles e implantar patches de segurança para acompanhar, mas essas táticas não reduzem a exposição futura. O que é necessário é um programa de gerenciamento contínuo de exposição a ameaças (CTEM - Cycle Of Continuous Threat Exposure Managment) que apresente e priorize ativamente o que mais ameaça seus negócios. A criação de qualquer programa desse tipo requer um processo de cinco etapas.
Escopo para exposição à segurança cibernética, primeiro para ameaças externas e SaaS
Comece definindo o escopo da "superfície de ataque" da sua organização – pontos de entrada e ativos vulneráveis – que se estende além do foco dos programas típicos de gerenciamento de vulnerabilidades. Inclua não apenas dispositivos, aplicativos e aplicativos tradicionais, mas também elementos menos tangíveis, como contas corporativas de mídia social, repositórios de código online e sistemas integrados de cadeia de suprimentos.
As organizações que desejam pilotar sua primeira iniciativa CTEM podem considerar uma das duas áreas a seguir:
Superfície de ataque externa, que combina um escopo relativamente estreito com um ecossistema crescente de ferramentas.
Postura de segurança SaaS, que se tornou uma área de foco cada vez mais importante à medida que mais trabalhadores remotos resultaram em dados de negócios mais críticos hospedados em SaaS.

Desenvolver um processo de descoberta de ativos e seus perfis de risco
Embora muitos processos de descoberta se concentrem inicialmente em áreas do negócio que foram identificadas durante o escopo (Etapa nº 1), eles devem prosseguir para identificar ativos visíveis e ocultos, vulnerabilidades, configuração incorreta e outros riscos.
A confusão entre escopo e descoberta costuma ser a primeira falha ao criar um programa CTEM. O volume de ativos e vulnerabilidades descobertos não é um sucesso por si só; É muito mais valioso definir com precisão o escopo com base no risco comercial e no impacto potencial.
Priorize as ameaças com maior probabilidade de serem exploradas
O objetivo desse processo não é corrigir todos os problemas de segurança. A priorização deve levar em consideração:
Urgência
Segurança
Disponibilidade de controles de compensação
Tolerância para superfície de ataque residual
Nível de risco representado para a organização
A chave é identificar os ativos de alto valor do negócio e focar em um plano de tratamento que os aborde.
Validar como os ataques podem funcionar e como os sistemas podem reagir
Primeiro, confirme se os invasores podem realmente explorar uma vulnerabilidade, analisar todos os possíveis caminhos de ataque ao ativo e identificar se o plano de resposta atual é rápido e substancial o suficiente para proteger os negócios.
Também é fundamental convencer todas as partes interessadas do negócio a concordar sobre quais gatilhos levam à correção.
Mobilizar pessoas e processos
Você não pode confiar totalmente na promessa de correção automatizada (embora possa fazer sentido para algumas questões óbvias e discretas). Em vez disso, comunique seu plano CTEM à equipe de segurança e às partes interessadas do negócio e certifique-se de que ele seja bem compreendido.
O objetivo do esforço de "mobilização" é garantir que as equipes operacionalizem as descobertas do CTEM, reduzindo quaisquer obstáculos às aprovações, processos de implementação ou implantações de mitigação. Em particular, documente os fluxos de trabalho de aprovação entre equipes.
O gerenciamento contínuo da exposição a ameaças é uma abordagem sistêmica pragmática e eficaz para refinar continuamente as prioridades e andar na corda bamba entre duas realidades de segurança modernas. As organizações não podem consertar tudo, nem podem ter certeza absoluta de qual correção de vulnerabilidade podem adiar com segurança.
(Jeremy D'Hoinne, analista vice-presidente do Gartner)
Comentarios