0
0
Mais um ano de ataques cibernéticos de alto nível, mais um ano batendo nos tambores da segurança cibernética. Claramente, estamos perdendo algumas notas. O gerenciamento de superfície de ataque ( ASM ) é decisivo para as organizações, mas antes de chegarmos à lista usual de práticas recomendadas, precisamos aceitar que o gerenciamento de superfície de ataque não se limita à superfície . Só então podemos identificar e proteger ativos vulneráveis contra o risco cibernético.
Vale a pena considerar aqui o termo “superfície”. Dada sua definição literal, é natural que as organizações se concentrem nos elementos externos de seus negócios. Mas, na verdade, a superfície de ataque refere-se a todos os ativos que podem ser potencialmente expostos e explorados em um ataque cibernético. Isso inclui ativos voltados para o exterior, como nuvens públicas, computadores desktop, mas também tudo o mais dentro da organização.
Definindo os fundamentos do ASM
O ASM se enquadra no amplo guarda-chuva do gerenciamento de exposição (EM), junto com o gerenciamento de vulnerabilidade e o gerenciamento de validação. Com tantos termos e acrônimos semelhantes, mas distintos, aglomerados, não é surpresa que haja confusão sobre o que é o quê.
ASM também é comumente mal interpretado como uma solução ou processo específico, muitas vezes pelo marketing do fornecedor excessivamente entusiasmado. Em vez de ser uma ferramenta específica, o ASM é uma abordagem que deve abranger várias soluções e atividades diferentes.
Existem três componentes principais para uma estratégia ASM:
Gerenciamento de superfície de ataque externo (EASM) – A área geralmente é confundida com ASM em geral. Esse aspecto do ASM se concentra apenas em ativos voltados para o público, como nuvens públicas.
Serviços de proteção contra riscos digitais (DRPS) – com foco na visibilidade da inteligência de ameaças de fontes como a deep web, redes sociais e contêineres de dados abertos. Esta capacidade mais avançada requer um alto nível de maturidade cibernética.
Gerenciamento de superfície de ataque de ativos cibernéticos (CAASM) – Considerado a pedra angular da prática de ASM, o CAASM trata de coletar dados relacionados às vulnerabilidades da organização e gerenciá-los com eficiência.
Por que o ASM é crítico hoje?
Uma abordagem ASM sólida é essencial para obter uma visão coerente das ameaças enfrentadas pela organização e priorizar adequadamente a correção. Sem essa visão unificada, é difícil sair da segurança responsiva e instintiva e pensar além das táticas para o quadro estratégico maior. Também é difícil para os CISOs vincular o valor de seu trabalho a líderes de negócios não técnicos nesse caso. A diretoria não quer ouvir falar do CVE 12345. Eles querem saber seu potencial impacto nos negócios e por que corrigi-lo é importante.
As empresas que ainda não adotaram uma abordagem ASM ainda se concentram em vulnerabilidades individuais, e não no risco comercial. Isso torna infinitamente mais difícil entender e priorizar efetivamente os esforços de segurança sem o contexto comercial mais amplo.
Depois, há as empresas que tentam realizar atividades de ASM, mas sem as ferramentas e processos adequados. Encontramos muitas empresas que ainda usam planilhas do Excel para rastrear seu gerenciamento de riscos internos e externos. Isso cria uma carga de trabalho manual desnecessariamente para todos os envolvidos, é altamente ineficiente e torna muito mais provável que os riscos críticos passem despercebidos.
Por fim, existem empresas que perceberam a necessidade de uma abordagem mais organizada para ASM e estão em condições de começar a investir em ferramentas e processos para alcançá-la.
Quais são os principais desafios em começar com o ASM?
O primeiro desafio é entender as necessidades de segurança da organização em relação ao ASM e como ele se encaixa em práticas semelhantes, mas distintas, como o EM. O próximo passo é comunicar essas diferenças ao conselho e garantir sua adesão para os investimentos necessários. Novamente, a simplicidade é o objetivo, com ênfase no fato de que o ASM deve identificar e mitigar os riscos de negócios e melhorar a situação geral de segurança da empresa.
A próxima tarefa é superar os silos de TI que dividem os negócios. As equipes externas e internas de segurança e TI nem sempre estão no mesmo livro, muito menos na mesma página. (Sem mencionar outros departamentos adjacentes de segurança de TI, como equipes de DevOps, nuvem e web.)
Cada grupo tem sua própria agenda, com suas próprias ferramentas e processos distintos. Mesmo dentro da mesma equipe, provavelmente haverá várias soluções desconectadas – de scanners de vulnerabilidade a configurações de código.
Para construir uma abordagem ASM eficaz e unificada, precisamos substituir essas paredes de silo e estabelecer uma visão normalizada em todas as áreas de negócios relevantes. Todos os dados de risco devem estar fluindo para o mesmo ponto, visíveis ao mesmo tempo, no mesmo formato para que o CISO tenha visibilidade clara de tudo.
Quanto maior e mais antiga a organização, mais desembaraço é necessário para alinhar os departamentos que cresceram e evoluíram de forma independente ao longo dos anos. Enquanto isso, empresas menores que trabalham com apenas um punhado de pessoas em TI e segurança terão muito mais facilidade em unir tudo.
Unificando a segurança sob ASM
O conjunto certo de ferramentas pode ajudar bastante na agregação de vários feeds de dados de ameaças e vulnerabilidades e no estabelecimento de um único painel de visualização para o risco cibernético.
O primeiro passo é alinhar todos e cada equipe. (É mais fácil falar do que fazer.) Deve haver uma visão unificada de risco e KPIs universais para mitigar vulnerabilidades. Isso permitirá que os riscos sejam priorizados em toda a organização a partir de um único ponto de referência.
Sem os silos, também é possível identificar onde processos, ferramentas e tarefas são duplicados desnecessariamente. As redundâncias podem ser eliminadas e uma maior automação pode ser adotada para aumentar a produtividade entre as equipes. À medida que a estratégia interna de ASM amadurece, a empresa pode ampliar seu escopo para começar a implementar o CAASM e assumir mais inteligência de ameaças.
Ao ir além do ASM de nível superficial, a organização não apenas terá uma abordagem mais unificada e eficiente para sua atividade de segurança, mas também será capaz de identificar proativamente ameaças potenciais de qualquer fonte e mover-se rapidamente para desligá-las.
FONTE: HELPNET SECURITY