0
0
Os ambientes modernos tornaram-se mais dinâmicos e a necessidade de técnicas de descoberta de ativos igualmente progressivas se intensificou. A nova Diretiva Operacional Vinculante (BOD) 23-01 da Agência de Segurança Cibersegurança e Infraestrutura (CISA) reconhece esse fato.
O que é BOD 23-01?
Embora seja obrigatória apenas para as agências civis federais dos EUA, a diretiva enfatiza a descoberta de ativos fundamentais e as capacidades de inteligência que todas as organizações devem possuir para estarem preparadas para as ameaças modernas. Sem a visão crítica que esses recursos fornecem, a eficácia de todas as outras iniciativas de segurança cibernética é prejudicada.
Nesta nova diretriz, a CISA reconhece que qualquer iniciativa de segurança cibernética começa com uma compreensão completa e precisa de todos os ativos cibernéticos que você possui e a superfície de ataque resultante que eles expõem. Em suma, você deve saber o que está tentando defender para defendê-lo com eficácia.
O BOD 23-01 exige que as agências governamentais executem varreduras abrangentes de descoberta de ativos pelo menos a cada 7 dias. Eles também devem realizar a enumeração de vulnerabilidades em todos os ativos descobertos pelo menos a cada 14 dias. O escopo dessas varreduras é amplo, para incluir qualquer dispositivo conectado por IP: um desktop ou servidor tradicional, equipamento de rede, câmeras de vídeo, dispositivos de roaming, etc.
Avaliando as capacidades atuais em relação ao BOD 23-01 da CISA
Embora qualquer profissional de segurança concorde que esse é um requisito básico e fundamental de higiene da segurança cibernética, pode ser uma tarefa assustadora para organizações com programas de inventário de ativos que ainda precisam acompanhar o cenário cibernético em evolução.
Abordagens modernas de infraestrutura de TI são cada vez mais complexas, com redes definidas por software, hipersegmentação, adoção generalizada de infraestruturas de nuvem multipúblicas, conteinerização e democratização da responsabilidade – e descobrir novos ativos de IP pode parecer inútil. É por isso que as organizações devem aproveitar várias técnicas complementares para descobrir esses ativos IP indescritíveis.
Escaneamento em rede
Uma técnica comum para lidar com os desafios de visibilidade é aproveitar as ferramentas de varredura de rede , que fazem um trabalho cada vez mais eficiente na localização de ativos, em um determinado intervalo de IP ou segmentos de rede conhecidos. No entanto, o aspecto mais difícil de cumprir esta diretiva é não verificar as redes que você conhece em busca de vulnerabilidades. Em vez disso, o maior desafio é identificar as redes e dispositivos que você não conhece .
A pesquisa ESG’s 2022 Security Hygiene and Posture Management indica que 35% dos profissionais acreditam que o inventário atual de ativos de suas organizações está incompleto e 25% dos profissionais de segurança cibernética admitem ter muitos ativos não autorizados e nenhum meio de descoberta.
Essa abordagem pode ser insuficiente ao lidar com redes segmentadas complexas com muitos cantos obscuros ou em arquiteturas de nuvem modernas em que a implantação e a desmontagem da infraestrutura são dinâmicas e automatizadas.
Ferramentas dinâmicas de inteligência de ativos
Outra abordagem popular para aumentar ou substituir a varredura de rede é usar a agregação de API para aproveitar a ampla gama de ferramentas e tecnologias que já estão implantadas no ambiente para gerenciar a criação e configuração da infraestrutura de ativos .
Ao acessar, agregar e correlacionar inteligência de ativos de todas essas fontes existentes, as organizações podem sintetizar uma visão abrangente de seu patrimônio cibernético – uma visão que inclui muito mais contexto e que pode ser inestimável em uma ampla variedade de cenários de segurança cibernética.
No entanto, esta abordagem também não é isenta de desafios. As organizações usam uma média de 10 sistemas para reunir apenas um inventário de ativos de TI, e 40% dos profissionais de TI e segurança cibernética dizem que dados conflitantes de diferentes ferramentas dificultam a criação de uma imagem precisa de seu ambiente. Mas, apesar desses desafios, o resultado pode valer o esforço.
Mesmo ao superar esses desafios, é importante lembrar que atender aos requisitos para varreduras de descoberta semanais e varreduras de vulnerabilidade quinzenais ainda é apenas o começo. A descoberta por si só não é o objetivo final, mas sim um meio para um fim.
O objetivo de longo prazo é maximizar a resiliência cibernética das organizações e reduzir o risco cibernético. À medida que você trabalha para estabelecer ou aprimorar esses recursos fundamentais, é fundamental manter isso em mente.
É de pouca utilidade descobrir um conjunto inteiramente novo de ativos, vulnerabilidades e riscos quando você não tem recursos suficientes para lidar com a pilha que já possui. Portanto, essas novas descobertas devem ser acompanhadas de contexto suficiente para ajudar suas equipes a priorizar com base no maior risco para a organização.
Cinco etapas para projetar um programa de inteligência de ativos à prova de futuro
Esta também é uma oportunidade para considerar as necessidades futuras de seu programa de segurança cibernética em evolução e amadurecimento. As organizações podem usar esse requisito como uma oportunidade de entregar além das expectativas da CISA e construir uma capacidade abrangente de inteligência de ativos.
Embora muitos fatores contribuam para a longevidade e o sucesso de qualquer iniciativa de segurança cibernética, existem cinco elementos de destaque para a construção de um programa de inteligência de ativos cibernéticos para escalar com o tamanho de uma organização e maturidade em evolução.
1. Concordar com uma definição comum e inclusiva de ativo
A definição herdada de um ativo de computação não é mais relevante, pois a linha de visão do adversário se estende muito além dos dispositivos de TI. Como a maioria das violações ainda envolve o elemento humano, seu inventário de ativos não deve ser limitado considerando apenas os ativos de computação tradicionais.
Lembrando que o objetivo é melhorar a resiliência cibernética e reduzir o risco, incentivamos as organizações a adotar uma definição muito mais ampla de “ativo”. Deve abranger tudo, seja físico, virtual ou conceitual, que possa gerar risco cibernético para o negócio.
Isso incluirá ativos de computação físicos e virtuais. Também deve incluir pessoas, conjuntos de dados, aplicativos/serviços, etc. Para entender e priorizar a ação baseada no risco, encorajamos as organizações a catalogar todos esses tipos de ativos e entender como eles se relacionam entre si.
2. Adote um processo universal em todos os ambientes, independentemente da complexidade
É comum que as organizações aproveitem várias infraestruturas de nuvem enquanto ainda mantêm a infraestrutura local herdada e os dispositivos de TI/OT. Normalmente, existem diferentes ferramentas, tecnologias e processos para medir e gerenciar políticas e riscos para cada um. Isso dificulta a capacidade de uma organização de ter uma visão comum, definir métricas e políticas comuns e priorizar as atividades de segurança cibernética em toda a organização.
Sempre que possível, é benéfico estabelecer um modelo e um repositório comuns e unificados nesses ambientes isolados para permitir um nível de consistência e entendimento comum.
3. Obtenha uma visão contínua e multidimensional de cada ativo
Embora fontes de dados isoladas possam causar confusão durante o ciclo de vida do gerenciamento de ativos, elas podem ser extremamente poderosas quando combinadas. Se você puder coletar essas informações e correlacioná-las em sua visão de ativos, poderá começar a calcular o risco e priorizar o esforço da equipe de maneira mais precisa e eficaz.
O truque, então, é agregar e correlacionar os dados dessas várias fontes em uma visão de ativos coesa e atualizá-los continuamente para mantê-los atualizados.
Essas diferentes ferramentas normalmente têm APIs públicas, que podem ser aproveitadas para extrair os dados de ativos e o contexto necessários para construir uma visão precisa e atual do cenário de ativos, bem como para monitorar o ambiente à medida que ele muda ao longo do tempo. Isso cria uma “fonte única de verdade” e uma perspectiva abrangente que pode ser usada para conduzir inúmeros casos de uso de segurança cibernética.
4. Avalie e priorize os riscos de acordo com a criticidade
De acordo com o National Vulnerability Database, mais de 8.000 vulnerabilidades foram publicadas somente no primeiro trimestre de 2022, com uma média de mais de 88 vulnerabilidades por dia.
Nenhuma organização tem o luxo (ou meios) de lidar com todas as vulnerabilidades ou riscos que identifica. Mais do que nunca, a segurança cibernética se tornou um exercício de priorização. A equipe que prioriza melhor, com base no risco, tem uma vantagem significativa. O maior impedimento para uma priorização eficaz é o contexto.
Com recursos limitados à sua disposição, a priorização eficaz torna-se uma habilidade crítica da equipe. Considere, por exemplo, uma vulnerabilidade crítica detectada em um ativo — mas quão crítico é que esse sistema seja corrigido imediatamente? Isso, é claro, depende do contexto: o ativo está em uma rede voltada para o público? Ele tem acesso ou está processando dados confidenciais? Ele está dando suporte a um serviço de negócios crítico? Está no mesmo segmento de rede que outro ativo que está? Existe uma exploração conhecida para a vulnerabilidade envolvida?
Ao criar sua estratégia e programa de inteligência de ativos, considere as decisões que você deseja apoiar e o contexto necessário para tomá-las de maneira eficaz. Em seguida, certifique-se de coletar esse contexto junto com as outras informações de ativos.
5. Alavancar a automação
Outra técnica complementar para lidar com o desequilíbrio entre ameaças e recursos é alavancar a automação. Na verdade, os profissionais de segurança cibernética e de risco concordam que automatizar tarefas e processos associados ao gerenciamento de ativos de segurança é a ação nº 1 com maior probabilidade de melhorar os programas (ESG, 2022).
No entanto, o problema com a automação é que ela requer um alto nível de confiança nos sinais recebidos para garantir que você esteja automatizando as ações corretas nas situações apropriadas.
Para que isso funcione, o contexto é fundamental. Concentrando-se na coleta do contexto de alta fidelidade correto, juntamente com sua inteligência de ativos, você pode ter certeza de permitir o uso adequado da automação para atuar como um multiplicador de força para sua equipe. Como parte fundamental do seu programa, você precisa pensar sobre quais etapas podem ser totalmente automatizadas e definir o contexto necessário para habilitá-lo.
Qual é o próximo?
Embora muitos possam dizer: “Bem, não sou uma agência federal, então não preciso me preocupar” , não seja pego de surpresa. Esses tipos de mandatos estabelecem rapidamente o precedente para o que é considerado o “padrão de atendimento” apropriado. Se você não atender a esse padrão, as coisas podem ficar complicadas se sua organização sofrer um incidente significativo.
O BOD 23-01 é um mandato importante que estabelecerá um precedente e ajudará a melhorar a higiene da segurança cibernética nas áreas de descoberta de ativos e avaliação de vulnerabilidades. Mais importante, é uma oportunidade para todas as organizações olharem para o futuro e avaliarem os recursos dinâmicos de inteligência de ativos cibernéticos necessários para apoiar sua postura cibernética e aspirações de resiliência.
Antes de fazer qualquer outro investimento significativo ou iniciar mais iniciativas, observe as informações e o contexto que você reteve nos investimentos em ferramentas e tecnologia que você já fez.
FONTE: HELPNET SECURITY