O modelo para uma solução EASM altamente eficaz

Views: 246
0 0
Read Time:4 Minute, 56 Second

Nesta entrevista da Help Net Security, Adrien Petit, CEO da Uncovery , discute os benefícios que as organizações podem obter da implementação de soluções de gerenciamento de superfície de ataque externo (EASM), os recursos essenciais que uma solução EASM deve possuir e como ela lida com a descoberta de sistemas ocultos.

Quais são os principais recursos que uma solução EASM robusta deve ter?

Dado que o objetivo é dominar os ativos expostos na Internet, qualquer solução EASM deve ser capaz de fornecer as seguintes quatro capacidades principais:

  • Descoberta de ativos (seja no local ou na nuvem) e sua manutenção dentro de um inventário
  • Monitoramento contínuo dos ativos ao longo do tempo e regularmente para identificar quaisquer alterações
  • Avaliação e priorização dos níveis de risco dos ativos (configurações incorretas, vulnerabilidades, ativos não autorizados, etc.)
  • Integração com ferramentas (tickets, mensagens, SIEM) usadas pelas equipes operacionais para facilitar a remediação/mitigação

Que tipos de organizações podem beneficiar mais com a implementação de soluções EASM?

Uma solução EASM demonstra o seu valor para empresas e organizações – de todos os setores – com um perímetro grande e/ou fragmentado. Isto também se aplica às empresas para as quais a mudança digital é complexa (particularmente as do setor industrial).

No entanto, mesmo que as soluções EASM gerem real interesse entre as grandes empresas, a sua adoção ainda não está generalizada: de facto, a necessidade de dominar todos os ativos expostos na Internet e conhecer o seu nível de risco ainda não é adquirida por todos os profissionais de segurança.

É por isso que a adoção é mais forte nos setores mais maduros em termos de segurança: bancos/seguros, alta tecnologia, telecomunicações, varejo e governo.

No que diz respeito às PME, estas têm um número limitado de ativos expostos (um site e uma UN que utilizam essencialmente soluções SaaS), uma exposição naturalmente bem controlada e, portanto, um legítimo baixo interesse em soluções EASM.

Como as ferramentas EASM se integram a estruturas e soluções de segurança cibernética, como Cloud Security Posture Management (CSPM) e scanners de vulnerabilidade?

O facto de as soluções EASM integrarem nativamente funcionalidades de descoberta/monitorização de ativos críticos e avaliação do seu nível de risco garante o cumprimento dos requisitos exigidos pela ISO 27001 , NIS 2 ou DORA.

As ferramentas EASM podem alimentar dados sobre ativos externos em soluções como CSPM ou CAASM (que dependem de integrações de API com ferramentas existentes). Isso garante que as equipes tenham uma visão atualizada da superfície de ataque da organização.

Os scanners de vulnerabilidade também podem se beneficiar de um inventário preciso e atualizado, mas na direção oposta, uma solução EASM pode integrar diretamente um scanner de vulnerabilidade. Isto enriquece a forma como o risco é avaliado. Combinado com a inteligência sobre ameaças, economiza tempo das equipes e permite que elas se concentrem exclusivamente nos ativos mais críticos.

Quais métricas principais devem ser monitoradas para um programa EASM eficaz?

Duas métricas quantitativas baseadas na cobertura e precisão podem ser usadas:

  • Do ponto de vista da descoberta: durante a inicialização, é importante garantir que a solução identifica mais ativos do que os já conhecidos (ex. número de subdomínios, websites, etc.) pelas equipas operacionais. No entanto, uma solução EASM não deve adicionar uma carga de trabalho desnecessária às equipas operacionais, razão pela qual deve fornecer um inventário livre de falsos positivos.
  • No que diz respeito ao monitoramento contínuo: os ativos recentemente descobertos, desativados (permanente ou temporariamente) ou reexpostos devem ser relatados em tempo real e não identificados dias/semanas depois.

Quanto ao aspecto qualitativo:

  • Para priorizar o processamento dos diversos ativos reportados, a avaliação do nível de risco dos ativos expostos deve ser adaptável/modular (capacidade de propor novos módulos de descoberta e avaliação), baseada em padrões adotados por profissionais, e correlacionada com a realidade atual em termos de vetores de ataques cibernéticos (serviços de acesso remoto, dispositivos VPN, vulnerabilidades críticas com exploração pública, etc.).
  • A solução não deve ser fechada e oferecer a possibilidade de integração com as ferramentas mais utilizadas pelo pessoal operacional.

Como o EASM lida com a shadow IT e como ele difere de outras soluções de segurança na descoberta desses sistemas ocultos?

É importante ressaltar que um EASM não cobre toda a shadow IT de uma empresa: o telefone (ou computador pessoal) de um funcionário usado na rede WiFi da empresa, por exemplo, é um caso de uso que não é abordado, assim como um SaaS aplicativo de mensagens (ou contabilidade, RH, etc.) no qual um funcionário se registrou com seu endereço de e-mail profissional.

No entanto, uma solução EASM é perfeitamente adequada para identificar nomes de domínio registados por uma subsidiária (ou agência web) que não tenham sido declarados ao Grupo. Da mesma forma, um site colocado online por um desenvolvedor, mas desconhecido da equipe central, pode ser facilmente identificado.

O principal diferencial no qual temos trabalhado arduamente é a forma como caracterizamos e classificamos todos os elementos (certificados TLS, Google Analytics, favicon, etc.) que compõem o mapeamento obtido. É possível realizar pivôs com base nesses elementos, e assim identificar ativos shadow IT que podem ser adicionados ao inventário inicial de ativos expostos.

Muitas plataformas EASM anunciam interfaces fáceis de usar. Por que isto é tão crítico para o sucesso da implementação e operação do EASM dentro de uma organização?

Cada vez mais utilizadores operacionais não técnicos, bem como gestores, utilizam soluções de cibersegurança, e isto aplica-se ao EASM. É por isso que é vital tornar os dados compreensíveis, acionáveis ​​e sintetizados para facilitar a geração de relatórios.

Por outro lado, as equipas encontram-se a acumular soluções (dezenas delas) para cobrir as suas diferentes necessidades, pelo que é essencial fornecer interfaces fáceis de utilizar para garantir um certo nível de aderência ao produto e evitar um efeito decepcionante que leve ao seu não utilização e consequentemente o seu abandono.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS