CISO2CISO.COM & CYBER SECURITY GROUP

Attack Surface Management by Claudio Benavente Cyber Security Advisor

Muito tem se falado sobre como ser mais preditivo e gerenciar riscos de cibersegurança de maneira mais abrangente. Com a adoção cada vez mais crescente de soluções em nuvem, o trabalho e acesso remotos, com o enorme número de dispositivos conectados à internet, faz com que a superficie de ataque aumente e consequetentemente os riscos cibernéticos.

Nesse sentido, um dos temas que vem sendo abordado como “innovation trigger” é o “External Attack Surface Management”, onde procura-se minimizar as vulnerabilidades e dar aos atacantes menos oportunidades de comprometer a rede e os dispositivos de uma organização.

A superfície de ataque de uma organização é composta por todos os ativos de hardware, software, SaaS e nuvem acessíveis pela Internet que processam ou armazenam seus dados que podem ser descobertos por um invasor. Resumindo, sua superfície de ataque é qualquer ativo externo que um adversário possa descobrir, atacar e usar para se firmar em seu ambiente.

Uma das maneiras de reduzir essa superfície de ataque é ter um programa adequado de gestão de vulnerabilidades e de gerenciamento de superfície de ataque, fazendo uma análise das operações para descobrir vulnerabilidades em potencial e entender o cenário. Essas informações devem ajudar a desenvolver um plano, mas o sucesso depende da execução desse plano em toda a rede, sistemas, canais e pontos de contato da organização.

Realidade: Falta de visibilidade da superfície de ataque da organização

A realidade é que 69% das organizações foram comprometidas devido a um ativo externo desconhecido, 73% das organizações confiam em planilhas para gerenciar sua superfície de ataque e são gastas mais de 80 horas para obter uma visão completa das superfícies de ataque. (ESG, Security Hygiene & Posture Management Survey – 2H2021)

O que é necessário para o sucesso?

Para se montar uma defesa adequada, devemos entender quais os ativos estão expostos (potenciais alvos), quais as proteções necessárias, e o mais importante, ter a perspectiva do atacante. Portanto, aumentar a visibilidade da superfície de ataque, bem como os tipos de vulnerabilidades em computadores ou servidores mais antigos, sistemas sem patches, aplicativos desatualizados e dispositivos IoT expostos, é fundamental.

Entendendo os riscos, podemos modelar o que acontecerá antes, durante e depois de um ataque, agregando informações de possíveis perdas financeiras, danos reputacionais ou de imagem, enriquecendo o processo de análise de impacto nos negócios e direcionando os investimentos a serem priorizados.

Não foi fornecido texto alternativo para esta imagem

Obviamente, nem todas as vulnerabilidades precisam ser tratadas e algumas até persistirão. A estratégia de segurança cibernética deve incluir processos para identificar quais fontes são mais propensas a serem exploradas e que devem ser mitigadas e monitoradas.

Outros passos são importantes, como protocolos de autenticação e controles de acesso fortes, manter e testar backups de dados críticos, segmentação de rede para minimizar danos, usar criptografia sempre que possível e estabelecer limites nas politicas de BYOD. Além disso, uma das peças chave na engrenagem de cibersegurança, é o monitoramento contínuo e testes regulares, como os penetration tests e testes continuos de Red Team automatizados (CART).

O uso de automação, inteligência artifical e machine learning, ainda é algo a ser melhor explorado pelas organizações e se tornam cruciais para que a defesa cibernética seja mais preditiva, tenha ampla visibilidade da exposição dos ativos e responda mais rápido aos ataques cibernéticos.

Em suma, não se trata apenas do processo de gestão de vulnerabilidades, mas sim de um processo de gerenciamento de exposição, ampliando a visão da organização de suas fragilidades considerando a perspectiva do atacante e endereçando correções antes da materialização do risco.

“As postagens neste site são minhas e não representam necessariamente as posições, estratégias ou opiniões da IBM.”

Leave a Reply

Your email address will not be published.