A vulnerability management (VM) é um programa mandatório; inclusive, em certos setores, para atender requisitos regulatórios. Quando madura, seus resultados levam a uma postura de segurança baseada em risco, com ações proativas para mitigar possíveis alvos e impacto nos negócios.

Porém, de acordo com o Gartner, essa abordagem pode ser insuficiente – mesmo quando bem praticada. De acordo com a consultoria, a VM, embora leve a listas de vulnerabilidades em segurança, nem sempre leva devidamente à cobertura de toda a superfície de exposição conforme o impacto de uma vulnerabilidade nos negócios. Essa falta de proximidade com stakeholders pode levar a uma fadiga operacional e, por consequência, a uma espécie de falta de energia para análise. 

Para evitar os efeitos nocivos disso, seria preciso realizar uma threat exposure management contínua (CTEM), envolvendo pessoas, processos e tecnologia, para endereçar as diversas ameaças e reduzir a exposição do ambiente a ataques no curto e médio prazos. Essa abordagem também incluiria detecção, investigação e resposta a ameaças (TDIR) e cyber-risk management.

Como seria a metodologia de threat exposure management que os autores do Gartner defendem?

O conceito de threat exposure management – CTEM

O Gartner cunhou o conceito de continuous threat exposure management – CTEM em 2022, que vem amadurecendo desde então. 

Por CTEM, a consultoria compreende uma abordagem estrutural e sistemática para avaliação, priorização, validação e remediação contínuas de exposição a riscos que podem ameaçar um negócio:

CTEM é  um conjunto de processos e competências que permitem a uma organização  avaliar contínua e consistentemente a acessibilidade, exposição e explorabilidade de seus ativos digitais e físicos.

O ciclo da threat exposure management

O Gartner estabelece o processo de threat exposure management com base em cinco passos:

1. Escopo
2. Descoberta
3. Priorização
4. Validação
5. Mobilização.

Esse processo seria contínuo e cíclico, portanto iterativo. Cada ciclo passaria por todos os seus cinco passos, perfazendo uma rotina – e aí está uma das grandes chaves de sucesso de um programa CTEM – conectada a compliance, configuração de ferramentas de segurança, threat hunting, testes de intrusão e outras simulações. 

Vejamos como cada um desses passos são descritos.

1. Escopo 

Nesta fase, o time de segurança vai identificar as operações críticas de negócio – a superfície de ataque ou os pontos de entrada. De acordo com o Gartner, o foco da definição do escopo deve ser em ativos, mais do que em compliance a uma regulação, por exemplo, e sistemas específicos. Para isso, é essencial envolver as altas lideranças e outras unidades de negócio, a fim de conhecer suas prioridades.

Os autores sugerem algumas perguntas, como:

• Que riscos de negócio precisamos mitigar?
• Que ataques são mais ameaçadores?
• Podemos agrupar tipos de exposição por vetor de ameaça (como phishing)?
• Conhecemos as portas de entrada do nosso ambiente?
• Já detectamos, e remediamos, tentativas de ataques ao ambiente?
• Temos métricas de resolução?

1. Descoberta

Trata-se da obtenção de uma grande visibilidade da superfície de ataque. Esse é um desafio à parte. Uma organização pode ter muitos pontos cegos ou mesmo desconhecidos em seu ambiente. Os autores recomendam a execução de uma gap analysis das tecnologias para identificá-los.

Depois, a equipe de segurança deve discriminar os alvos mais visíveis e mais atrativos para ataques, aproveitando esses dados para determinar requisitos de segurança.

2. Priorização 

Esta fase envolve a operacionalização de mecanismos para priorização de alvos expostos, como:

• RBA – risk based analysis
• Threat intelligence
• Data science.

O objetivo dessa fase não é mitigar todos os riscos, mas identificar os ativos de mais alto valor para o negócio cujo ataque maior impacto geraria para sua continuidade.

3. Validação 

Num nível mais profundo, o Gartner traz a validação, que define em termos de uma “avaliação de como uma vulnerabilidade ou exposição identificada pode ser explorada em um ataque, e de como os vários controles de segurança do SOC reagem”. 

Trata-se, portanto, de simulações ou de ataques em ambiente de produção a fim de verificar se (a) uma vulnerabilidade é acessível (a probabilidade de um ataque acontecer); (b) se os controles de segurança estão de fato lidando com o ataque (a probabilidade de haver um impacto alto); (c) se a telemetria do ataque é visível para as ferramentas de detecção; e (d) se os processos de contenção e recuperação são adequados. Testam-se, portanto, tecnologias, processos e pessoas.

O resultado da validação contínua, segundo os autores do Gartner, leva a resultados como identificação de fraquezas, benchmark da performance dos controles, oportunidades de melhoria e de automatização.

5. Mobilização

Envolve a decisão por um curso de ação e a operacionalização de um plano em cima dos achados anteriores, para a otimização de ferramentas, tecnologias e pessoas para lidar com as ameaças a que os ativos críticos da organização estão mais expostos, no curto e no longo prazo.

É o momento em que se deve trabalhar em aquisição de ferramentas, configurações de controles, criação de workflows de recuperação etc.

Da vulnerability management à threat exposure management: síntese

Em síntese, a defesa do Gartner busca uma maior correlação da vulnerability management com o negócio, isto é. com o ambiente corporativo e seus processos críticos que não podem parar. Isso, porque eliminar todas as ameaças é uma postura de todo impraticável e impossível de ser levada a cabo e, mais do que isso, não necessariamente leva a mais segurança.

A chave de um programa de threat exposure management bem-sucedido está em identificar e priorizar a eliminação e diminuição de ameaças que mais podem impactar um negócio. Para a consultoria, são essas organizações que estarão mais bem preparadas para proteger seus ativos. 

Isso, com vistas a uma redução de riscos com melhor custo-benefício e abrangência, assim como a otimizações no longo prazo.