SecOps

Patch backlog: por que otimizar com CTEM

porMarketing

De acordo com o Gartner, apenas 5% das vulnerabilidades são corrigidas por mês. O vulnerability management falha exatamente na mobilização porque o patch backlog é tão extenso que as equipes ficam sobrecarregadas. 

O backlog contém patches para:

  • Falso positivo de exposição 
  • Priorização equivocada, que desvia a atenção de riscos verdadeiramente críticos
  • Controles defensivos subotimizados, que falham em performar como esperado sob condições de ataque.

Então, apesar dos milhões investidos em scanners e controles defensivos, a maioria das organizações não consegue construir resiliência contra ameaças ou reagir rápido o suficiente quando vulnerabilidades são identificadas. 

Uma outra ferramenta de ponta ou mais analistas podem não ser suficientes. A razão: o problema não é mais técnico, e sim de processo.

O modelo tradicional de gestão de vulnerabilidades (VM), focado puramente em escaneamento e detecção baseada em severidade e risco técnico, está atingindo seu limite operacional. Quando toda falha é medida pela mesma régua técnica, tudo vira prioridade. 

A solução para esse gargalo passa por uma mudança de paradigma. 

É aqui que o framework CTEM – Continuous Threat Exposure Management, criado pelo Gartner, oferece um direcionamento novo para a eficiência no gerenciamento do backlog de remediação.

Banner CTA DataRunk CTEM

Qual o fator que limita a VM no patch backlog?

Um programa forte de VM oferece:

 

  • Descoberta contínua de vulnerabilidades
  • Fluxos de patch e controles compensatórios
  • Verificação (auditabilidade e evidencia)
  • Métricas de saúde operacional (SLAs de compliance, tempo de remediação do backlog etc.)

 

No entanto, de acordo com o CTEM.org o grande fator que limita a VM é a qualidade da decisão para mobilização (mesmo em programas de VM avançados).

 

  • Quais descobertas são realmente acessíveis por atacantes reais?
  • Quais delas estão em um caminho para joias da coroa ou dados confidenciais?
  • Quais exposições não podem ser corrigidas de forma alguma (identidade, má configuração, postura de SaaS, acesso de fornecedor)?
  • Quais correções exigem propriedade e sequenciamento de várias equipes?

 

A VM tradicional geralmente decide a correção pela gravidade técnica de CVEs em inventários de ativos internos. O CVSS é uma informação importante, mas não a decisão porque ele não qualifica a explorabilidade de um ativo dentro do ambiente, respondendo se ela pode levar a um incidente. 

Dessa forma, dentro do domínio de uma VM, você precisa enriquecer a priorização com evidências da explorabilidade de um CVE (como CISA KEV).

O que o CTEM facilita no patch backlog?

O framework CTEM é um conjunto de processos que formam um programa de redução da exposição do negócio.

Suas cinco etapas produzem impactos que vão facilitar a gestão do patch backlog:

  1. Escopo: não simplesmente o scan de tudo, mas um scan intencionalmente guiado por um problema considerado crítico para o negócio. Isso pode incluir o escopo da VM e ir além dela, envolvendo superfície de ataque externa, por exemplo. O CTEM pode ser mais amplo, incluindo escopos em toda a superfície de ataque. 
  2. Descoberta: identificar exposições em múltiplos cenários, como externos, identidades, código, cadeia de suprimentos etc., criando um inventário de exposição. O CTEM vai além do tradicional fluxo baseado em CVEs. 
  3. Priorização: não simplesmente em função da severidade, mas do risco material, sendo o ponto onde o patch backlog vai ser realmente domado. Mesmo que um VM baseado em risco melhore a priorização de CVEs, o escopo do CTEM inclui não apenas CVEs. Ao final desta etapa você deve extrair uma short list das exposições que importarão para responder ao problema do escopo. 
  4. Validação: testar se a exposição é explorável e quais os seus impactos com dados confiáveis. Em vez de parar na priorização e sair corrigindo todas as vulnerabilidades com nota 9.0 no CVSS, o framework evidencia se os controles de segurança atuais já mitigam uma vulnerabilidade, mesmo sem o patch. Se um controle compensatório está funcionando, o patch pode ser movido para uma prioridade menor, reduzindo imediatamente o backlog imediato. 

    Outro cenário: se uma vulnerabilidade nota 9.8 está em um servidor isolado, sem acesso à internet, ela é menos prioritária do que uma nota 6.0 que está em um caminho crítico de ataque.Sem CTEM, o time gastaria energia no 9.8 irrelevante enquanto o 6.0 perigoso permaneceria aberto.

    A etapa de validação do CTEM é desenhada para que o foco recaia naquelas vulnerabilidade que realmente fazem parte de um caminho de ataque viável e, certamente, bem-sucedido de um adversário.

  5. Mobilização: engajar as equipes para a remediação e mudança que reduzam de fato a exposição, mais do que a remediação de um alto volume de vulnerabilidades. Na prática, isso significa reportar redução de exposição em fluxos de alto risco (como pagamentos) e tempo médio de remediação de exposições validadas. 

Todas as etapas do CTEM visam elevar a intencionalidade do programa, além da continuidade dele. Ele muda o modo pelo qual escopo, priorização e validação são executados.

 

Usando VM dentro do CTEM para dar intencionalidade ao patch backlog

Dito isso, pode parecer que a escolha entre CTEM e VM seja do tipo ou-ou. Embora ambos tenham diferenças, a escolha não é ou-ou.

A vulnerability management é um input crítico para o CTEM. As fontes de dados e os achados da VM devem ser incluídos dentro do programa, sendo o CTEM o framework de governança para redução de risco de exposição através da geração de um backlog de exposição relacionado a resultados do negócio.

O CTEM não é uma atualização de ferramenta, e sim um programa transversal. Dessa forma, a camada do CTEM vem para assegurar que os resultados da VM se traduzam em redução de exposição real do negócio em termos de “redução de exposição” e não apenas “quantidade de patches aplicados”. Isso eleva a conversa para um nível estratégico, onde o orçamento e o esforço são direcionados para o que protege a continuidade do negócio.

CTEM é otimização da postura de segurança, mais que apenas remediação 

O CTEM visa a ampla e rápida otimização da postura de segurança, mais do que a pura remediação de vulnerabilidades (de todo inviável), buscando, para isso, a transversalidade e alinhamento constante às prioridades de negócio e às expectativas executivas.

A urgência para esta abordagem é clara. Benchmark de resultados da Cymulate trazem:

  • 52% menos exposições críticas
  • Priorização 60% mais eficiente. 

O Gartner prevê que, até 2026, organizações que priorizam seus investimentos em segurança com base em um programa CTEM realizarão dois terços menos violações.

Se a sua empresa quer superar a luta contra volumes ingerenciáveis de vulnerabilidades não resolvidas, evoluir o programa VM para um CTEM vai levar o olhar para a validação contínua e a priorização baseada em risco real.

E nós podemos ajudar a implantar, operar e fazer a governança do seu programa CTEM a partir de uma estrutura de VM. Confira a nossa proposta de valor completa.

DataRunk SOC

Some nossa experiência e conhecimento técnico a cinco frentes do seu SOC

SIEM

SOAR

Detecção e resposta

Threat hunting

Cyber threat intelligence

Quero reforços

Explore conteúdos relacionados: