CTEM: a nova fronteira na gestão contínua de exposição a ameaças

O CTEM, ou Continuous Threat Exposure Management, vai além das práticas tradicionais de gestão de ameaças; oferece uma visão contínua e dinâmica das vulnerabilidades da organização.

Com a capacidade de monitorizar e avaliar constantemente o ambiente de IT, esta abordagem permite que as organizações se adaptem rapidamente às novas ameaças e implementam medidas de mitigação mais eficazes antes de os ciberataques causem danos significativos.

CTEM, onde difere?

Sergio Pedroche, Country Manager para Portugal e Espanha da Qualys, refere que o CTEM é uma “abordagem proativa” que “procura identificar, priorizar e mitigar continuamente a exposição a ameaças em ambientes organizacionais”. Ao contrário das abordagens mais tradicionais, diz Sergio Pedroche, o CTEM “dá ênfase a um ciclo contínuo e dinâmico de avaliação de riscos” que “permite que as organizações mantenham uma visão atualizada e contextualizada das suas vulnerabilidades, possibilitando a tomada de decisões informadas”.

Para Chester Wisniewski, Director e Global Field CTO da Sophos, esta abordagem difere de outras “na medida em que, em vez de ter uma atitude reativa em relação aos patches de software dos fornecedores e de se focar nos ativos controlados pela empresa, adota uma visão mais proativa e holística da segurança”. O objetivo, acrescenta, “é tentar equilibrar o risco potencial para os negócios como uma componente- chave de criar mitigações mais robustas para os sistemas mais importantes e de alto risco das empresas, incluindo por exemplos os componentes SaaS”.

	“Um aspeto fundamental” da adoção de CTEM é “garantir a visibilidade total da superfície de ataque, com ferramentas que proporcionem uma visão abrangente e em tempo real. A automatização dos processos, por sua vez, ajuda a reduzir a carga das equipas e a aumentar a eficiência” Sergio Pedroche, Country Manager para Portugal e Espanha da Qualys

Sergio Pedroche afirma que “a capacidade de dar prioridade aos recursos de forma eficaz, abordando as vulnerabilidades mais críticas com base no contexto empresarial e no seu potencial impacto” é um dos benefícios do CTEM. Ao fornecer uma visão contínua e holística, como já foi referido, o CTEM “melhora a capacidade de resposta, reduzindo os tempos de deteção e mitigação” e permite, por outro lado, “o alinhamento entre as equipas técnicas e as prioridades estratégicas da organização”.

No mesmo sentido, Chester Wisniewski explica que “a implementação proativa de controlos de segurança para os ativos mais valiosos ajuda a evitar violações, bem como a reforçar a capacidade de as isolar e conter, se e quando ocorrerem. Esta abordagem é normalmente adotada a nível de empresa, e não apenas pela equipa de segurança, o que também aumenta a sensibilização para a cibersegurança e consegue mais adesão por parte dos líderes das empresas, geralmente executivos não técnicos, que ficam mais alerta e bem preparados para agir quando for necessário”.

Os cinco passos do CTEM

Scoping, discovery, prioritzation, validation e mobilization são os cinco passos do Continuous Threat Exposure Management.

Chester Wisniewski, da Sophos, refere que a definição do âmbito – no primeiro destes passos – é “fundamental para que todo o ciclo possa ser concluído num período de tempo razoável e começar a produzir resultados mais imediatos para os ativos mais valiosos”.

“A implementação proativa de controlos de segurança para os ativos mais valiosos ajuda a evitar violações, bem como a reforçar a capacidade de as isolar e conter, se e quando ocorrerem. Esta abordagem é normalmente adotada a nível de empresa, e não apenas pela equipa de segurança, o que também aumenta a sensibilização para a cibersegurança” Chester Wisniewski, Director e Global Field CTO da Sophos

Depois, continua, “pode começar-se a examinar esses ativos e a atribuir-lhes classificações de risco e importância para o negócio” o que “requer a colaboração de toda a empresa para que se possa identificar de forma frequente ativos críticos que podem ser desconhecidos para as equipas de IT e de segurança”.

No terceiro ponto, Chester Wisniewski alerta que “a definição de prioridades pode ser difícil”, uma vez que “deve equilibrar não apenas o risco, mas também a facilidade de disponibilizar um controlo compensatório e qual a urgência segundo a superfície de ataque do ativo”.

A parte de validação, por seu lado, “existe alguma criatividade” para que “se pense como um atacante. Por vezes, os atacantes não tentam entrar pela ‘porta da frente, mas sim por uma mais lateral de forma a contornarem os controlos mais essenciais”.

Por último, a fase de mobilização consiste, explica o representante da Sophos, em “conseguir que a administração da empresa concorde com o plano e em reduzir as dificuldades que podem surgir durante a implementação dos controlos ou das medidas de mitigação. Todos precisam de remar o barco na mesma direção”.

Os desafios mais comuns e as melhores práticas

Para Sergio Pedroche, da Qualys, a dificuldade de integrar as soluções de segurança existentes numa abordagem unificada ou a escassez de recursos especializados são alguns dos principais desafios que as organizações enfrentam ao adotar o CTEM, o que, diz, “dificulta a análise e a gestão de informações geradas pelo processo”.

Ao mesmo tempo, “a falta de visibilidade de todas as áreas do ambiente informático e a incapacidade de estabelecer prioridades efetivas para os riscos podem limitar a eficácia. A superação destes desafios exige um planeamento cuidadoso e o empenho de todas as partes interessadas”, diz Sergio Pedroche.

Por fim, o Country Manager para Portugal e Espanha da Qualys defende que “um aspeto fundamental” da adoção de CTEM é “garantir a visibilidade total da superfície de ataque, com ferramentas que proporcionem uma visão abrangente e em tempo real. A automatização dos processos, por sua vez, ajuda a reduzir a carga das equipas e a aumentar a eficiência. Será também essencial alinhar o programa com os objetivos estratégicos da organização. Por fim, a colaboração entre departamentos e a utilização de métricas para avaliar o desempenho do programa serão elementos essenciais para o sucesso”.