Originalmente publicado por Matthew Quinn & Gali Rahamim no blog da XM Cyber, parceira da Bravo para soluções de cibersegurança e líder global em segurança de nuvem híbrida.
Qualquer pessoa que já esteve em um relacionamento sabe que pode haver uma grande diferença entre o que você diz e o que os outros ouvem. O mesmo se aplica a nível organizacional – principalmente entre TI e Segurança, como discutimos anteriormente. O truque, nos relacionamentos e na cibersegurança, é facilitar não apenas a comunicação, mas também a compreensão. Não importa quantos canais do Slack dedicamos à interface de segurança de TI, se eles não falarem a mesma língua, simplesmente não funcionará.
O delicado tópico de vulnerabilidades é um ótimo exemplo. Uma organização de segurança média rastreia uma lista extremamente longa de vulnerabilidades. Quão longa? De acordo com pesquisas, 2/3 das organizações de segurança têm um backlog de mais de 100.000 vulnerabilidades, e a maioria dessas equipes é capaz de corrigir menos de 50% desse backlog.
Agora, na maioria das grandes organizações, temos equipes de segurança e de TI. A equipe de segurança vê seu papel como encontrar problemas de segurança, enquanto parte do trabalho da equipe de TI é consertá-los. Simples, certo? Mas, se 50% dos problemas não podem possivelmente ser resolvidos (e, pela minha experiência, esta percentagem é, na verdade, muito mais elevada), então quem decide quais vulnerabilidades serão corrigidas? E por quais critérios? A segurança pode querer resolver uma vulnerabilidade recente que a área TI entende que não é realmente uma ameaça – enquanto TI pode favorecer uma vitória rápida sobre uma solução complexa que envolve um sistema legado e de missão crítica que ninguém quer tocar por medo de quebrá-lo.
E é nesse ponto que, apesar dos melhores esforços de comunicação entre TI e Segurança, o entendimento tende a falhar.
Felizmente, isso pode ser corrigido.
Vulnerabilidades: não necessariamente exposições
Num mundo ideal, nós avaliaríamos uma exposição cibernética primeiro definindo-a com clareza. Consultamos medidas relevantes para determinado vetor de ameaça, coletamos dados do programa de segurança aplicável, avaliamos nossa prontidão para enfrentar essa exposição específica e só então agimos para mitigá-la.
Com relação às vulnerabilidades, isso geralmente não acontece. Dos 27.363 casos relatados desde 1º de janeiro de 2023 (até o momento em que este texto foi escrito), 8.395 (isto é, 30%) têm uma pontuação Common Vulnerability Scoring System (CVSS) — sistema padrão usado para classificar a gravidade de uma vulnerabilidade — entre 9 e 10, o que os torna “críticos”. É evidente que a pontuação do CVSS não é suficiente para definir o que constitui uma exposição real. Então o que acontece?
As ferramentas de Gestão de Vulnerabilidades Baseada em Riscos (Risk Based Vulnerability Management – RBVM) classificam as vulnerabilidades com base no impacto que causariam nos negócios caso um determinado ativo fosse comprometido. No entanto, estas pontuações são notoriamente imprecisas e nem sempre oportunas. Da mesma forma, as soluções de teste de Breach and Attack Simulation (BAS) — simulações de ataques reais para conhecer os possíveis caminhos de ataque e, assim, evitar invasões — verificam vulnerabilidades com base em parâmetros predefinidos, e não nas incursões criativas que a maioria dos invasores utiliza.
Isso deixa a maioria das organizações com uma lista ridiculamente longa de vulnerabilidades e uma lista um pouco mais curta de possíveis exposições – ou seja, ameaças viáveis a sistemas ou objetivos críticos de negócios. Mas até mesmo isso é demais. Uma organização média tem cerca de 11.000 exposições de segurança que os invasores podem explorar a qualquer momento, e 75% delas levam a becos sem saída que não conseguem alcançar ativos críticos.
Então, como a equipe de segurança pode saber o que é realmente urgente e comunicar a urgência de uma determinada exposição à equipe de TI? Usando a regra que todo editor diz a seus redatores: não me diga, mostre-me.
Caminho de ataque: uma linguagem de risco em comum
Usando ferramentas eficazes de gerenciamento de caminhos de ataque, a equipe de segurança pode demonstrar claramente o risco de uma forma que a equipe de TI entenda.
Vamos ilustrar esse ponto com uma pequena anedota que encontramos recentemente:
Durante uma reunião de rotina com um cliente no governo local, o Diretor de Segurança da Informação (Chief Information Security Officer – CISO) mencionou que estava tendo dificuldade para fazer com que o time de TI realizasse a grande maioria das correções solicitadas. Nós nos reunimos com o gerente de TI para entender melhor o problema e envolver os diferentes departamentos de TI para que pudéssemos implementar soluções.
“Sim, eu sei que estas correções são importantes, mas simplesmente não temos tempo para fazê-las”, confessou.
Válido? Sim. Isso importa? Não muito.
Foi então que usamos o gráfico de ataque para apresentar as descobertas no AD e nas Credenciais Locais. Também mostramos a ele os 5 principais pontos que descobrimos em seu ambiente. Para começar, eles tinham 583 ativos críticos em risco e mais de 5.000 entidades afetadas.
Não quero ser muito dramático, mas por um momento o cara ficou sem palavras.
“Ok, entendi agora. Envie-me uma lista dos 10 principais pontos para corrigir e minha equipe começará imediatamente.” Graças à capacidade de ver o caminho de ataque, ele ganhou contexto sobre quais ativos críticos estavam em maior risco. Esta compreensão ajudou a tornar claro o nível de risco de cada exposição, desmistificando o punhado de exposições que realmente representavam risco entre os muitos milhares que eles tinham.
O gestor agora conseguia entender a necessidade das correções solicitadas de uma forma muito mais profunda e real. E agora eles estão no processo de remediá-los, com sua postura de segurança continuando a melhorar constantemente.
Caminho de ataque: a língua franca do risco
O primeiro passo para reduzir a divisão entre as equipes de TI e Segurança é criar um entendimento mútuo. À medida que as vulnerabilidades inundam os times de segurança, o abismo entre TI e segurança aumenta. Mas isso pode ser corrigido traduzindo as vulnerabilidades para exposições reais – apresentando os riscos numa linguagem que a área de TI compreende. A gestão do caminho de ataque pode ser a língua franca do risco. Aproveitando caminhos de ataque claramente definidos e demonstráveis, a equipe de segurança não precisa mais apenas dizer à equipe de TI onde estão as ameaças reais, eles podem mostrá-las.
