O gerenciamento de superfície de ataque (ASM) é a descoberta, análise, correção e monitoramento contínuos das vulnerabilidades de segurança cibernética e vetores de ataque em potencial que constituem a superfície de ataque de uma organização.
Ao contrário de outras disciplinas de segurança cibernética, o ASM é conduzido inteiramente a partir da perspectiva de um hacker, em vez da perspectiva do defensor. Ele identifica os alvos e avalia os riscos com base nas oportunidades que se apresentam a um invasor malicioso. A ASM conta com muitos dos mesmos métodos e recursos que os hackers utilizam, e muitas tarefas e tecnologias da ASM são concebidas e executadas por 'hackers éticos' familiarizados com o comportamento de criminosos cibernéticos e com as mesmas qualificações para duplicar suas ações.
O gerenciamento de superfície de ataque externa (EASM), uma tecnologia do ASM relativamente recente, muitas vezes é usada no lugar de ASM. Mas o EASM se concentra especificamente nas vulnerabilidades e riscos apresentados pelos ativos de TI externos ou voltados para a Internet de uma organização (às vezes chamados de superfície de ataque digital de uma organização). O ASM também lida com vulnerabilidades nas superfícies de ataque físicas e de engenharia social de uma organização, como agentes maliciosos internos ou treinamento insuficiente de usuários finais contra golpes de phishing.
A adoção da cloud, a transformação digital e a expansão do trabalho remoto, todos fatores acelerados pela pandemia de COVID-19, aumentaram a pegada digital e a superfície de ataque das empresas e as tornaram mais distribuídas e dinâmicas, com novos ativos conectando-se diariamente à rede da empresa.
De acordo com o relatório State of Attack Surface Management 2022 da Randori (link externo à ibm.com), 67 por cento das organizações identificaram que suas superfícies de ataque expandiram nos últimos 12 meses; 69 por cento foi afetado por um ativo conectado à Internet desconhecido ou mal gerenciado no último ano. (Randori é uma subsidiária da IBM Corp.) Analistas do setor na Gartner (link externo à ibm.com) nomearam a expansão da superfície de ataque uma das prioridades essenciais em gerenciamento de segurança e riscos para CISOs em 2022.
Os processos tradicionais de descoberta de ativos, avaliação de riscos e gerenciamento de vulnerabilidades, desenvolvidos quando redes corporativas eram mais estáveis e centralizadas, não conseguem acompanhar a velocidade de surgimento de novas vulnerabilidades e vetores de ataque nas redes atuais. O teste de penetração, por exemplo, testam vulnerabilidades suspeitas em ativos conhecidos, mas não são capazes de ajudar as equipes de segurança a identificar novos riscos e vulnerabilidades que surgem todos os dias.
Mas o fluxo de trabalho contínuo e a perspectiva de hackers proporcionados pelo ASM permite que as equipes de segurança e os centros de operações segurança (SOCs) adotem uma postura de segurança proativa para lidar com uma superfície de ataque em constante expansão e evolução. As soluções de ASM oferecem visibilidade em tempo real das vulnerabilidades e vetores de ataque à medida que surgem. Eles podem extrair informações de ferramentas e processos tradicionais de avaliação de riscos e de gerenciamento de vulnerabilidades para ter um contexto maior ao analisar e priorizar vulnerabilidades. Além disso, elas podem ser integradas a tecnologias de detecção e resposta a ameaças, incluindo gerenciamento de eventos de informações de segurança (SIEM), detecção e resposta de terminais (EDR) ou detecção e resposta estendidas (XDR), para melhorar a mitigação de ameaças e acelerar a resposta a ameaças em toda a empresa.
O ASM consiste em quatro processos principais: descobrimento de ativos, classificação e priorização, correção e monitoramento. Como o tamanho e formato da superfície de ataque digital muda constantemente, os processos são conduzidos de forma contínua, com as soluções de ASM automatizando esses processos sempre que possível. O objetivo é assegurar que a equipe de segurança sempre tenha um inventário completo e atualizado dos ativos expostos e acelerar a resposta às vulnerabilidades e ameaças que apresentem os maiores riscos à organização.
Descoberta de ativos
O descobrimento de ativos verifica e identifica, de maneira automática e contínua, ativos de hardware, software e cloud voltados para Internet que possam ser pontos de entrada para um hacker ou criminoso cibernético tentando atacar uma organização. Esses ativos podem incluir
Classificação, análise e priorização
Assim que os ativos são identificados, eles são classificados, analisados em busca de vulnerabilidades e priorizados por 'capacidade de ataque', ou seja, a possibilidade de serem alvos de hackers.
Os ativos são inventariados por identidade, endereço IP, propriedade e conexões com os demais ativos na infraestrutura de TI. Eles são analisados em busca das causas dessas exposições (por exemplo, configurações incorretas, erros de codificação, correções ausentes) e os tipos de ataques que os hackers podem realizar por meio dessas exposições (por exemplo, roubar dados confidenciais, espalhar ransomware ou outro tipo de malware).
Em seguida, as vulnerabilidades são priorizadas para correção. A priorização é um exercício de avaliação de riscos: geralmente, cada vulnerabilidade recebe um índice de segurança ou pontuação de risco com base em:
Correção
Geralmente, as vulnerabilidades são corrigidas na ordem de prioridade. Isso pode envolver:
A correção também pode envolver medidas entre ativos mais amplas para lidar com vulnerabilidades, como a implementação de acesso menos privilegiado ou autenticação multifatores (MFA) .
Monitoramento
Como os riscos de segurança na superfície de ataque da organização mudam toda vez que novos ativos são implementados ou ativos existentes são implementados de maneiras diferentes, tanto os ativos inventariados da rede como a própria rede são monitorados e varridos em busca de vulnerabilidades. O monitoramento contínuo permite que o ASM detecte e avalie novas vulnerabilidades e vetores de ataque em tempo real e alerte as equipes de segurança para quaisquer novas vulnerabilidades que necessitem de atenção imediata.
Gerencie a expansão de sua pegada pegada digital e atinja suas metas, com menos falsos positivos, para melhorar a resiliência cibernética de sua organização rapidamente.
Conecte suas ferramentas, automatize seu centro de operações de segurança (SOC) e libere tempo para o que mais importa.
Adote um programa de gerenciamento de vulnerabilidades que identifique, priorize e gerencie a correção de falhas que podem expor seus ativos mais críticos
A superfície de ataque de uma organização é a soma de suas vulnerabilidades de segurança cibernética.
As ameaças internas ocorrem quando os usuários com acesso autorizado ao ativos da empresa colocam esses ativos em riscos, intencionalmente ou acidentalmente.
Uma abordagem de zero trust exige que todos os usuários, estejam eles dentro ou fora da rede, sejam autenticados, autorizados e validados continuamente para receber e manter acesso a aplicativos e dados
Malware é um código de software escrito para danificar ou destruir computadores ou redes, ou para fornecer acesso não autorizado a computadores, redes ou dados.
Um guia para proteger seu ambiente de computação e cargas de trabalho em cloud.
A segurança de dados é a prática de proteger informações digitais contra roubo ou danos. Ou acesso não autorizado em todo o seu ciclo de vida.