Uma superfície de ataque precisa ser visível para ser defendida. Desenhar a extensão desse perímetro era mais simples anos atrás, quando ainda usávamos a analogia do castelo para explicar como funcionavam os muros da cibersegurança.
A nuvem complicou o gerenciamento do ambiente corporativo. As fronteiras desse ambiente se diluíram no digital. Hoje, se algo toca a internet, pode ser atacado. Com isso, organizações perderam a visibilidade da sua superfície de ataque. E diante de um cenário de ameaças cuja complexidade se aprofunda, cresceu a pressão para detectar e responder a incidentes.
A empresa média agora usa mais de 1.400 serviços de nuvem distintos – um número que triplicou nos últimoscinco anos. Um relatório de 2022 feito com uma comunidade de 500 mil profissionais desegurança da informação mostrou que apenas 45% das organizações têm inteligência avançada de ativos com visibilidade e insight para mais de 75% de seus ativos, com a maioria dos entrevistados expressando pontos cegos do inventário de ativos.
Outro estudo sobre como as empresas gerenciam superfícies de ataque, como adaptam programas para ameaças em evolução, e quais os maiores obstáculos para o gerenciamento eficaz dessa superfície, mostrou que, nos Estados Unidos e Canadá, a superfície de ataque externo de 2 em cada 3 organizações se expandiu nos últimos 12 meses. E que 7em cada 10 organizações foram comprometidas por meio de um recurso de Internet desconhecido, não gerenciado ou mal gerenciado no ano passado.
Além disso, o mesmo estudo demonstrou que os processos existentes são lentos e ineficientes: uma organização média leva mais de 80 horas para atualizar o inventário de superfície de ataque. Sobre o predomínio da Shadow IT, não parece ser um problema incomum: as empresas, em média, têm 30% mais ativos expostos do que os rastreados pelos programas tradicionais de gerenciamento de ativos.
Como definir superfície de ataque hoje
Qualquer coisa ligada a uma organização que pode ser um vetor para chegar a um alvo é considerada superfície de ataque. Na prática, todos os aplicativos que precisam da Internet, todos os serviços (além dos aplicativos) que são acessíveis online, sistemas baseados em nuvem, soluções SaaS, terceiros, dispositivos móveis, IoT, os funcionários da empresa. Tudo isso, e mais, precisa de alguma forma ser monitorado.
Ao mesmo tempo, a adoção de multicloud e nuvem híbrida continua a crescer em 2023. As abordagens tradicionais com ferramentas em silos, políticas baseadas em regras e dados de segurança diferentes geram mais riscos de segurança, expandindo a superfície de ataque para cibercriminosos.
Em vez de blindar o risco, gerenciá-lo
Com uma infraestrutura moderna tão cheia de meandros e especificidades, é impossível eliminar completamente as ameaças. E uma arquitetura moderna de cibersegurança sequer considera essa possibilidade. Em vez de blindar os riscos, uma empresa com uma postura mais madura de segurança reunirá práticas e tecnologias que minimizem a exposição em cada domínio, dando menos opções aos invasores, e reduzam as vulnerabilidades.
E parte da redução do risco vem da compreensão de quais vulnerabilidades existem dentro da infraestrutura e quais delas são exploráveis. També passa por analisar as ameaças da perspectiva do invasor. Hoje, o número de vulnerabilidades anuais relatadas nas empresas excede 20 mil por ano. O que dificulta a remediação de todos os alertas. Os times de segurança precisam ser cirúrgicos na resposta.
Há estratégias de proteção fundamentais. A Redbelt Security solta semanalmente a clientes um relatório de Análises de Vulnerabilidades, com a curadoria das principais que precisam ser corrigidas. Além disso, há outras soluções que podem compor a estratégia. Pentest é eficaz para localizar vulnerabilidades exploráveis. Em paralelo, a implantação de controles em torno da identidade, de governança, a realização de um Table Top Exercise, a contratação de um SOC são cruciais.
Conversar com uma consultoria especializada pode trazer mais clareza do que funciona para o contexto de cada negócio.
Por onde começar? Visibilidade
Só é possível gerenciar o que se pode ver. Assim, visibilidade é uma condição. Quando as equipes de segurança entendem quais ativos compõem a superfície de ataque, podem tomar decisões melhores sobre os controles a serem implantados e onde investir para reduzir o risco.
Então inicie o seu gerenciamento da superfície de ataques descobrindo todos os ativos, organizações, dispositivos e pessoas ligados ao negócio e que podem ser alvos de ataques. Em seguida, avalie o que poderia ter um impacto prejudicial na empresa. Seu sistema financeiro acessível via Internet, por exemplo, é um dos pontos de impacto em caso de crises.
Converse com um de nossos consultores a entenda os riscos do seu negócio e como gerenciá-los.