📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
As ferramentas de gerenciamento de superfície de ataque (ASM) prometem riscos reduzidos. O que eles costumam entregar é mais informações.
As equipes de segurança implantam o ASM, os inventários de ativos aumentam, os alertas começam a fluir e os painéis ficam lotados. Há atividade visível e resultados mensuráveis. Mas quando a liderança faz uma pergunta simples: “Isso está reduzindo os incidentes?” a resposta muitas vezes não é clara.
Esta lacuna entre o esforço e o resultado é o principal problema do ROI na gestão da superfície de ataque, especialmente quando o ROI é medido principalmente através da contagem de ativos em vez da redução de riscos.
A promessa versus a prova
A maioria dos programas ASM são construídos em torno de uma ideia razoável: você não pode proteger o que você não sabe que existe. Como resultado, as equipes se concentram na descoberta: domínios e subdomínios, IPs e recursos de nuvem, infraestrutura de terceiros e ativos transitórios ou de curta duração.
Com o tempo, as contagens aumentam. Os painéis estão com tendência de alta. A cobertura melhora.
Mas nenhuma dessas métricas responde diretamente se a organização é realmente mais segura. Em muitos casos, as equipes acabam mais ocupadas sem se sentirem menos expostas.
Por que o ASM parece ocupado, mas não é eficaz
O ASM tende a otimizar a cobertura porque a cobertura é fácil de medir: mais ativos descobertos, mais alterações detectadas e mais alertas gerados. Cada um deles parece um progresso.
Mas medem sobretudo os contributos e não os resultados.
Na prática, as equipes experimentam:
Fadiga de alerta
Longos acúmulos de ativos “conhecidos, mas não resolvidos”
Confusão repetida de propriedade
Exposição que dura meses
O trabalho é real. A redução do risco é mais difícil de ver.
A lacuna de medição
Um dos motivos pelos quais o ROI do ASM é difícil de provar é que a maioria das métricas de superfície de ataque se concentra no que o sistema pode ver, e não no que a organização realmente melhora.
As métricas comuns de gerenciamento de superfície de ataque incluem:
Número de ativos
Número de alterações
Métricas de superfície de ataque mais significativas raramente são rastreadas:
Com que rapidez os ativos de risco são adquiridos
Quanto tempo persiste a exposição perigosa
Se os caminhos de ataque realmente diminuem com o tempo
O inventário de ativos continua sendo fundamental para medir a superfície de ataque externo. Sem uma descoberta ampla, é impossível compreender a exposição. A lacuna aparece quando as métricas de descoberta não são combinadas com medições que mostram se o risco está realmente sendo reduzido.
Sem medições orientadas para os resultados, a ASM torna-se difícil de defender durante as revisões orçamentais, mesmo quando todos concordam que a visibilidade dos activos é necessária.
Como seria um ROI significativo?
Em vez de perguntar: “Quantos ativos descobrimos?” uma pergunta mais útil é: "Quão mais rápido e seguro conseguimos lidar com a exposição?"
Essa reformulação muda o ROI da visibilidade para a qualidade da resposta e duração da exposição. Coisas que se correlacionam muito mais estreitamente com o risco do mundo real.
Três métricas de resultados que realmente importam
1. Tempo médio para propriedade de ativos
Quanto tempo leva para responder à pergunta básica: “Quem é o dono disso?”
Ativos sem propriedade clara:
Fique mais tempo
Seja corrigido mais tarde
É mais provável que sejam totalmente esquecidos
A redução do tempo até a propriedade encurta a janela em que existe exposição sem responsabilidade. É um dos sinais mais claros de que as descobertas da ASM estão a transformar-se em ação.
2. Redução de endpoints não autenticados e que mudam de estado
Nem todos os ativos são igualmente importantes.
Rastrear quantos endpoints externos podem mudar de estado, quantos exigem autenticação e como esses números mudam ao longo do tempo fornece um sinal muito mais forte sobre se a superfície de ataque está diminuindo onde é importante.
Um ambiente com milhares de ativos estáticos, mas poucos caminhos não autenticados e que alteram o estado, é significativamente mais seguro do que um ambiente com menos ativos, mas com muitos pontos de entrada arriscados.
3. Hora de desativação após perda de propriedade
A exposição geralmente persiste após:
Mudanças de equipe
Suspensão de uso do aplicativo
Migrações de fornecedores
Reorganizações
Medir a rapidez com que os activos são retirados quando a propriedade desaparece é um dos indicadores mais fortes de higiene a longo prazo e um dos menos monitorizados.
Se os ativos abandonados permanecerem indefinidamente, a descoberta por si só não reduzirá o risco.
Como isso se parece na prática
Métricas abstratas são fáceis de concordar e difíceis de operacionalizar. O objetivo não é um novo painel ou um conjunto diferente de alertas, mas uma mudança no que se tornou visível: lacunas de propriedade, duração da exposição e riscos não resolvidos que, de outra forma, se misturariam às contagens de ativos.
Em vez de enfatizar a contagem total de ativos, esta visão surge:
Quais ativos são de propriedade
Que não estão resolvidos
Há quanto tempo a propriedade não está clara
O objetivo não é mais alertas, mas uma resolução mais rápida.
Transformando ASM em um controle
ASM não enfrenta dificuldades porque as equipes não estão trabalhando duro o suficiente. É difícil porque o esforço não está consistentemente vinculado aos resultados com os quais a liderança se preocupa.
Reenquadrar o ROI em torno da velocidade, propriedade e duração da exposição torna possível mostrar a real
As equipes de segurança implantam o ASM, os inventários de ativos aumentam, os alertas começam a fluir e os painéis ficam lotados. Há atividade visível e resultados mensuráveis. Mas quando a liderança faz uma pergunta simples: “Isso está reduzindo os incidentes?” a resposta muitas vezes não é clara.
Esta lacuna entre o esforço e o resultado é o principal problema do ROI na gestão da superfície de ataque, especialmente quando o ROI é medido principalmente através da contagem de ativos em vez da redução de riscos.
A promessa versus a prova
A maioria dos programas ASM são construídos em torno de uma ideia razoável: você não pode proteger o que você não sabe que existe. Como resultado, as equipes se concentram na descoberta: domínios e subdomínios, IPs e recursos de nuvem, infraestrutura de terceiros e ativos transitórios ou de curta duração.
Com o tempo, as contagens aumentam. Os painéis estão com tendência de alta. A cobertura melhora.
Mas nenhuma dessas métricas responde diretamente se a organização é realmente mais segura. Em muitos casos, as equipes acabam mais ocupadas sem se sentirem menos expostas.
Por que o ASM parece ocupado, mas não é eficaz
O ASM tende a otimizar a cobertura porque a cobertura é fácil de medir: mais ativos descobertos, mais alterações detectadas e mais alertas gerados. Cada um deles parece um progresso.
Mas medem sobretudo os contributos e não os resultados.
Na prática, as equipes experimentam:
Fadiga de alerta
Longos acúmulos de ativos “conhecidos, mas não resolvidos”
Confusão repetida de propriedade
Exposição que dura meses
O trabalho é real. A redução do risco é mais difícil de ver.
A lacuna de medição
Um dos motivos pelos quais o ROI do ASM é difícil de provar é que a maioria das métricas de superfície de ataque se concentra no que o sistema pode ver, e não no que a organização realmente melhora.
As métricas comuns de gerenciamento de superfície de ataque incluem:
Número de ativos
Número de alterações
Métricas de superfície de ataque mais significativas raramente são rastreadas:
Com que rapidez os ativos de risco são adquiridos
Quanto tempo persiste a exposição perigosa
Se os caminhos de ataque realmente diminuem com o tempo
O inventário de ativos continua sendo fundamental para medir a superfície de ataque externo. Sem uma descoberta ampla, é impossível compreender a exposição. A lacuna aparece quando as métricas de descoberta não são combinadas com medições que mostram se o risco está realmente sendo reduzido.
Sem medições orientadas para os resultados, a ASM torna-se difícil de defender durante as revisões orçamentais, mesmo quando todos concordam que a visibilidade dos activos é necessária.
Como seria um ROI significativo?
Em vez de perguntar: “Quantos ativos descobrimos?” uma pergunta mais útil é: "Quão mais rápido e seguro conseguimos lidar com a exposição?"
Essa reformulação muda o ROI da visibilidade para a qualidade da resposta e duração da exposição. Coisas que se correlacionam muito mais estreitamente com o risco do mundo real.
Três métricas de resultados que realmente importam
1. Tempo médio para propriedade de ativos
Quanto tempo leva para responder à pergunta básica: “Quem é o dono disso?”
Ativos sem propriedade clara:
Fique mais tempo
Seja corrigido mais tarde
É mais provável que sejam totalmente esquecidos
A redução do tempo até a propriedade encurta a janela em que existe exposição sem responsabilidade. É um dos sinais mais claros de que as descobertas da ASM estão a transformar-se em ação.
2. Redução de endpoints não autenticados e que mudam de estado
Nem todos os ativos são igualmente importantes.
Rastrear quantos endpoints externos podem mudar de estado, quantos exigem autenticação e como esses números mudam ao longo do tempo fornece um sinal muito mais forte sobre se a superfície de ataque está diminuindo onde é importante.
Um ambiente com milhares de ativos estáticos, mas poucos caminhos não autenticados e que alteram o estado, é significativamente mais seguro do que um ambiente com menos ativos, mas com muitos pontos de entrada arriscados.
3. Hora de desativação após perda de propriedade
A exposição geralmente persiste após:
Mudanças de equipe
Suspensão de uso do aplicativo
Migrações de fornecedores
Reorganizações
Medir a rapidez com que os activos são retirados quando a propriedade desaparece é um dos indicadores mais fortes de higiene a longo prazo e um dos menos monitorizados.
Se os ativos abandonados permanecerem indefinidamente, a descoberta por si só não reduzirá o risco.
Como isso se parece na prática
Métricas abstratas são fáceis de concordar e difíceis de operacionalizar. O objetivo não é um novo painel ou um conjunto diferente de alertas, mas uma mudança no que se tornou visível: lacunas de propriedade, duração da exposição e riscos não resolvidos que, de outra forma, se misturariam às contagens de ativos.
Em vez de enfatizar a contagem total de ativos, esta visão surge:
Quais ativos são de propriedade
Que não estão resolvidos
Há quanto tempo a propriedade não está clara
O objetivo não é mais alertas, mas uma resolução mais rápida.
Transformando ASM em um controle
ASM não enfrenta dificuldades porque as equipes não estão trabalhando duro o suficiente. É difícil porque o esforço não está consistentemente vinculado aos resultados com os quais a liderança se preocupa.
Reenquadrar o ROI em torno da velocidade, propriedade e duração da exposição torna possível mostrar a real
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #o #problema #do #roi #no #gerenciamento #da #superfície #de #ataque
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário