Monitoramento inside-out e outside-in na gestão de risco de terceiros: entendendo as diferenças
Quando empresas procuram por formas de aprimorar seu programa de gestão de risco cibernético de terceiros (Third-Party Cyber Risk Management – TPCRM), a automação quase sempre faz parte da resposta. O passo a seguir provavelmente contará com uma estratégia de monitoramento contínuo, ao menos para um grupo seleto de terceiros, a fim de alcançar uma melhora significativa na qualidade dos dados de risco.
Abordagens automatizadas e contínuas têm potencial para driblar uma armadilha frequente da gestão de risco de terceiros: avaliações que fornecem apenas uma visão estática, ou "foto", da postura de cibersegurança do terceiro. Quando dados não são atualizados regularmente, eles se tornam cada vez mais distantes da realidade devido a alterações na infraestrutura, novas vulnerabilidades e inconformidades que surgem em processos internos.
Questionários de autoavaliação (Self-Assessment Questionnaires, SAQs) também sofrem dessa limitação, apesar de serem populares nos programas de gestão de risco de terceiros. Nessa estratégia de avaliação, os terceiros detalham suas práticas de cibersegurança preenchendo questionários especificados por seus clientes. Infelizmente, como este é um processo trabalhoso, os questionários tendem a ser atualizados apenas uma ou duas vezes por ano.
O monitoramento contínuo é diferente. Como o nome sugere, é uma solução ininterrupta que gera relatórios regulares ou até diários, evitando os percalços das abordagens de "fotografia" que criam um único relatório que pode já estar desatualizado quando ele for necessário para fundamentar uma decisão.
Além disso, as informações são coletadas diretamente da infraestrutura de TI, permitindo que sejam estabelecidos vínculos entre sistemas reais e os riscos. Em outras palavras, é possível enxergar o que de fato existe no mundo real.
Um ponto que pode passar despercebido, contudo, é que é possível trabalhar com os terceiros para monitorar o ambiente deles do lado de dentro. Por não estar restrito ao que é visível externamente, esse monitoramento inside-out traz muitos benefícios que ficarão evidentes conforme exploramos o seu funcionamento e suas diferenças em relação ao monitoramento outside-in.
Por que monitoramento inside-out faz sentido no TPCRM
Fornecedores e parceiros, especialmente aqueles cuja infraestrutura de TI esteja conectada aos ambientes dos clientes de alguma forma, não devem ser vistos apenas como entidades "externas". Há uma chance considerável de que incidentes nesse ecossistema compartilhado sejam sentidos por ambas as partes, e criminosos muitas vezes atacam prestadores e de suporte de TI para usá-los como via de acesso aos clientes ou aos dados combinados custodiados por esses terceiros.
Realizar testes de segurança em escala dentro dos terceiros não era algo praticável no passado, quando cada rede corporativa era relativamente distinta das demais. Auditorias internas de cibersegurança só eram eficazes se fossem ajustadas para cada ambiente. Para piorar, a cibersegurança era voltada ao "perímetro", desconsiderando controles de acesso baseados em tarefas e sistemas específicos.
Hoje, quase todas as empresas dependem de software e serviços de TI de empresas como Microsoft, Amazon e Google. Esses serviços podem ser configurados para dar visibilidade aos controles de segurança implementados sem qualquer risco de expor dados corporativos ou recursos sensíveis de sistemas internos. As interfaces disponibilizadas por provedores de nuvem são capazes de conceder um acesso de leitura restrito aos metadados úteis para fins de TPCRM.
Comparando as abordagens de monitoramento
Precisão: O processo de monitorar e realizar varreduras na infraestrutura de TI externamente não é novo. Basicamente, é possível mapear os ativos de rede de uma empresa e até encontrar vulnerabilidades e erros de configuração por meio do envio de certos pacotes de dados a uma faixa de endereços IP. Isso não exige nenhum acesso ou conhecimento especial, já que todos os sistemas examinados estão conectados à internet.
Infelizmente, quanto menos esse processo envolver quem está sendo examinado, maior será o número de suposições e "achismos" necessários para produzir um resultado útil. Quais testes serão executados, como identificar sistemas, como vincular um endereço IP a uma entidade – cada um desses passos (e muitos outros) depende de intuições e probabilidade, gerando imprecisões.
O monitoramento inside-out extrai esses dados da própria infraestrutura do terceiro, o que reduz ou até elimina as ambiguidades dos alertas entregues. O processo de análise entende o ecossistema porque usa as APIs apropriadas que são fornecidas pelos provedores de nuvem.
Impactos na segurança: A precisão elevada garante assertividade ao monitoramento inside-out. Alertas são relacionados a deficiências reais que podem e devem ser tratadas com medidas claras.
No monitoramento exclusivamente externo, um sistema de pontuação evita destacar a relevância de cada teste. Como o monitoramento outside-in está basicamente restrito aos ativos visíveis na internet e que podem ser atribuídos, é difícil tirar conclusões sobre riscos e lacunas na segurança, obrigando a metodologia a se apoiar em sua fórmula de pontuação.
Um relatório de um monitoramento inside-out também pode ser resumido com uma pontuação para facilitar a tomada de decisões, mas isso é um bônus. Utilizar as métricas para ajudar o terceiro a visualizar o resultado dos seus esforços para tratar cada deficiência encontrada também é uma opção.
Cobertura: O monitoramento outside-in é focado em ativos com conectividade à internet. Embora ele possa ser complementado com autoavaliações de monitoramento ou relatórios de conformidade, ele não é capaz de checar controles internos ou endpoints com o mesmo nível de confiabilidade que o monitoramento inside-out.
Muitos incidentes de ransomware começam ou se agravam com movimentos internos, muitas vezes em decorrência da falta de múltiplos fatores de autenticação (MFA), ataques de phishing ou deficiências na segmentação de rede. O monitoramento inside-out pode identificar contas que estão sem MFA, checar as defesas contra malware e validar políticas de recuperação de dados, criptografia e armazenamento de segredos.
O monitoramento outside-in depende de faixas de endereços IP que podem ser vinculados a uma determinada empresa. As características das aplicações nativas de nuvem (cloud native), endereços dinâmicos e outras modalidades de compartilhamento de infraestrutura podem provocar erros de atribuição, em que um ativo de IT é contabilizado para a empresa errada. Também é possível que certas partes da infraestrutura sejam invisíveis a partir da perspectiva externa.
Em outras palavras, uma fração relevante dos ecossistemas modernos de TI não podem ser observados externamente como ativos fixos, embora eles sejam visados por atacantes.
Configuração: O monitoramento outside-in pode ser realizado em qualquer empresa que tenha alguma infraestrutura exposta na internet, enquanto a abordagem inside-out exige um processo inicial de configuração em que o terceiro concede as permissões necessárias para a realização dos testes.
Ainda que isso pareça ser uma desvantagem para o monitoramento inside-out, a disponibilidade e conveniência de uma avaliação imprecisa pode servir de base para uma crença de que a gestão de riscos de terceiros é uma simples questão de encontrar o terceiro "certo" ou "seguro". No entanto, um programa de TPCRM é mais efetivo quando contempla o ciclo de vida de cada relação comercial, sem antagonizar os terceiros.
Escolhendo a ferramenta ideal
Não existe uma única abordagem perfeita para a gestão de risco de terceiros. Fornecedores, prestadores de serviços, parceiros e até clientes são todos "terceiros", mas cada um terá circunstâncias únicas. Mesmo dentro do mesmo grupo de terceiros (como fornecedores de peças ou prestadores de serviços de TI), alguns serão mais críticos do que outros e o papel deles no contexto do negócio será diferente.
Decidir as melhores formas de avaliar cada terceiro requer um processo robusto, capaz de alinhar múltiplos interesses e a realidade dos terceiros que apoiam o negócio. Compreender as vantagens de cada estratégia é essencial para apontar qual estratégia é mais adequada em cada situação.
O monitoramento inside-out deve fazer parte do leque de ferramentas e ser considerado sempre que suas particularidades o tornarem vantajoso para entregar o melhor resultado de segurança.
