Check Point: “O exposure management já não é sobre vulnerabilidades; é sobre a redução do que um atacante pode explorar” (com vídeo)

Hoje, quando falamos de exposure management, o grande problema já não está propriamente na gestão ou na visibilidade sobre as principais ameaças, mas sim na necessidade de transformar “sinais dispersos em decisões concretas”, começou por afirmar Carlos Morais, Security Engineer da Check Point, no âmbito da sua apresentação no palco da segunda edição da IT Security Summit Porto.

De acordo com dados do Data Breach Investigation Report da Verizon, lançado em 2025, o roubo de credenciais continua a ser o principal vetor de ataque na intrusão de organizações, com a exploração de vulnerabilidades a ganhar terreno, naquele que Carlos Morais considera ser um “aumento dramático”, de 30%, de 2024 para 2025.

Os pilares fortes da gestão de risco

O ampliar do ecossistema digital das organizações, e o consequente alargamento da superfície de ataque, têm também contribuído para o aumento da exploração de vulnerabilidades e de assets. Neste âmbito, a Gartner lançou em 2022 a framework de Continuous Threat Exposure Management (CTEM), uma lógica de guião para ajudar as organizações a endereçarem o tema do exposure management.

Para ir ao encontro das necessidades do mercado, a Check Point anunciou recentemente algumas aquisições, nomeadamente a Cyberint, focada em external risk management, a Verity, mais orientada na componente de remediação, e a Cyclops, baseada em Cyber Asset Attack Surface Monitoring, numa plataforma única que tem por base cobrir o ciclo de Continuous Threat Exposure Management.

Para a Check Point, a gestão de risco assenta, por isso, em três pilares fundamentais. O primeiro passa pela Threat Intelligence consiste em obter contexto e compreender o que é mais importante, permitindo fundamentar decisões futuras. Num primeiro momento, a Check Point recorre a fontes externas de informação, como é o caso da framework OSINT, fóruns da Dark Web, entre outros, para, de seguida, aliar esta informação à telemetria global da própria organização. “Esta informação agregada vai permitir transformar algo que é mais ou menos estático em informação muito mais dinâmica, onde conseguimos perceber o que é que está a acontecer, o que é que os atacantes estão a fazer e o que é que pode afetar mais as organizações”, referiu o especialista.

O pilar seguinte passa por vulnerability prioritization, que pressupõe uma primeira fase de descoberta, com assets provenientes da CyberInt que permitem distinguir entre vulnerabilidades externas e más-configurações que expõem os assets externamente; a integração de vulnerability scanners que as organizações possam já ter e que permitem à Check Point obter informação das principais vulnerabilidades; e, por fim, uma solução de CAASM, que permite complementar o trabalho dos vulnerability scanners.

Numa segunda fase, explicou Carlos Morais, é tempo de olhar para os controlos de segurança internos existentes e perceber se estes são já capazes de mitigar algumas das vulnerabilidades; numa última fase, entra em ação o CyberAsset Attack Surface Monitoring para compreender “aquilo que será ou não crítico para o negócio”.

Este é também o ponto de partida para o terceiro pilar: o safe remediation. “Safe será a palavra-chave aqui porque mitigar ou remediar depressa, sem grande controlo, pode trazer-nos algum risco operacional, risco para o negócio”. O fabricante de cibersegurança defende, por isso, “uma abordagem o mais automatizada possível, mas com uma lógica de man-in-the-loop”, que tire partido de vetores como threat intelligence, virtual patch, patching mais efetivo e capacidade de mandar abaixo sites de phishing.

Esta visão da Check Point sobre a problemática do exposure management está, como explicou Carlos Morais, “perfeitamente enquadrada com a framework de CTEM”, onde o objetivo passa por “reduzir a janela temporal entre a descoberta da vulnerabilidade e a sua remediação efetiva para, idealmente, poucas horas”.

No fim, a mensagem a reter implica compreender sobretudo que “exposure management já não é sobre a gestão ou a descoberta de mais vulnerabilidades; é sobre a redução contínua daquilo que um atacante pode explorar, e ser capaz de decidir melhor e remediar mais depressa sem comprometer ou introduzir qualquer tipo de risco para o negócio”.