White PaperTer as ferramentas certas não garante cobertura. Ter gaps garante exposição
Gap analysis inside-out de controles por ativo
Endpoints sem EDR, servidores sem patch, contas sem MFA. Gaps que nenhuma ferramenta individual reporta porque cada uma só vê sua própria cobertura. O CRS-CAASM consolida 50+ fontes (EDR, IAM, MDM, SIEM), cruza com o inventário real e identifica automaticamente os ativos descobertos, com Cyber Risk Score 0 a 1000 unificado e alimentação do CRQ.
O problema: a pergunta que todo CISO tem mas raramente consegue responder com precisão: "quais dos meus ativos não estão cobertos pelos meus controles?" O EDR reporta os ativos que ele cobre. O scanner reporta os ativos que ele escaneou. Nenhum deles reporta os ativos que estão fora de cobertura, porque eles simplesmente não aparecem em nenhum relatório.
A abordagem: o EcoTrust CRS-CAASM consolida dados das fontes nativas da plataforma, Discovery, Inventory, VulScan e WebAppScan, com fontes externas de controle (EDR, IAM, MDM, SIEM) para construir um inventário unificado e identificar automaticamente onde os controles de segurança não estão sendo aplicados. Gap analysis de cobertura por ativo, grupo e unidade de negócio.
O resultado: visibilidade dos ativos que estão na rede mas fora dos controles, com Cyber Risk Score 0 a 1000 unificado, gap analysis documentado para compliance e alimentação do CRQ com contexto de negócio para calcular o impacto financeiro de cada lacuna de cobertura.
O gap que nenhum relatório de ferramenta individual mostra.
Toda organização tem controles de segurança. A questão não é se os controles existem, é se estão sendo aplicados a todos os ativos que deveriam cobrir.
O CrowdStrike reporta que 2.847 dos seus ativos têm o agente instalado. Mas quantos ativos existem no total? O Microsoft Defender reporta 1.200 ativos protegidos. São os mesmos 2.847 do CrowdStrike, ou há sobreposição? Existem ativos que não aparecem em nenhum dos dois?
Essas perguntas parecem simples mas raramente têm resposta precisa, porque cada ferramenta reporta sua própria cobertura sem cruzar com o inventário total. A lacuna entre "ativos cobertos por cada ferramenta" e "todos os ativos que existem" é onde o risco não gerenciado se acumula silenciosamente.
A pergunta que muda tudo: "quais ativos não estão cobertos pelos meus controles?" é fundamentalmente diferente de "quais ativos tenho?". A primeira identifica risco. A segunda apenas lista o que existe. O CRS-CAASM responde à primeira.
Por que nenhuma ferramenta individual reporta seus próprios gaps.
É uma limitação estrutural, não uma falha de produto. Cada ferramenta de segurança foi projetada para reportar o que ela detectou, protegeu ou analisou, não o que está fora do seu escopo. O EDR não tem como reportar os ativos sem agente porque, do ponto de vista do EDR, esses ativos simplesmente não existem.
Os 4 gaps mais comuns que o CAASM revela
Cruzamento entre inventário total de endpoints e cobertura reportada pelo EDR, revela ativos sem proteção de endpoint ativa.
Combinação de dados de VulScan com inventário de ativos para mapear quais servidores estão com patches críticos pendentes.
Correlação entre IAM e inventário de identidades, sinaliza contas privilegiadas sem segundo fator de autenticação.
Ativos críticos de negócio que não aparecem nas soluções de backup configuradas, invisível sem visão consolidada.
O paradoxo da cobertura declarada: o CISO apresenta ao board que a organização tem EDR com "95% de cobertura". Essa cobertura é calculada sobre os ativos que o time de TI cadastrou no EDR, não sobre o total de ativos que existem na rede. Se há 30% de ativos desconhecidos (shadow IT, cloud não gerenciado), a cobertura real pode ser muito menor do que 95%.
A abordagem gap analysis: cruzar, não apenas agregar.
O CAASM tradicional agrega dados de múltiplas fontes. O CRS-CAASM vai além: cruza os dados para identificar o que está fora de cobertura.
A distinção é fundamental. Agregar significa coletar dados de CrowdStrike, Tenable e Sentinel em um painel único, o analista ainda precisa manualmente identificar quais ativos não aparecem em nenhuma das três. Cruzar significa que o sistema automaticamente compara o inventário total com a cobertura de cada controle e reporta os gaps diretamente.
O resultado não é "aqui estão os dados de todas as suas ferramentas", é "aqui estão os ativos que nenhuma das suas ferramentas cobre".
Como o CRS-CAASM opera: 50+ fontes, uma visão de gaps.
O CRS-CAASM consolida dados das fontes nativas da EcoTrust e de fontes externas via CSV agnóstico ou API REST. Normaliza, deduplica e cruza para produzir o gap analysis automatizado.
Fontes nativas da plataforma EcoTrust
O VulScan enriquece cada ativo com CVEs, EPSS e CISA KEV. O WebAppScan mapeia vulnerabilidades em aplicações web. Esses dados nativos são cruzados com a cobertura dos controles externos para revelar onde as lacunas coincidem com risco real.
50+ ferramentas externas integradas
O que o gap analysis produz
Percentual de cobertura real de cada controle (EDR, patch, MFA, backup) por grupo de ativos, área de negócio e criticidade. O CISO não declara, demonstra com dados consolidados de fontes cruzadas.
Score único por ativo que combina dados de todas as fontes integradas, comparável entre ativos, grupos e períodos. Permite rastrear evolução da postura de segurança ao longo do tempo com uma métrica única.
Os dados de cobertura de controles por ativo alimentam o CRQ para calcular o impacto financeiro de cada gap: "endpoint sem EDR em servidor de pagamentos = R$ X de exposição adicional ao cenário de ransomware".
3 matrizes de priorização por impacto ao negócio
O CRS-CAASM transforma os dados consolidados em três visões complementares para diferentes audiências:
Classifica risco por impacto × probabilidade por ativo, destacando as "joias da coroa" da organização que precisam de proteção prioritária.
Define urgência de remediação em 6 níveis. Foco operacional nos níveis 1 e 2, onde 20% das falhas geram 80% do impacto (princípio de Pareto).
Estima perdas monetárias potenciais com base em probabilidade e valor do ativo. Traduz risco técnico para linguagem financeira, argumento direto para CFO e board.
TrustAI: IA generativa de remediação em português
Para cada ocorrência identificada pelo gap analysis, a TrustAI gera recomendações de mitigação personalizadas em português, baseadas nos padrões de ameaça e melhores práticas do setor. O analista não pesquisa a solução, recebe a recomendação com contexto da vulnerabilidade e do ativo afetado.
Indicadores-chave de gestão
Percentual de ativos com visão de riscos ativa, identifica pontos cegos onde a organização opera sem monitoramento.
Percentual de ocorrências prioritárias versus total, e percentual das prioritárias efetivamente corrigidas, mede se o time está focando no que importa e resolvendo.
Tempo Médio para Correção Priorizada e Tempo Médio de Correção geral, métricas auditáveis que demonstram evolução do programa de segurança ao longo do tempo.
Impacto no negócio: da cobertura declarada à cobertura real.
A diferença entre "cobertura declarada" e "cobertura real" é o gap que o CRS-CAASM torna visível, e que o auditor vai encontrar se você não encontrar primeiro.
A auditoria ISO 27001 que o CAASM prepara
Auditores de ISO 27001 consistentemente questionam a completude do inventário de ativos e a evidência de que os controles estão sendo aplicados, não apenas que existem. Uma organização que apresenta um relatório de cobertura de EDR baseado em dados cruzados com o inventário real, com percentuais auditáveis por grupo de ativos, tem muito mais facilidade em satisfazer o requisito A.8.1 do que uma que declara cobertura sem evidência de cruzamento.
M&A pós-integração: stack consolidado sem padronizar ferramentas
Após uma fusão ou aquisição, dois ambientes com stacks diferentes precisam de visibilidade consolidada imediatamente. O CRS-CAASM ingere as fontes de ambos sem exigir padronização de ferramentas, entrega um painel unificado com gap analysis enquanto a integração de stacks acontece em paralelo, no ritmo que os times precisam.
O custo de não saber: uma organização com 30% de ativos sem cobertura de EDR está estatisticamente mais exposta a ransomware do que uma com 95% de cobertura real auditada. A diferença entre os dois cenários frequentemente é apenas a visibilidade, os ativos descobertos existem em ambos, mas só um deles sabe quais são.
Compliance: o inventário com cobertura que os frameworks exigem.
O CRS-CAASM entrega inventário e gap analysis de controles em uma estrutura, evidência direta para A.8.1 com dados cruzados, não declarados.
O gap analysis do CRS-CAASM implementa os Controles 1 e 2 com verificação ativa de cobertura, não apenas listagem de ativos.
Gap analysis de MFA e IAM por ativo identifica automaticamente contas privilegiadas sem controles adequados, atendendo ao PR.AC.
O Cyber Risk Score 0 a 1000 com gap analysis por ativo crítico entrega a avaliação contínua de postura exigida pelo BACEN com histórico auditável.
Conclusão: a cobertura que você não vê é o risco que cresce.
Nenhum CISO aceitaria saber que 15% dos seus ativos críticos estão sem EDR. O problema é que a maioria não sabe, porque nenhuma ferramenta individual reporta sua própria falta de cobertura.
O CRS-CAASM não adiciona mais uma ferramenta ao stack, ele faz as que já existem trabalharem juntas para responder à pergunta que importa: quais ativos estão descobertos? Com gap analysis automatizado, Cyber Risk Score unificado e alimentação do CRQ, transforma a questão de cobertura de uma declaração em uma evidência auditável.
Descubra quais ativos estão fora dos seus controles.
Demonstração ao vivo