White PaperSegurança reativa está sempre corrigindo o passado. CTEM corrige o presente
O fim da segurança reativa: como a EcoTrust CTEM AI Platform implementa gestão contínua de exposição
O modelo reativo de cibersegurança foi construído para um ritmo de ameaças que não existe mais. O documento explora por que o framework CTEM do Gartner representa uma mudança de paradigma e como a EcoTrust CTEM AI Platform o implementa com 10 módulos integrados, Dashboard unificado e IA em todas as fases.
O problema: o modelo dominante de segurança, scan periódico, relatório com milhares de CVEs, triagem manual, backlog que nunca zera, foi construído para um ritmo de ameaças que não existe mais. Em 2024, o tempo médio até exploração caiu para 4 horas. Superfícies de ataque mudam a cada sprint. O ciclo reativo garante que a organização está sempre corrigindo o que já foi explorado.
A abordagem: a EcoTrust CTEM AI Platform implementa o framework CTEM (Continuous Threat Exposure Management) do Gartner, um ciclo contínuo e simultâneo de 5 fases: Scoping, Discovery, Prioritization, Validation e Mobilization. Dez módulos especializados em 4 grupos funcionais operam integrados em um Dashboard unificado com ações prescritivas automáticas por fase.
O resultado: gestão contínua da exposição cibernética, não instantâneos periódicos. Score de exposição unificado (0 a 1000), VaR em Reais por cenário, Tempo Médio de Correção auditável do descoberta ao fechamento confirmado por re-scan e nível de maturidade CTEM evolutivo (0 a 5) que documenta o progresso do programa de segurança ao longo do tempo.
O modelo que sempre corrige o passado.
Toda organização que opera com scans periódicos de vulnerabilidade tem o mesmo problema estrutural: quando o relatório chega, o ambiente já é diferente do que foi escaneado.
O ciclo reativo clássico tem quatro etapas que se repetem indefinidamente: scan semanal ou mensal gera um relatório com milhares de CVEs; o time de segurança faz triagem manual e abre tickets; o time de infraestrutura aplica patches segundo sua agenda; no próximo scan, novos itens aparecem enquanto os antigos persistem. O backlog nunca zera. O risco real nunca é conhecido com precisão.
O problema não é a falta de ferramentas, a maioria das organizações opera entre 40 e 70 ferramentas de segurança. O problema é a falta de um processo que conecte essas ferramentas em um ciclo contínuo com priorização inteligente, validação de resultados e medição de progresso. Ter ferramentas sem processo produz dados sem direção.
A distinção fundamental: segurança reativa responde a eventos já ocorridos, alerta disparado, incidente investigado, patch aplicado depois do exploit. Gestão contínua de exposição opera antes do evento, mapeando o que está exposto agora, priorizando o que representa maior risco real e validando que as correções fecharam a janela. A diferença não é de ferramenta. É de paradigma operacional.
CTEM, o framework que o Gartner reconheceu como o próximo passo.
Em 2022, o Gartner definiu o CTEM (Continuous Threat Exposure Management) como o framework para organizações que querem ir além da gestão de vulnerabilidades tradicional. Não é uma categoria de produto, é uma mudança de processo.
Gartner · Hype Cycle for Security Operations, 2022: "Até 2026, organizações que priorizarem seus investimentos em segurança com base em um programa de Gestão Contínua de Exposição a Ameaças terão três vezes menos probabilidade de sofrer uma violação." (Pete Shoard, Jeremy D'Hoinne, 2022)
O CTEM não é uma evolução do SIEM nem do VM tradicional. É uma mudança de como a segurança se relaciona com o negócio: em vez de gerar relatórios para o CISO apresentar ao board uma vez por trimestre, o CTEM produz visibilidade contínua, priorização dinâmica e evidência de progresso mensurável, a linguagem que o board e o CFO precisam para tomar decisões de investimento.
Os cinco atributos que diferenciam CTEM de segurança reativa: ciclo contínuo (não periódico), escopo dinâmico (não lista estática), priorização por risco real (não por CVSS), validação de evidência (não declaração de patch instalado) e medição de progresso (não contagem de vulnerabilidades fechadas).
As 5 fases do ciclo, simultâneas, não sequenciais.
O ciclo CTEM não é uma sequência linear de etapas, é um conjunto de fases que operam simultaneamente em diferentes níveis de maturidade. Todas as cinco existem ao mesmo tempo; a organização avança em cada uma de forma independente.
Fase 1: Scoping
Mapear toda a superfície de ataque, ativos internos, externos e terceiros. Módulos: Discovery · Inventory · CRS-EASM · CRS-CAASM · CRS-TPRM. O Scoping responde "o que preciso proteger?", e a resposta inclui tudo que não está no CMDB, o shadow IT, os fornecedores críticos e o perímetro externo que só o atacante via.
Fase 2: Discovery
Identificar todas as vulnerabilidades e exposições em cada superfície. Módulos: VulScan · WebAppScan · GVul · CRS-EASM. Detecção de CVEs, patches ausentes, vulnerabilidades em aplicações web (OWASP Top 10), exposições externas e risco de terceiros, todas as fontes agregadas em uma visão unificada.
Fase 3: Prioritization
Determinar o que corrigir primeiro por risco real, impacto e ROI. Módulos: GVul · CRS-CAASM · CRQ. A priorização CTEM cruza três eixos: severidade técnica (CVSS), exploração ativa (EPSS + CISA KEV) e criticidade do ativo. O CRQ quantifica o impacto financeiro de cada decisão em Reais com metodologia FAIR + Monte Carlo.
Fase 4: Validation
Confirmar que as correções eliminaram as exposições sem regressões. Módulos: WebAppScan · Patch Management · VulScan. Re-scan pós-remediação confirma que a CVE não existe mais no ativo, não apenas que o patch foi instalado. Evidência técnica absoluta: payload, requisição, resposta e código de correção para vulnerabilidades web.
Fase 5: Mobilization
Executar remediações coordenadas e manter conformidade regulatória. Módulos: Patch Management · GVul · Discovery. Deploy autônomo via WMI/WinRM e SSH, três filas paralelas (regular, prioritária, zero-day), Tempo Médio de Correção calculado da detecção ao fechamento confirmado. Conformidade com ISO 27001, NIST CSF, PCI-DSS e BACEN monitorada continuamente.
10 módulos em 4 grupos, integrados, não sobrepostos.
A diferença entre uma plataforma e uma coleção de ferramentas é a integração real de dados. Na CTEM AI Platform, o output de cada módulo é o input de outro, os dados fluem sem intervenção manual.
Grupo 1: Gestão de Ativos
Discovery e Inventory. Mapeamento autônomo de ativos internos, externos e cloud. Discovery encontra o que existe; Inventory coleta 12 categorias de contexto por ativo, software, patches, CIS Benchmark, SBOM. Fundação de todo o ciclo CTEM.
Grupo 2: Gestão de Vulnerabilidades
VulScan, WebAppScan e GVul. VulScan correlaciona CVEs com EPSS + CISA KEV + ransomware. WebAppScan executa DAST com evidência técnica em 37 categorias. GVul agrega todas as fontes em um ranking com 3 eixos. Centro gravitacional do ciclo.
Grupo 3: Gestão de Riscos (CRS)
CRS-EASM, CRS-CAASM, CRS-TPRM e CRQ. EASM: outside-in, CT logs, shadow IT. CAASM: gap analysis de cobertura de controles (EDR, MFA, patch). TPRM: avaliação técnica contínua de fornecedores. CRQ: FAIR + Monte Carlo 10k iterações, ALE em Reais com VaR P90.
Grupo 4: Remediação
Patch Management. 6 fases autônomas: priorização, staging piloto, deploy via WMI/SSH, re-scan de validação, Tempo Médio de Correção calculado, relatório de compliance. Zero agentes nos endpoints. Loop fechado com CRQ: ALE atualizado no mesmo dia da confirmação.
O loop que fecha o ciclo: VulScan detecta CVE, CRQ calcula ALE em Reais, GVul prioriza com score + ALE, Patch Management deploya, re-scan confirma fechamento, CRQ atualiza ALE automaticamente. Do descoberta ao fechamento confirmado com impacto financeiro calculado, sem intervenção manual em nenhum ponto do ciclo.
Dashboard CTEM, visibilidade unificada em 5 camadas.
O Dashboard CTEM é a interface que une todas as fases e módulos em uma visão operacional e executiva simultânea. Não é um painel de relatórios, é uma superfície de orquestração que indica o que fazer agora para avançar o ciclo.
Camada 1: Header + Maturidade
Badge de nível CTEM (0 a 5), status do ciclo, contagem de módulos ativos. Indica em qual estágio do programa de segurança a organização está, visível em qualquer reunião de board.
Camada 2: Exposure Summary
5 indicadores always-on: Score de Exposição (0 a 1000, grade A a F), Ativos em Risco Crítico (CISA KEV), Velocidade de Redução, Cobertura de Validação e Risco VaR P90 em Reais. O que o CISO leva para o board toda semana.
Camada 2.5: Banner de Prioridade
Aparece automaticamente quando há CVEs CISA KEV sem remediação, pontos de estrangulamento críticos ou fases bloqueadas. Vermelho = crítico. Amber = alto. Botão "Ver fase" navega diretamente para o gargalo.
Camada 3: Ciclo das 5 Fases
Pipeline visual com percentual de completude por fase, estado (concluída, em progresso, bloqueada) e critério pendente. Ao clicar numa fase, abre o painel de inteligência com KPIs, card "Próximo Passo" e AI Insight.
Camada 4: Inteligência de Fase
Painel detalhado por fase: módulos participantes com status operacional, KPIs com sparkline temporal, card prescritivo "Próximo Passo" com critério numérico de avanço e AI Insight com análise contextual automática.
Camada 5: Feed de Operações
Timeline cronológica das ações executadas por todos os módulos. Urgência, atenção, conclusão, progresso, o analista vê o ciclo acontecendo em tempo real sem alternar entre painéis.
Sistema de scoring unificado, Escala CRS 0 a 1000: A (901 a 1000, Excelente), B (701 a 900, Bom), C (501 a 700, Regular), D (301 a 500, Deficiente), E (101 a 300, Muito Deficiente), F (0 a 100, Crítico). O Score de Exposição exibido no Dashboard é calculado como média ponderada dos scores CRS-EASM, CRS-CAASM e CRS-TPRM, proporcional ao volume de ativos em cada superfície.
Impacto no negócio, as três conversas que o CTEM transforma.
Conversa 1: CISO com o board
Antes do CTEM, o CISO apresenta "número de vulnerabilidades fechadas" e "tempo médio de remediação", métricas que o board não consegue comparar com outros riscos de negócio. Com o CTEM, o CISO apresenta o Score de Exposição com tendência, o VaR P90 em Reais e o nível de maturidade CTEM com progresso documentado. São métricas que o CFO entende e usa para calibrar o orçamento de segurança.
Conversa 2: Segurança com desenvolvimento
Antes do CTEM, o time de segurança abre tickets com listas de CVEs para o dev investigar. Com a fase de Validation do CTEM, cada vulnerabilidade confirmada vem com evidência técnica, payload, request, response e código de correção. O dev não investiga: corrige. O ciclo encurta estruturalmente porque duas etapas (validação e investigação) são eliminadas.
Conversa 3: CISO com reguladores e auditores
Antes do CTEM, a evidência de compliance é coletada manualmente, exports de múltiplas ferramentas, compilação em planilhas, apresentação que o auditor ainda vai questionar. Com o CTEM, cada fase produz evidência estruturada automaticamente: histórico de detecção, score de priorização, responsável, prazo, confirmação de fechamento por re-scan. O auditor aceita sem coleta adicional.
Compliance e maturidade, o programa que evolui junto com a organização.
Níveis de maturidade CTEM (0 a 5)
Nível 0, Inativo: nenhum módulo ativo, ciclo não iniciado. Ponto de partida de qualquer organização.
Nível 1, Inicial: Discovery ativo, primeiros ativos mapeados. A organização sabe o que existe, base para tudo.
Nível 2, Básico: Scoping e Discovery operacionais, primeiras vulnerabilidades identificadas com priorização automática.
Nível 3, Intermediário: Priorização GVul em andamento, CRQ quantificando risco financeiro, validação de evidências ativa.
Nível 4, Avançado: Validação robusta, remediações automatizadas com re-scan, conformidade regulatória acima de 90%.
Nível 5, Otimizado: Ciclo completo com todas as fases acima de 80%, melhoria contínua documentada, VaR em queda consistente.
Ciclo completo com trilha auditável por CVE: detecção, score, responsável, prazo, confirmação de fechamento.
As 5 fases do CTEM mapeiam diretamente para as funções do NIST CSF 2.0, relatório automático por função.
SLAs automáticos do GVul + evidência de exploração do WebAppScan + re-scan do Patch Management, aceitos por QSAs sem coleta adicional.
Relatório executivo automático com Cyber Risk Score, VaR P90 em Reais e evolução temporal, pronto para o comitê de riscos.
Conclusão, o ciclo que muda a relação com o risco.
Segurança reativa é o modo de operação de quem aceita que vai descobrir brechas depois de exploradas. CTEM é o modo de operação de quem decide que o risco precisa ser gerenciado continuamente, não documentado retrospectivamente.
A EcoTrust CTEM AI Platform não é uma coleção de ferramentas com um dashboard em cima. É uma plataforma de orquestração onde os dados de cada módulo alimentam o próximo passo de cada fase, e onde o Dashboard CTEM transforma o trabalho técnico de segurança em visibilidade executiva com linguagem de negócio.
O mapa de maturidade CTEM (0 a 5) é o que transforma o programa de segurança de uma despesa defensável por medo em um investimento com trajetória de retorno documentada. O board vê o Score de Exposição cair. O CFO vê o VaR P90 em Reais diminuir. O CISO apresenta dados, não percepções.
O ciclo começa com o primeiro módulo ativo. Cada fase avança independentemente. A maturidade evolui ao longo do tempo, e cada nível avançado reduz a probabilidade de breach de forma mensurável.
Veja o Dashboard CTEM com seu ambiente.
Demonstração ao vivo