持续威胁暴露管理(CTEM)

始终监控永无止境的攻击面

浏览曝光命令

什么是持续威胁暴露管理(CTEM)?

持续威胁暴露管理(Continuous Threat 风险管理, CTEM)是一个程序,安全从业人员可以将其用于自动化持续监控 攻击表面 由于维护现代网络基础设施所需的IT和安全系统的数量以及请求网络访问的设备的绝对数量,这些系统正在呈指数级增长.

身份和访问管理(IAM) 功能是CTEM程序的关键部分,因为它们有助于正确地对企业网络中的大量用户和机器进行身份验证, 从而主动防范威胁. 根据Gartner®的研究, 目前,CTEM项目的受欢迎程度正在上升,原因在于:

  • “对大量潜在问题缺乏可视性
  • 在整个业务中孤立地获取技术
  • 增加对第三方的依赖”

研究继续陈述, “对暴露相关问题的关注焦点已经从简单地管理商业产品中的软件漏洞转移了. 如此大规模地增加技术风险的实现对安全运营团队来说是压倒性的.”

潜在的大规模风险对可能以医疗保健为重点的企业环境的影响, 例如, 是否会有更多的接入点和/或漏洞 威胁的演员 随意开发.

CTEM的五个阶段

从前到后, 首尾相连, 在持续管理威胁暴露的过程中有几个步骤. 重要的是,它们是顺序执行的,这样就不会有漏洞或潜在威胁从裂缝中溜走,并再次困扰组织.

  • 范围根据关键绩效指标(kpi)和业务目标评估攻击面的风险状态将有助于安全团队获得并达成明确的行动计划.
  • 发现:在范围界定完成后, 然后,CTEM程序中的发现工具可以开始以原始的方式识别实际的漏洞并攻击表面漏洞, i.e. 在优先排序开始之前.
  • 优先级:基于根据安全和业务策略执行的初始范围, 然后,CTEM程序将开始为发现的问题分配优先级的自动过程.
  • 验证:根据Gartner, “使用技术或服务能力的自动验证, 例如入侵和攻击模拟(BAS), 或者自动化渗透测试工具将:
    • 通过确认攻击者确实可以利用先前发现的和优先级暴露来评估可能的“攻击成功”.
    • 通过超越初始足迹并分析指向关键业务资产的所有潜在攻击路径来评估“最大潜在影响”.
    • 确定响应和修复已确定问题的流程是否对业务足够快和足够."
  • 动员•在确认潜在威胁载体后,在所有受影响的利益相关者之间进行沟通,并就补救行动计划达成一致,这是流程上的闭环——同时也回到确定范围的第一步.

CTEM的好处

在监视方面,始终在线的方法有明显的好处, 发现, 修复网络攻击面问题. 假设根据安全组织的特定需求正确地实现了CTEM计划,企业可以期望看到以下好处.

减少爆炸半径和冲击力

通过利用IAM和 网络访问控制(NAC) 身份验证和分段最佳实践, 威胁行为者进入网络变得更加困难——但并非不可能. 但是将这些无关的网络防御能力整合到一个持续监控程序中, 如果攻击者能够真正破坏,就有可能大大减少潜在破坏的影响.

更强的安全态势

因为在建立一个成功的CTEM项目后,可能会发生大量的风险降低, 安全组织有可能采用更主动的威胁缓解措施,并最终实现更强大 云安全态势管理 跨云环境. 结果是多孔性更少 攻击表面 以及保护企业不受强势和弹性地位的影响.

降低成本

这是每个利益相关者都希望看到的好处. 数据泄露的代价——尤其是规模相当大的泄露——是很多的:潜在的 ransomware 支出, 启动可能不考虑当前数据的备份, 因声誉受损而失去客户, 还有更多. 一个可以有效帮助降低风险的CTEM项目, 改善安全态势, 利用自动化, 从长远来看,减少违规后果可以节省数不清的资金和头痛.

CTEM项目实施最佳实践

CTEM计划可能会将安全计划的现有方面拉入一个屋檐下,以支持和自动化功能, 可以这么说. 当涉及到企业攻击面时, 持续不断的威胁正在逼近,以前没有构成风险的暴露正在浮出水面.

随着供应商的激增, 不仅很难知道哪个供应商的产品最适合一个组织,而且很难知道该计划的实施究竟涉及到什么. 让我们看一下各种独立的能力,一个CTEM计划可能依赖于一个统一的能力,以进一步实现网络弹性的目标.

确保应对外部威胁

考虑到组织攻击面的漏洞或漏洞可能很快成为外部攻击者破坏网络并迅速造成大量损害的威胁载体.

集成 外部攻击面管理(EASM) 将能力整合到CTEM程序中可以帮助加强后边界攻击面的防御,以便团队可以解决诸如暴露凭证之类的问题, 云配置错误, 以及外部商业运作.

尽早就结果进行沟通和协调

CTEM程序汇集了许多不同的工具,通过持续监视和识别暴露来保护企业攻击面. CTEM的目的需要重申,因为它的任务很大, 有许多利益相关者的意见需要考虑.

因此, 就结果达成一致,并就CTEM的目标达成一致,将有助于日常安全从业人员筛选不同的CTEM工具将不可避免地带来的诊断噪音. 只有当系统根据这些结果进行适当校准时,才能自动确定大量警报的优先级.

对风险有一个清晰的认识

如果CTEM发现了暴露并帮助团队修复它们,那么合并 数字风险保护(DRP) 功能将传达网络系统将包含漏洞/暴露的整体可能性的视图,并帮助团队修复这些问题.

一个面向公共互联网的应用程序(与任意数量的内部系统绑定)的风险级别可能比一个几年没有看到大量流量的老公司网页要高得多.

具有较高风险级别的应用程序现在可能不包含任何重要的暴露, 但它比过时的网页收到更频繁的更新——多得多. 更频繁的更新意味着更有可能无意中暴露, 因此风险水平更高.