成功蓝图:实施 CTEM 行动

2024-07-07 13:38:59 0 464

成功蓝图:实施 CTEM 行动



攻击面已今非昔比,保护起来也变得十分困难。攻击面不断扩大和演变,意味着企业面临的风险急剧上升,而当前的安全措施难以保护企业。如果您点击了这篇文章,很有可能您正在寻找解决方案来管理这种风险。

2022 年,Gartner 提出了一个新框架来应对这些挑战 - 持续威胁暴露管理 (CTEM)。从那时起,实施该框架已成为许多组织的首要任务,因为它有望在保持高水平的安全准备和弹性方面取得重大进展。

“到 2026 年,根据持续风险管理计划优先考虑安全投资的组织遭受入侵的可能性将降低三倍。” Gartner,《如何管理网络安全威胁,而不是突发事件》,2023 年 8 月 21 日
CTEM 提供对攻击面及其内部暴露的持续而全面的视图,测试安全控制是否有效阻止了潜在的暴露利用,然后简化了修复选定漏洞的动员过程。

采用 CTEM 很快就会变得难以应付,因为它涉及协调许多不同的、不断变化的部分。将整个企业的数字资产、工作负载、网络、身份和数据整合在一起。因此,为了简化这一过程,我们将框架分解为各个支柱,提供可管理的步骤,指导您完成使风险管理变得可管理的过程。

支柱一:扩大攻击面的可见性#
资产管理面临的主要挑战是其范围有限。它仅提供攻击面的分段视图,通常仅集中于内部漏洞,而没有针对其生成的漏洞数据采取行动的范围。

CTEM 可以更好地了解攻击面(内部、外部和云)上的所有类型的暴露,以帮助组织更好地了解其真实的安全风险状况。

该过程首先分阶段确定数字资产的环境范围。我们建议初始范围包括以下任一内容:

外部攻击面往往范围较小,并受到不断发展的工具生态系统的支持。
SaaS 工具有助于更轻松地沟通风险,因为 SaaS 解决方案往往越来越多地托管关键业务数据。
在第二阶段,考虑扩大范围以包括数字风险防护,这将增加攻击面的可见性。

一旦确定了范围,组织就应该通过发现高优先级资产的风险来确定其风险状况。它还应纳入资产配置错误,特别是与安全控制相关的资产配置错误,以及其他弱点,例如伪造资产或对网络钓鱼测试的响应不佳。

支柱 2:提升漏洞管理水平#
漏洞管理 (VM) 长期以来一直是许多组织网络安全战略的基石,重点是识别和修补已知的 CVE。然而,随着 IT 环境的日益复杂和威胁行为者能力的增强,仅靠 VM 已不足以维持企业的网络安全态势。

考虑到每年发布的 CVE 数量不断增加,这一点尤其明显。仅去年一年,就有 29,085 个 CVE,其中只有2-7%被利用。这使得完美修补成为一个不切实际的目标,尤其是因为这没有考虑到不可修补的漏洞,例如配置错误、Active Directory 问题、不受支持的第三方软件、被盗和泄露的凭证等,到 2026 年,这些漏洞将占企业漏洞的 50% 以上。

CTEM 将重点转移到根据漏洞的可利用性及其对关键资产的风险影响来确定漏洞的优先级,而不是根据 CVSS 评分、时间顺序或供应商评分。这可确保首先解决对组织的连续性和目标最敏感的数字资产。

因此,优先级排序基于那些容易被利用且同时提供敏感数字资产访问权限的安全漏洞。两者结合导致这些风险(通常占所有已发现风险的一小部分)被优先考虑。

支柱 #3 验证将 CTEM 从理论转化为经过验证的策略#
CTEM 策略的最后一大支柱是验证,它是防止安全漏洞被利用的机制。为了确保安全控制的持续有效性,验证需要具有攻击性,即通过模拟攻击者的方法。

有四种策略可以像攻击者一样测试你的环境,每种策略都反映了对手所采用的技术:

以图表思考——防御者通常以列表的方式思考,无论是资产还是漏洞,而攻击者则以图表的方式思考,绘制出网络各个组件之间的关系和路径。
自动化测试- 手动渗透测试是一个成本高昂的过程,需要第三方渗透测试人员对您的安全控制进行压力测试。组织能够测试的范围有限。相比之下,攻击者利用自动化来快速、高效、大规模地发起攻击。
验证真实攻击路径- 攻击者不会关注孤立的漏洞;他们会考虑整个攻击路径。有效的验证意味着测试整个路径,从初始访问到被利用的影响。
持续测试- 手动渗透测试通常定期进行,每年一次或两次,但以“冲刺”或短暂、迭代周期进行测试,可让防御者适应 IT 变化的速度,通过解决出现的暴露来保护整个攻击面。
CTEM:立即投资 - 持续收获成果#
由于 CTEM 策略中涉及人员、流程和工具等各种不同要素,因此很容易让人不知所措。不过,请记住以下几点:

您不是从零开始。您已经拥有资产管理和漏洞管理系统,这里的重点只是扩大其范围。确保您的工具全面覆盖 IT 环境的整个攻击面,并随着变化的步伐不断更新。
将此视为一个持续改进的过程。实施 CTEM 框架成为一个敏捷的发现、缓解和验证周期。这项工作永远不会真正完成。随着企业的发展和成熟,您的 IT 基础设施也会随之发展。



将验证置于 CTEM 策略的核心位置。这让您有信心知道您的安全操作在经受考验时会经得起考验。在任何时候,您都应该知道自己的立场。也许一切都顺利,这很好。或者,可能会发现一个差距,但现在您可以用规范性方法来填补这个差距,充分了解下游的影响。

关于作者

maojila49篇文章213篇回复

评论0次

要评论?请先  登录  或  注册