CTEM 101 - Выход за рамки управления уязвимостями с помощью непрерывного управления выявлением угроз

Teacher

Teacher

Professional
Messages
2,670
Reaction score
775
Points
113
В мире постоянно расширяющегося жаргона добавление еще одного FLA (четырехбуквенной аббревиатуры) в ваш глоссарий может показаться последним, что вам хотелось бы делать. Но если вы ищете способы постоянного снижения рисков в вашей среде при одновременном значительном и последовательном повышении уровня безопасности, по нашему мнению, вам, вероятно, стоит рассмотреть возможность создания программы непрерывного управления выявлением угроз (CTEM).

CTEM - это подход к управлению киберрисками, который сочетает моделирование атак, определение приоритетов рисков и рекомендации по устранению в рамках одного скоординированного процесса. Термин "Непрерывное управление выявлением угроз" впервые появился в отчете Gartner ® "Внедрите программу непрерывного управления выявлением угроз" (CTEM) (Gartner, 21 июля 2022 г.). С тех пор мы видим, что организации по всему миру осознают преимущества этого комплексного, постоянного подхода.

Сосредоточьтесь на областях с наибольшим риском​

Но почему CTEM популярна и, что более важно, как она улучшает и без того перенаселенный мир управления уязвимостями?

Центральное место в CTEM занимает выявление реальных рисков для критически важных активов. Любой может определить улучшения безопасности в среде организации. Проблема заключается не в поиске уязвимостей, а в том, что они переполняют – и в возможности определить, какие представляют наибольший риск для критически важных активов.

По нашему мнению, программа CTEM поможет вам:
  1. Определите ваши наиболее уязвимые активы, а также способы их использования злоумышленником
  2. Понимание воздействия и вероятности потенциальных взломов
  3. Определите приоритетность наиболее неотложных рисков и уязвимостей
  4. Получите практические рекомендации по их устранению
  5. Постоянно контролируйте состояние своей безопасности и отслеживайте прогресс

С помощью программы CTEM вы можете получить "представление злоумышленника", сопоставляя недостатки в вашей среде с вероятностью их использования злоумышленником. Результатом является список уязвимостей с указанием приоритетов, которые необходимо устранить, включая те, которые можно безопасно устранить позже.

Пять этапов программы CTEM​


Управление уязвимостями


CTEM - это программа, которая снижает риски кибербезопасности в пять этапов, а не для конкретного продукта или услуги:
  1. Определение сферы применения – По словам Gartner, "Чтобы определить, а затем и уточнить сферу применения инициативы CTEM, группам безопасности необходимо сначала понять, что важно для их бизнес-партнеров и какие последствия (например, необходимый перерыв в работе производственной системы), вероятно, будут достаточно серьезными, чтобы потребовать совместных усилий по исправлению ситуации".
  2. Обнаружение – Gartner говорит: "После завершения определения области применения важно начать процесс выявления активов и их профилей рисков. Приоритет следует отдавать обнаружению в областях бизнеса, которые были определены в процессе определения области охвата, хотя это не всегда является движущей силой. Обнаружение уязвимостей выходит за рамки уязвимостей: оно может включать неправильную конфигурацию активов и средств контроля безопасности, но также и другие слабые места, такие как поддельные активы или плохие ответы на тест на фишинг."
  3. Определение приоритетов – На этом этапе, по словам Gartner, "Целью управления уязвимостями является не попытка устранить каждую выявленную проблему или, например, большинство угроз нулевого дня, а выявление и устранение угроз, которые с наибольшей вероятностью будут использованы против организации". Gartner далее отмечает, что "Организации не могут использовать традиционные способы приоритизации уязвимостей с помощью предопределенных базовых показателей серьезности, поскольку им необходимо учитывать распространенность эксплойтов, доступные средства контроля, варианты смягчения последствий и критичность для бизнеса, чтобы отразить потенциальное воздействие на организацию.
  4. Проверка – этот этап, согласно Gartner, "является частью процесса, с помощью которого организация может проверить, как потенциальные злоумышленники на самом деле могут использовать выявленную уязвимость и как могут отреагировать системы мониторинга и контроля". Gartner также отмечает, что цели этапа проверки включают "оценку вероятного "успеха атаки" путем подтверждения того, что злоумышленники действительно могли воспользоваться ранее обнаруженными и приоритетными уязвимостями.
  5. Мобилизация, – говорит Gartner, - "Чтобы обеспечить успех, руководители служб безопасности должны признать и довести до сведения всех заинтересованных сторон, что устранение неполадок не может быть полностью автоматизировано". В отчете далее отмечается, что "целью усилий по "мобилизации" является обеспечение того, чтобы команды внедрили выводы CTEM на практике путем уменьшения трудностей в процессах утверждения, внедрения и развертывания мер по смягчению последствий. Это требует от организаций определения стандартов связи (информационных требований) и документированных рабочих процессов межкомандного утверждения."

CTEM против Альтернативные подходы​

Существует несколько альтернативных подходов к пониманию и улучшению состояния безопасности, некоторые из которых используются десятилетиями.
  • Управление уязвимостями / RBVM фокусируется на снижении риска посредством сканирования для выявления уязвимостей, затем определения их приоритетности и устранения на основе статического анализа. Автоматизация необходима, учитывая количество активов, которые необходимо проанализировать, и постоянно растущее число выявленных уязвимостей. Но RBVM ограничивается идентификацией CVE и не решает проблемы с идентификацией и неправильными настройками. Кроме того, в нем отсутствует информация, необходимая для правильного определения приоритетов исправления, что обычно приводит к повсеместному отставанию в работе.
  • Командные упражнения Red - это ручные, дорогостоящие, разовые тесты средств защиты от кибербезопасности. Они стремятся определить, существует ли успешный путь атаки в определенный момент времени, но они не могут идентифицировать весь спектр рисков.
  • Аналогичным образом, тестирование на проникновение использует методологию тестирования в качестве оценки риска и обеспечивает результат на определенный момент времени. Поскольку он предполагает активное взаимодействие с сетью и системами, он обычно ограничен в отношении критически важных активов из-за риска отключения.
  • Управление состоянием облачной безопасности (CSPM) фокусируется на проблемах неправильной конфигурации и рисках соответствия требованиям исключительно в облачных средах. Хотя это и важно, оно не учитывает удаленных сотрудников, локальные ресурсы или взаимодействие между несколькими поставщиками облачных технологий. Эти решения не осознают полного пути распространения рисков атак, которые пересекаются в различных средах, что является обычным риском в реальном мире.

Мы считаем, что программный подход CTEM обеспечивает следующие преимущества:
  • Охватывая все ресурсы — облачные, локальные и удаленные — и зная, какие из них наиболее критичны.
  • Непрерывное обнаружение всех типов уязвимостей — традиционных CVE, идентификационных данных и неправильных настроек.
  • Представление реальной картины взглядов злоумышленника
  • Приоритетность усилий по исправлению для устранения этих путей с наименьшим количеством исправлений
  • Предоставление рекомендаций по устранению для надежных и повторяющихся улучшений

Ценность CTEM​

Мы считаем, что подход CTEM имеет существенные преимущества перед альтернативами, некоторые из которых используются десятилетиями. По сути, организации потратили годы на выявление уязвимостей, добавление их в бесконечные списки "дел", затрачивая бесчисленное количество времени на заполнение этих списков, и все же не получая явной выгоды. С CTEM более продуманный подход к обнаружению и расстановке приоритетов повышает ценность за счет:
  • Быстрое снижение общего риска
  • Повышение ценности каждого исправления и потенциальное высвобождение ресурсов
  • Улучшение взаимодействия между командами безопасности и ИТ
  • Обеспечение общего представления обо всем процессе, стимулирование положительной обратной связи, способствующей постоянному совершенствованию

Начало работы с CTEM​

Поскольку CTEM - это процесс, а не конкретная услуга или программное решение, начало работы - это целостное мероприятие. Участие организации - важный первый шаг. Другие соображения включают:
  • Поддержка процессов и сбор данных с помощью соответствующих программных компонентов
  • Определение критических активов и обновление рабочих процессов исправления
  • Выполнение при правильной системной интеграции
  • Определение надлежащей отчетности руководства и подхода к улучшению состояния безопасности
На наш взгляд, с помощью программы CTEM организации могут выработать общий язык с рисками для безопасности и ИТ; и гарантировать, что уровень риска для каждого воздействия станет ясным. Это позволяет осмысленным и измеримым образом устранять горстку воздействий, которые действительно представляют риск, из многих тысяч существующих.

Для получения дополнительной информации о том, как начать работу с вашей программой CTEM, ознакомьтесь с техническим документом XM Cyber, XM Cyber о введении в действие платформы Continuous Threat Exposure Management (CTEM) от Gartner®.
 
You must log in or register to reply here.

Similar threads

Father
Использование возможностей CTEM для обеспечения облачной безопасности
Replies
0
Views
129
Father
Father
Father
Навигация по ландшафту угроз: понимание управления экспозицией, пентестирования, объединения Red и RBVM
Replies
0
Views
105
Father
Father
Tomcat
CPE по кибербезопасности: выяснение того, что, почему и как
Replies
0
Views
102
Tomcat
Tomcat
Father
Управление поверхностью атаки против Управление уязвимостями
Replies
0
Views
206
Father
Father
Man
11 крупнейших угроз кибербезопасности финансового сектора
Replies
0
Views
102
Man
Man
Back
Top