Непрерывное управление воздействием угроз (CTEM): полное руководство для CISO

В течение многих лет организации вкладывали значительные средства в брандмауэры, системы обнаружения вторжений и другие средства защиты. Затем проблемы с соблюдением нормативных требований подтолкнули их к развёртыванию сканеров уязвимостей и даже к более агрессивному подходу с использованием практики Red Teaming.

Эта поэтапная стратегия учитывала конкретные потребности, но не имела единого представления. Несмотря на все усилия компаний, взломы всё ещё происходят, и часто с катастрофическими последствиями. Организации постепенно отходят от индивидуального подхода к разным поставщикам и стремятся к консолидации данных — когда единая платформа предлагает комплексное решение для обеспечения безопасности.

Недавний опрос Gartner показал, что 75% организаций активно проводят консолидацию поставщиков систем безопасности. Этот сдвиг прокладывает путь к новому мощному подходу: непрерывному управлению воздействием угроз (CTEM). Но что же такое CTEM?

Даже если вы слышите это слово впервые, будьте уверены, оно не будет последним. Термин CTEM, придуманный Gartner, является новым модным веянием, способным привести к значительным изменениям в ландшафте кибербезопасности. Но в отличие от других модных тенденций, CTEM предлагает нечто действительно ценное. К концу этой статьи вы точно поймёте, почему.

Что такое непрерывное управление воздействием угроз (CTEM)?

Непрерывное управление воздействием угроз (Continuous Threat Exposure Management, CTEM) — это проактивная методология обеспечения безопасности, которая использует постоянный мониторинг, оценку и стратегии смягчения последствий для устранения уязвимостей на расширяющемся пространстве атак организации.

Многие компании полагаются на защитные инструменты безопасности, такие как AVS, MDR, XDR и SIEM, для защиты от кибератак. Эти инструменты имеют решающее значение, но они требуют быстрого реагирования и начинают действовать только тогда, когда атака уже ведётся.

Для более активного подхода стоит рассмотреть пентестирование, управление поверхностью атаки и программы CTEM. Они сосредоточены на наступательной стороне безопасности. Вместо того, чтобы ждать атаки, они заранее выявляют потенциально слабые звенья безопасности в вашей организации и предпринимают шаги по их усилению.

Компании часто вкладывают значительные средства в защитные инструменты, но многие из них затем работают в пассивном режиме с конфигурациями по умолчанию. Это создаёт ложное чувство безопасности. Организации могут считать, что они хорошо защищены, пока не проведут атакующий тест, подобный программе CTEM. Когда они оценивают свои средства контроля с помощью имитируемых атак, они часто с удивлением для себя обнаруживают уязвимости, которые могут обойти защитные инструменты.

Программа непрерывного управления воздействием угроз активно ищет слабые места. Она включает в себя анализ вашей среды, обнаружение уязвимостей, определение их приоритетности на основе риска, проверку потенциальных путей атаки, а затем мобилизацию команд для исправления этих уязвимостей. Этот упреждающий подход значительно укрепляет вашу общую систему безопасности.

Зачем организациям CTEM? Какую проблему решает CTEM?

Существует непрекращающееся давление по обеспечению безопасности жемчужины вашей организации — её данных и критически важной инфраструктуры. Когда-то было достаточно устаревших мер безопасности, таких как простые брандмауэры, но сегодняшние киберпреступники стали куда более изощрёнными и настойчивыми.

Вот в чём проблема: вы не можете эффективно защитить то, чего не видите полностью. Традиционное управление уязвимостями оставляет слепые зоны, которыми могут воспользоваться злоумышленники. Здесь на помощь и приходит непрерывное управление воздействием угроз.

CTEM устраняет критический пробел в системе безопасности, предоставляя всестороннее и постоянное представление о поверхности атаки на вашу организацию.

Давайте разберём конкретные проблемы, которые решает CTEM:

1. Неопознанные и неисправленные уязвимости. В киберпространстве и цифровых продуктах постоянно обнаруживаются новые уязвимости. Непрерывное управление воздействием угроз выходит за рамки проверок на определённый момент времени, предлагая непрерывное выявление этих уязвимостей. Это позволяет киберспециалистам грамотно расставлять приоритеты в своих усилиях, устраняя наиболее критические риски до того, как они будут применены на практике.
2. Теневые ИТ и неуправляемые устройства. Расширяющаяся область атаки выходит за рамки традиционных ИТ-ресурсов. CTEM активно обнаруживает и профилирует все подключенные устройства, включая те, которые развёрнуты за пределами компетенции IT (теневые IT). Это позволяет оценить степень их риска и внедрить соответствующие средства контроля.
3. Неправильные настройки и пробелы в безопасности. Даже при использовании самых надёжных политик защиты могут возникать неправильные настройки. CTEM постоянно отслеживает ваши системы и конфигурации, позволяя вам заблаговременно выявлять и устранять пробелы в безопасности, прежде чем злоумышленники смогут ими воспользоваться.
4. Развивающиеся угрозы и методы. CTEM включает в себя анализ угроз для понимания новейших методов злоумышленников. Это позволяет вам действовать на опережение и предвидеть потенциальные атаки, а не просто реагировать на них.
5. Ограниченный обзор и неполная инвентаризация. Традиционные инструменты безопасности часто предоставляют фрагментированное представление о поверхности атаки. CTEM предлагает единый обзор всей вашей ИТ-экосистемы, предоставляя чёткое представление о ваших уязвимостях и подверженности взлому. Это позволяет принимать обоснованные решения о распределении ресурсов и снижении рисков.

Таким образом, уже к этому моменту вам должно было стать понятно, что CTEM — это не просто преходящая тенденция, а фундаментальный сдвиг в том, как CISO должны управлять киберрисками.

Почему вокруг CTEM сейчас такая шумиха?

Недавний отчёт Gartner показывает резкий рост внедрения CTEM: 71% организаций признают его ценность и рассматривают как ключ к упреждающему управлению киберрисками. Отчёт также показывает, что 60% респондентов активно внедряют программы CTEM или серьёзно рассматривают их для интеграции в будущем.

Вот краткий обзор того, что прогнозирует Gartner относительно решений CTEM:

• К 2026 году у организаций, отдающих приоритет CTEM, будет в 3 раза меньше шансов столкнуться с нарушениями.
• Одного традиционного автоматизированного исправления будет недостаточно. CTEM сыграет решающую роль в управлении недоступными поверхностями атак.
• К 2025 году руководители служб безопасности, которые используют CTEM в своих командах, увидят 50%-ный прогресс в оптимизации безопасности.
• К 2027 году отсутствие постоянного управления удалённым доступом значительно увеличит риск взломов.

5 этапов непрерывного управления воздействием угроз (CTEM)

CTEM разработан для постоянного снижения подверженности вашей организации угрозам безопасности. Это не отдельный продукт, а стратегический подход, поддерживаемый подходящими продуктами. Ниже представлена разбивка по пяти ключевым этапам, необходимым для успешного внедрения непрерывного управления воздействием угроз:

Этап 1. Определение сферы охвата (определение ваших критически важных активов)

• Определение ключевых поверхностей атаки. На этом этапе закладывается основа для составления карты всей поверхности атаки. Сюда входят ИТ-инфраструктура, приложения, хранилища данных и любые другие ресурсы, которые могут быть использованы злоумышленниками.
• Определение приоритета критичности бизнеса. Не все активы созданы равными по своей ценности. Тесное сотрудничество с заинтересованными сторонами из различных отделов вашей компании (ИТ, юридических, комплаенс, разработки и т.д.) поможет определить важность каждого актива для вашей бизнес-деятельности. Это помогает расставить приоритеты в усилиях и гарантирует, что вы сосредоточитесь на наиболее ценных объектах для злоумышленников.
• Адаптация к изменениям. По мере роста и адаптации вашего бизнеса растут и ваши потребности в области безопасности. Ключевым является упреждающий подход. Первоначальное определение сферы охвата должно быть непрерывным процессом. Регулярный пересмотр вашего плана атак и бизнес-приоритетов гарантирует, что ваша программа CTEM в будущем также останется актуальной и эффективной.

Этап 2. Обнаружение (выявление ваших угроз)

• Комплексная оценка. Выходите за рамки простого выявления отдельных уязвимостей. Этот этап включает глубокое изучение каждого актива для выявления всех потенциальных уязвимостей. Сюда входят неправильные настройки, средства контроля доступа к удостоверениям личности в Active Directory и другие слабые места, которыми могут воспользоваться злоумышленники.
• Понимание путей атаки. Воздействия редко существуют изолированно. Здесь основное внимание уделяется анализу того, как различные воздействия могут быть объединены в цепочку для эффективной атаки. Понимая эти потенциальные пути компрометации, вы можете определить, какие активы подвергаются наибольшему риску.
• Определение приоритетов для устранения последствий. Сам объём потенциального воздействия может быть огромным. Этот этап помогает расставить приоритеты в усилиях по обнаружению, сосредоточив внимание на активах с наивысшей критичностью для бизнеса и наиболее опасными сочетаниями рисков.

Этап 3: Определение приоритетов (сосредоточение ваших усилий)

• Риск-ориентированный подход. Крупные организации подвержены гораздо большему числу угроз, чем они могут реально устранить за один раз. На этом этапе используется риск-ориентированный подход, учитывающий серьёзность известных угроз, нацеленных на эти воздействия, а также критичность затронутых активов. Это гарантирует, что вы будете в первую очередь решать только те проблемы, которые представляют наибольший общий риск.
• Не только уязвимости. Традиционная расстановка приоритетов часто фокусируется исключительно на уязвимостях. CTEM использует более целостный подход, принимая во внимание неправильные настройки, риски идентификации и то, как они влияют на общий ландшафт рисков.
• Определение приоритетов оптимизация путей атаки. Выходя за рамки отдельных воздействий, вы должны рассмотреть, как они могут быть объединены в цепочку для формирования путей атаки. Понимая эти пути и целевые критически важные активы, вы можете расставить приоритеты для исправлений, которые оказывают наибольшее влияние на снижение общего риска.

Этап 4: Валидация (подтверждение угрозы)

• Использование инструментов. На этом этапе используются различные инструменты для проверки потенциального воздействия выявленных уязвимостей. Эти инструменты могут помочь оценить вероятность успешного эксплойта на основе данных о реальных угрозах.
• Уточнение приоритетов. В некоторых случаях процесс проверки может послужить основой для дальнейшего определения приоритетов на этапе 3. Подтвердив возможность использования воздействия, вы можете сфокусироваться на устранении наиболее критичных угроз.
• Тестирование средств контроля безопасности. Тестирование также может использоваться для проверки эффективности существующих средств контроля безопасности. Оно поможет убедиться, что ваши средства контроля действительно снижают выявленные риски. Его также можно использовать для автоматизации периодического пентеста, обеспечивая непрерывную оценку состояния вашей безопасности.

Этап 5: Мобилизация (принятие мер)

• Согласование и ответственность. Этот заключительный этап гарантирует, что все участники процесса понимают свою роль и обязанности в рамках программы CTEM. Чёткая коммуникация и сотрудничество между группами безопасности и ИТ-подразделениями, ответственными за устранение неполадок, жизненно необходимы для успеха.
• Ценность снижения рисков. Как службы безопасности, так и ИТ-отделы выигрывают от чёткого понимания ценности снижения рисков, связанной с каждым мероприятием по устранению уязвимостей. Это способствует сотрудничеству и расставляет приоритеты в усилиях, которые обеспечивают наиболее значительные улучшения безопасности.
• Постоянное совершенствование. Мобилизация включает в себя создание механизмов отчётности для отслеживания общей эффективности программы CTEM. Эти отчёты демонстрируют улучшения, внесённые в вашу систему безопасности с течением времени, что позволяет вам постоянно оптимизировать свой подход.

Выполнив эти пять этапов, вы сможете создать надёжную программу непрерывного управления воздействием угроз, которая постоянно выявляет, расставляет приоритеты и устраняет риски безопасности вашей организации. Этот упреждающий подход сводит к минимуму поверхность атаки и снижает общий риск успешной кибератаки.

Как правильно выбрать поставщика CTEM?

Итак, вы готовы вывести свою кибербезопасность на новый уровень с помощью непрерывного управления воздействием угроз. Умный ход! Но при обширном количестве поставщиков ИБ-решений, как найти того, который идеально подходит для вашей компании? Давайте разберём несколько ключевых вопросов, которые следует задать себе при оценке поставщиков CTEM:

1. Может ли предложенное решение адаптироваться к вашему бизнесу?

Каждая компания уникальна, у неё своя ИТ-инфраструктура и потребности в безопасности. Универсального CTEM-решения не существует. Вам нужен поставщик, способный адаптироваться к вашей конкретной среде, будь то небольшой стартап или разросшееся предприятие. Спросите себя:

• Предлагает ли поставщик настраиваемые информационные панели и отчёты, соответствующие моим приоритетам?
• Может ли решение интегрироваться с моими существующими инструментами безопасности?

2. Позволяет ли предложенное решение увидеть общую картину и мелкие детали?

Представьте, что вор пытается проникнуть в ваш дом. Он бы проверял не только входную дверь, верно? Он бы искал слабые места повсюду — окна, задние ворота и даже дверцу для собаки. Хорошее решение для непрерывного управления воздействием угроз работает таким же образом. Оно должно выходить за рамки базовых уязвимостей и выявлять широкий спектр угроз, в том числе:

• Неправильные настройки в ваших системах;
• Проблемы с идентификацией и доступом;
• Внешние угрозы, скрывающиеся в Интернете.

3. Может ли предложенное решение хорошо работать с другими инструментами?

Ни одно средство обеспечения безопасности не существует изолированно. Надёжное решение CTEM должно хорошо интегрироваться с другими продуктами безопасности, которые вы используете. Это позволяет получить более целостное представление о вашей системе безопасности и избежать создания информационных пробелов. Рассмотрите эти вопросы:

• Будет ли это решение CTEM плавно интегрироваться с моими существующими инструментами безопасности?
• Предоставляет ли поставщик чёткую документацию и поддержку для обеспечения бесперебойного процесса интеграции?

4. Даёт ли предложенное решение полезную информацию?

Нет ничего хуже инструмента безопасности, который просто выдаёт вам кучу предупреждений без какого-либо чёткого направления по их исправлениям. Хорошее решение CTEM должно предоставлять полезную информацию, которая поможет вам быстро расставлять приоритеты и устранять угрозы. Вот о чём следует спросить себя:

• Предоставляет ли это решение CTEM чёткую и сжатую информацию о каждой выявленной угрозе?
• Определяет ли оно приоритеты рисков на основе серьёзности и потенциального воздействия, помогая мне в первую очередь сосредоточиться на наиболее важных проблемах?

5. Предложенное решение работает всегда или часто делает «кофе-брейки»?

Угрозы кибербезопасности никогда не дремлют, как и идеальное решение CTEM. Ищите поставщика, который предлагает непрерывный мониторинг, то есть постоянно сканирует вашу среду на наличие уязвимостей и подозрительной активности. Спросите себя:

• Обеспечивает ли это решение CTEM мониторинг в режиме 24/7, гарантируя, что я всегда буду в курсе потенциальных угроз?
• Предоставляет ли оно оповещения в режиме реального времени, чтобы я мог при необходимости предпринять немедленные действия?

6. Могу ли я рассчитывать на данного поставщика в критической ситуации?

Давайте будем честны, даже лучшая платформа CTEM иногда нуждается в человеческой помощи. Когда у вас возникает вопрос или вы сталкиваетесь с проблемой, вам нужна надёжная команда поддержки, которая сможет быстро вернуть вас в нужное русло. Итак, спросите себя:

• Предлагает ли поставщик несколько каналов поддержки (телефон, электронная почта, чат)?
• Как быстро они обычно реагируют на запросы?
• Есть ли у них разные уровни поддержки для разных нужд

(базовый или премиум)?

Сильная команда поддержки, с которой можно связаться в два клика, является неотъемлемой частью любого решения CTEM.

7. Могу ли я понять, что происходит?

Платформа CTEM предназначена для обеспечения чёткого представления о состоянии вашей безопасности. Но что хорошего в этой видимости, если получаемые вами отчёты запутанны или загромождены? Вот что вам нужно учитывать:

• Предлагает ли платформа настраиваемые отчёты, которые вы можете адаптировать к своим конкретным потребностям?
• Просты ли отчёты для понимания даже нетехническим пользователям?
• Можете ли вы детализировать конкретные детали для дальнейшего изучения?

Чёткая и лаконичная отчётность является ключом к принятию обоснованных решений относительно вашей стратегии безопасности. Вам не обязательно становиться аналитиком данных только для того, чтобы понять, что говорит вам ваша платформа CTEM.

8. Просто ли предложенное решение в использовании?

Сложная и неуклюжая платформа CTEM может быстро стать обузой для вашей ИТ-команды. Идеальное решение должно быть интуитивно понятным и удобным для пользователя, позволяющим вашей команде быстро приступить к работе с минимальным обучением. Вот несколько вопросов, которые следует задать:

• Предлагает ли платформа понятный и простой в навигации интерфейс?
• Могут ли пользователи с различным набором технических навыков комфортно использовать платформу?
• Предлагает ли поставщик обучающие ресурсы, которые помогут вашей команде получить максимальную отдачу от платформы?

Удобная платформа сэкономит вам кучу времени и ресурсов в долгосрочной перспективе. Ваша команда должна сосредоточиться на укреплении вашей защиты, а не на борьбе со сложным интерфейсом.

9. Может ли предложенное решение расти вместе с вами?

Потребности вашего бизнеса постоянно развиваются, и ваше решение CTEM должно быть способно идти в ногу со временем. Ищите платформу, которая может масштабироваться в соответствии с вашими растущими потребностями в безопасности. Учитывайте эти факторы:

• Может ли платформа работать с растущим числом устройств и пользователей?
• Обеспечивает ли она гибкость при интеграции с другими инструментами безопасности, которые вы можете использовать?
• Может ли поставщик удовлетворить ваши будущие требования к безопасности?

Масштабируемое решение для непрерывного управления воздействием угроз обеспечит вам необходимую защиту как сегодня, так и в будущем.

10. Портфолио ИБ-поставщика

Когда дело доходит до кибербезопасности, опыт имеет значение. Ищите поставщика с проверенным опытом работы. Вот несколько моментов, на которые следует обратить внимание:

• Имеет ли поставщик хорошую репутацию в индустрии кибербезопасности?
• Есть ли у него опыт работы с компаниями в вашей отрасли?
• Может ли он предоставить тематические исследования или отзывы довольных клиентов?

Принятие мер: первый шаг к более безопасному будущему

Теперь вам, возможно, интересно, с чего начать. Хорошая новость в том, что CTEM — это масштабируемое решение. Вы можете начать с малого, сосредоточившись на конкретных областях, таких как управление поверхностью внешних атак или определение приоритетов уязвимостей. По мере того, как вы приобретаете уверенность и опыт, вы можете расширять свою программу CTEM, чтобы охватывать более широкий спектр потребностей в области безопасности.

Самое важное — это не сидеть сложа руки, а предпринимать активные действия. Внедряя стратегию непрерывного управления воздействием угроз, вы применяете упреждающий подход к обеспечению безопасности данных и критически важных активов вашей организации. Это инвестиция в будущее и обязательство по созданию более надёжной системы безопасности, способной защитить вас от большинства рисков.