持續威脅暴露管理（CTEM）應用實踐指南

主動安全防御的理念已經被提出很多年，但是很多安全專家對這種想法似乎已經不再抱有希望，原因是新型的網絡攻擊始終都在不斷變化，攻擊者有充分的時間和資源來設計新的攻擊策略，以繞過防御、逃避檢測。因此，基于攔截攻擊這種思路所設計的主動網絡安全模型在實踐中表現得往往差強人意。

在此背景下，研究機構Gartner提出了一種主動式安全防御新思路——持續威脅暴露管理（Continuous Threat Exposure Management，CTEM）。它并不關注攻擊事件本身，而是關注攻擊路徑，站在攻擊者的角度去思考攻擊可能發生在哪里，以及可能采用的攻擊戰術和實施手段。由于大多數企業組織的數據泄露都可以歸因為有限的攻擊面可見性，而CTEM正是強調了實時性的安全威脅發現、修復和緩解。

CTEM的應用價值

CTEM通過鼓勵安全團隊采用主動的風險管理心態，而非傳統模型的被動心態，這將有效改變企業內部和外部攻擊面管理模式。正是因為這一特點，Gartner將CTEM列為“2023年頂級網絡安全趨勢”。根據Gartner的預測，到2026年，成功實施CTEM計劃的組織所遭受的網絡攻擊威脅將會減少三分之二以上。

Gartner認為，CTEM是一種更加務實且有效的系統化威脅管理方法論，可以有效降低組織遭到安全泄密事件的可能性。通過優先考慮高等級的潛在威脅處置，CTEM實現了不斷完善的安全態勢改進，將“修復和態勢改進”從暴露面管理計劃中分離，強調有效改進態勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規性（GRC）的要求，可為企業長期安全管理戰略的轉變提供決策支撐。

通過優先考慮高等級的潛在威脅處置，CTEM實現了不斷完善的安全態勢改進，并將"修復和態勢改進"從暴露面管理計劃中分離，強調基于企業實際業務狀況改進安全威脅態勢的處置要求。同時，CTEM計劃的運作有特定的時間范圍，它遵循治理、風險和合規性的綜合要求，可為企業長期網絡安全管理戰略轉型提供決策支撐。

此外，通過將風險評估模型從基本的時間點（point-in-time）方法轉移到實時（real-time）風險意識，CTEM管理模型會非常適合于供應商風險管理計劃，因為在傳統的時間點模型中，僅在計劃評估時的單個時間點描繪第三方安全風險的圖像。而通過將風險評估與持續的攻擊面監控相結合，企業可以將實時組件整合到第三方攻擊面管理中，安全團隊能夠始終了解每個供應商的安全狀況，從而了解數據泄露的易感程度。

CTEM應用實踐

盡管CTEM有很多優點，但其真正實現也并不容易，因為這需要安全運營團隊長期投入大量時間、人員及其他資源。企業在實施CTEM計劃時，需要讓威脅暴露面管理評估成為一種常態，并將暴露面管理變成多層次的過程，具體包括：

• 風險搜尋：旨在隔離和預測可能存在的攻擊路徑；
• 危急評估：旨在按照風險級別和危害性對暴露面進行合理排序；
• 系統補救：旨在消除系統中存在的安全漏洞和不足；
• 設定目標：旨在使網絡風險管理與數字化發展目標協同一致。

為了保障CTEM項目的順利實施，研究人員總結了以下實用性建議：

確保現有的風險緩解流程都已優化并可擴展

由于在CTEM計劃實施后，系統之間的數據共享需求將顯著增加，因此必須首先優化當前的威脅發現和風險管理程序。否則，安全團隊將需要把大部分時間花在集成故障排除上，而不是管理攻擊面，這就違背了制定CTEM計劃的初衷。

設計有效的事件響應計劃

只有當組織能夠及時響應每個檢測到的威脅時，CTEM計劃所增強的威脅可見性才能真正發揮作用。事件響應計劃可幫助安全團隊在實時網絡攻擊的壓力下，有條不紊地采取適當的威脅響應措施。

繪制內、外部攻擊面

企業的攻擊面管理解決方案應該能夠映射出所有的攻擊面，只有實現充分的可見性才能完全符合CTEM的要求。因此，攻擊面管理解決方案需要可以檢測復雜的攻擊向量，例如生命周期結束的軟件、鏈接到易受攻擊服務器的域、未維護的頁面等，所有這些風險都能被輕松解決，從而快速減少攻擊面。

采取基于風險的方法

增強的可見性使安全團隊能夠了解其攻擊面狀態。但是，只有當安全團隊了解如何有效地分配風險緩解工作時，這些信息才有用。基于風險的漏洞管理方法（RBVM）是一個框架，可用于幫助安全團隊決定將安全響應工作的重點放在哪里。通過明確定義的風險偏好，RBVM框架會根據威脅對組織安全狀態的可能影響來判斷優先處理哪些威脅。

持續地優化改進

實時威脅可見性的要求已經超越了傳統的數字領域。在潛在威脅滲透到組織網絡之前，企業所有的員工在發現這些威脅方面都會起著至關重要的作用。因此，建議盡快更新組織的網絡安全意識培訓計劃，強調日常業務環境中威脅可見性和警惕性的重要性，并根據每個員工的日常反饋，不斷更新優化CTEM流程與目標。