構建持續威脅暴露管理(CTEM)計劃的三大挑戰及其應對方式
只要是網絡安全專業人員,就免不了陷入行業縮寫的汪洋大海,CNAPP、CWPP、CIEM……似乎每天都有新的首字母縮寫誕生。
本文聚焦另一個日漸興起的首字母縮寫詞——CTEM(Continuous Threat Exposure Management:持續威脅暴露管理),探討CTEM計劃走向成熟的過程中出現的種種驚人挑戰。盡管CTEM概念不是嶄新的,2022年7月就首次見諸報端,但很多企業在過去幾個月里啟動的計劃現在才剛剛開始嘗試實施。而隨著企業開始執行自己謹慎制定的計劃,他們可能會碰到一些意想不到的挑戰,或許會遭遇挫折。
持續威脅暴露管理(CTEM)是什么?
回溯問題根源之前,我們先快速瀏覽一下CTEM是什么不是什么。
持續威脅暴露管理不是一種技術,期望在供應商那兒找到個CTEM解決方案是不現實的(至少也不會只有一種工具)。相反,CTEM是包含5個階段的連續計劃或框架,旨在幫助企業監測、評估和降低漏洞可利用水平,并驗證其數據分析和修復流程是最優的。咨詢公司Gartner在2022年7月21日發布的報告《實施持續威脅暴露管理(CTEM)計劃》中寫道,“CTEM的目標是獲得可操作的持續安全態勢修復和改善計劃,業務主管可理解該計劃,而架構團隊能照此計劃采取行動。”
CTEM的目標有哪些?
Gartner的報告進一步指出,“以技術為中心的攻擊面和漏洞自評估項目會產生幾乎不具可操作性的報告,還有長長的通用修復列表。漏洞管理計劃很難跟上整個企業的體量,導致攻擊面快速擴張。”這些因素,加上其他幾個關鍵驅動因素——例如難以在攻擊面不斷擴張的情況下長期維持安全態勢,意味著從整體上確保安全的傳統方法越來越沒效果了。
根據咨詢公司Gartner在2022年7月21日發布的報告《實施持續威脅暴露管理(CTEM)計劃》,“CTEM的目標是獲得可操作的持續安全態勢修復和改善計劃,業務主管可理解該計劃,而架構團隊能照此計劃采取行動。”只要能夠正確實施,CTEM可搶在攻擊者下手之前識別并修復潛在的問題領域,幫助企業持續改善其安全態勢。
CTEM實施路上的三大挑戰
CTEM聽起來可真是太棒了。還等什么呢?趕緊實施啊!
等等,設立CTEM計劃確實是很棒的舉措,但在實施過程中也存在一些挑戰,需要解決這些挑戰才能成功實施。在實施階段盡早考慮這些問題可以節省時間,避免后續出現各種挫折。
挑戰1:溝通安全團隊和非安全團隊
IT/基礎設施/DevOps/應用等團隊和安全團隊溝通不良是個眾所周知的事實了;這在很多方面都造成了問題,但在實施新計劃或執行新任務時,這種脫節會讓情況更加嚴重。在CTEM實施過程中,安全團隊與非安全團隊之間的脫節會轉變成不了解非安全團隊中各種資源的歸屬,以及在SLA期望方面不一致等問題。
此處的問題在于,透徹溝通需求真的很難,尤其是在各團隊深陷“緊急!”項目泥沼的時候:對他們而言,CTEM不過是另一個此類項目而已。而這種缺乏理解可能會阻礙他們真正著手需要做的事情。
如何解決 - 從一開始就將非安全團隊的利益相關者納入對話。只交給他們一張待辦事項列表可不夠好。相反,你需要拉他們一起坐下來,解釋清楚你試圖達成的目標,讓他們真正了解你在做什么。征求他們的意見,找出他們需要你或公司其他團隊做些什么來解決他們的難題。此外,與他們共享網絡攻擊咨詢可以讓他們更加清楚網絡攻擊可能造成的業務影響,更加了解攻擊與自己負責的那攤子事的關系。
挑戰2:總攬全局
全面的CTEM計劃包含很多不同領域,從云到AD、軟件漏洞、網絡安全等等,幾乎所有領域都沾邊。這些領域各自為戰,各有歸屬,也都有自己的工具和需要解決的問題。CTEM的目標就是統合所有這些領域,形成整體視圖,各領域都為其他領域提供信息。在具體實施過程中,這意味著要聚合所有信息,并利用這些信息來了解工作重點和責任。
但做到基本了解本身就很難了,因為每個領域都需要不一樣的專業知識。你最不希望看到的情況就是,精心構建和執行的計劃無法了解每個領域存在的風險;或者,更糟的情況——遺漏了哪個特定問題領域。
如何解決 - 確定“關鍵人物”——能夠總攬全局并深刻了解所有覆蓋領域如何融合和相互影響的高級大師。這個人不需要了解每種工具具體是怎么運作的,也不需要了解每類安全問題都包括些什么,但他們應能掌握全局,可以全面精準地確保考慮到所有領域,并安排切實具備深入細致專業知識的專業人員持續解決這些安全問題。
挑戰3:克服診斷過載
我們回到CTEM涵蓋的所有不同領域上:另一個需要注意的重要方面是,由于各個領域都有自己的工具,所以都會產生警報。于是,CTEM的一個主要目標就是彌合源自這些工具的所有信息,而值得注意的一個副產品就是大量的無關噪音。
如何解決 - 接受不可能修復一切的事實,也就是說,你需要進行優先級排序并盡可能提高效率。因此,我們應該關注攻擊者最有可能攻擊的系統和被攻擊后會對業務產生重大影響的領域。這樣有助于采取循序漸進的方法,從小范圍入手,然后隨著計劃的趨于成熟而逐漸擴大。
結語
Gartner的報告預測,“到2026年,基于持續暴露管理計劃安排其安全投資的企業遭遇安全事件的可能性會減少三分之二。”這個下降幅度不可謂不大了。消除CTEM實現路上的一些潛在問題,企業就有望順暢實現CTEM。
