факты
August 2

Великая Иллюзия: Обзор CTEM

Непрерывное управление выявлением угроз (CTEM) – это стратегия кибербезопасности, которая фокусируется на выявлении, оценке и снижении рисков в цифровой среде организации посредством непрерывного мониторинга и повышения уровня безопасности. CTEM – это не отдельный инструмент или технология, а набор процессов и возможностей, выраженных в программе/структуре, которая включает в себя определение сферы охвата, обнаружение, расстановку приоритетов, валидацию и практическую реализацию.

CTEM – это упреждающий и непрерывный подход, который отличается от традиционного управления уязвимостями (реактивного похода), фокусируется на широком спектре угроз, включает существующие меры безопасности и использует передовые инструменты моделирования для проверки.

Инструменты и технологии

CTEM использует множество инструментов и технологий для поддержки своего внедрения и совершенствования. Эти инструменты помогают на этапах обнаружения, оценки, расстановки приоритетов, валидации и практической реализации цикла управления угрозами. Ключевые инструменты и технологии включают CAASM (Cyber Asset Attack Surface Management), EASM (External Attack Surface Management), EM (Exposure Management), RSAS (Red Team Automation Systems).

Эти инструменты обеспечивают наглядное представление о сегментах сети, средствах контроля безопасности, типах угроз и тактиках / приёмах и имеют решающее значение для выявления и анализа векторов атаки организации, которая включает внешнюю, внутреннюю и облачную среду

Методология

Программа CTEM состоит из пяти этапов:

📌 Определение области действия: Определение начальной области воздействия, учёт критически важной для бизнеса активов, вместо сосредоточения на известных уязвимостях.

📌 Обнаружение: Активный поиск и идентификация потенциальных уязвимостей с использованием таких инструментов, как автоматические сканеры, ручное тестирование и тестирование на проникновение.

📌 Определение приоритетов: сосредоточение внимания на наиболее значительных угрозах, которые могут повлиять на бизнес, и соответствующее определение приоритетности усилий по устранению последствий.

📌 Валидация: Оценка эффективности операций по исправлению и обеспечение надлежащего устранения уязвимостей.

📌 Практическая реализация: введение в действие результатов CTEM и определение стандартов коммуникации и документированных рабочих процессов между командами

«Лучшие практики»

Лучшие практики определения приоритетности угроз при внедрении CTEM включают:

📌 Взаимодействие с заинтересованными сторонами: такими как ИТ, юридические подразделения, комплаенс и бизнес-подразделения, для понимания их конкретных требований и проблем.

📌 Регулярные обновления: установка регулярного графика обновлений и исправлений для защиты сети от текущих известных угроз и превентивного устранения потенциальных угроз в будущем.

📌 План реагирования на инциденты: разработка эффективного (и регулярно обновляемого в соответствии с возникающими угрозами) плана реагирования на инциденты для оперативного реагирования на угрозы.

📌 Оптимизированные процессы снижения рисков: все существующие процессы снижения рисков должны быть оптимизированы и масштабируемы. Это поможет управлять возросшим спросом на передачу данных между системами после внедрения программы CTEM

📌 Использование искусственного интеллекта: использование подхода, основанного на искусственном интеллекте, для определения приоритетов угроз. Это может помочь справиться с динамичным характером угроз и обеспечить направление ресурсов туда, где они имеют наибольшее значение.

📌 Непрерывное совершенствование: CTEM — это непрерывный процесс, и организациям следует регулярно пересматривать и корректировать свои стратегии приоритизации угроз по мере появления новых угроз и эволюции бизнес-целей