Blauwdruk voor succes: implementatie van een CTEM-operatie

Het aanvalsoppervlak is niet meer wat het ooit was en het wordt een nachtmerrie om te beschermen. Een voortdurend uitbreidend en evoluerend aanvalsoppervlak betekent dat het risico voor het bedrijf enorm is toegenomen en dat de huidige beveiligingsmaatregelen moeite hebben om het te beschermen. Als u op dit artikel hebt geklikt, is de kans groot dat u op zoek bent naar oplossingen om dit risico te beheren.

In 2022 werd door Gartner een nieuw raamwerk bedacht om deze uitdagingen aan te pakken: Continuous Threat Exposure Management (CTEM). Sindsdien is het in de praktijk brengen van dit raamwerk een prioriteit geworden voor veel organisaties vanwege de grote verbetering die het naar verwachting zal brengen in het handhaven van een hoog niveau van beveiligingsgereedheid en veerkracht.

“Tegen 2026 hebben organisaties die hun beveiligingsinvesteringen prioriteren op basis van een continu programma voor blootstellingsbeheer drie keer minder kans op een inbreuk.” Gartner, “How to Manage Cybersecurity Threats, Not Episodes,” 21 augustus 2023

CTEM biedt een continu en uitgebreid overzicht van het aanvalsoppervlak en de risico’s die zich daarin bevinden. Hiermee wordt getest of beveiligingsmaatregelen de potentiële uitbuiting van risico’s effectief blokkeren. Vervolgens wordt de mobilisatie gericht op het verhelpen van de geselecteerde kwetsbaarheden gestroomlijnd.

Het invoeren van CTEM kan snel overweldigend worden, omdat het de orkestratie van veel verschillende en bewegende onderdelen omvat. Het samenbrengen van digitale activa, workloads, netwerken, identiteiten en gegevens in de hele onderneming. Om dit te vereenvoudigen, hebben we het raamwerk opgesplitst in zijn pijlers, met beheersbare stappen die u door dit proces van het beheer van blootstelling leiden – beheersbaar maken.

Pijler #1: Vergroot uw zichtbaarheid van het aanvalsoppervlak

Een primaire uitdaging bij asset management is de beperkte reikwijdte. Het biedt slechts een gesegmenteerd overzicht van het aanvalsoppervlak en concentreert zich doorgaans uitsluitend op on-premise kwetsbaarheden, zonder ruimte voor het uitvoeren van acties op de kwetsbaarheidsgegevens die het genereert.

Met CTEM krijgt u beter inzicht in alle soorten blootstellingen op het aanvalsoppervlak – intern, extern en in de cloud – zodat organisaties hun werkelijke beveiligingsrisicoprofiel beter kunnen begrijpen.

Het proces begint met het stapsgewijs bepalen van de omgeving voor digitale activa. We raden een initiële scope aan die het volgende omvat:

  1. Het externe aanvalsoppervlak, dat doorgaans een kleinere omvang heeft en wordt ondersteund door een groeiend ecosysteem van tools.
  2. SaaS-tools, die het communiceren over risico’s vergemakkelijken, aangezien SaaS-oplossingen steeds vaker kritieke bedrijfsgegevens hosten.

In een tweede fase kunt u overwegen om de reikwijdte uit te breiden met digitale risicobeveiliging, zodat u meer inzicht krijgt in het aanvalsoppervlak.

Zodra de scope is bepaald, moeten organisaties hun risicoprofielen bepalen door blootstellingen op activa met hoge prioriteit te ontdekken. Het moet ook de verkeerde configuratie van activa omvatten, met name wat betreft beveiligingscontroles, en andere zwakheden, zoals namaakactiva of slechte reacties op phishingtests.

Pijler #2: Verbeter uw kwetsbaarheidsbeheer

Vulnerability Management (VM) is al lang de hoeksteen van de cybersecuritystrategieën van veel organisaties, met de focus op het identificeren en patchen van bekende CVE’s. Echter, met de groeiende complexiteit van de IT-omgeving en de verbeterde mogelijkheden van bedreigingsactoren, is VM alleen niet langer voldoende om de cybersecurityhouding van de onderneming te behouden.

Dit is vooral duidelijk als je kijkt naar het toenemende aantal gepubliceerde CVE’s per jaar. Vorig jaar alleen al waren er 29.085 CVE’s en slechts 2-7% hiervan werd ooit in het wild uitgebuit. Dit maakt het onrealistisch om patch-perfect te worden, vooral omdat dit geen rekening houdt met niet-patchbare kwetsbaarheden zoals verkeerde configuraties, Active Directory-problemen, niet-ondersteunde software van derden, gestolen en gelekte inloggegevens en meer, die in 2026 goed zullen zijn voor meer dan 50% van de blootstellingen van ondernemingen.

CTEM verschuift de focus naar het prioriteren van blootstellingen op basis van hun exploiteerbaarheid en hun risico-impact op kritieke activa in tegenstelling tot CVSS-scores, chronologie of leveranciersscores. Dit zorgt ervoor dat de meest gevoelige digitale activa voor de continuïteit en doelstellingen van de organisatie als eerste worden aangepakt.

Prioritering is daarom gebaseerd op beveiligingslekken die gemakkelijk te exploiteren zijn en tegelijkertijd toegang bieden tot gevoelige digitale activa. De combinatie van beide zorgt ervoor dat deze blootstellingen, die doorgaans een fractie van alle ontdekte blootstellingen vertegenwoordigen, worden geprioriteerd.

Pijler #3 Validatie zet CTEM om van theorie naar bewezen strategie

De laatste pijler van de CTEM-strategie, validatie, is het mechanisme om het misbruik van beveiligingslekken te voorkomen. Om de voortdurende effectiviteit van beveiligingscontroles te garanderen, moet validatie van offensieve aard zijn, door methoden van aanvallers na te bootsen.

Er zijn vier strategieën om uw omgeving te testen als een aanvaller, die allemaal dezelfde technieken gebruiken als tegenstanders:

  1. Denk in grafieken – Terwijl verdedigers vaak in lijsten denken, of het nu gaat om activa of kwetsbaarheden, denken aanvallers in grafieken, waarin de relaties en paden tussen verschillende onderdelen van het netwerk in kaart worden gebracht.
  2. Tests automatiseren – Handmatige penetratietesten zijn een kostbaar proces waarbij externe pentesters uw beveiligingsmaatregelen stresstesten. Organisaties zijn beperkt in de reikwijdte die ze kunnen testen. Aanvallers maken daarentegen gebruik van automatisering om aanvallen snel, efficiënt en op schaal uit te voeren.
  3. Valideer echte aanvalspaden – Aanvallers richten zich niet op geïsoleerde kwetsbaarheden; ze houden rekening met het hele aanvalspad. Effectieve validatie betekent het testen van het hele pad, van de eerste toegang tot de geëxploiteerde impact.
  4. Test continu – Pentesten wordt doorgaans handmatig periodiek uitgevoerd, een of twee keer per jaar. Door te testen in ‘sprints’ of korte, iteratieve cycli, kunnen verdedigers zich echter aanpassen aan de snelheid van IT-veranderingen. Zo wordt het volledige aanvalsoppervlak beschermd door risico’s aan te pakken zodra deze zich voordoen.

CTEM: Investeer nu – pluk voortdurend de vruchten

Met alle verschillende elementen van mensen, processen en tools in een CTEM-strategie, is het makkelijk om overweldigd te raken. Houd echter een paar dingen in gedachten:

  1. U begint niet vanaf nul. U hebt uw asset management en uw vulnerability management systemen al op orde, de focus ligt hier op het simpelweg uitbreiden van hun scope. Zorg ervoor dat uw tools het volledige aanvalsoppervlak van uw IT-omgeving volledig bestrijken en dat ze continu worden bijgewerkt met het tempo van verandering.
  2. Beschouw dit als een proces van voortdurende verfijning. Het implementeren van het CTEM-framework wordt een agile cyclus van ontdekking, mitigatie en validatie. De klus is nooit echt geklaard. Naarmate uw onderneming groeit en rijpt, groeit ook uw IT-infrastructuur.
  3. CTEM-operatie
  4. Zet validatie centraal in uw CTEM-strategie. Dit geeft u het vertrouwen dat uw beveiligingsactiviteiten standhouden als ze op de proef worden gesteld. U moet op elk moment weten waar u staat. Misschien klopt alles, wat geweldig is. Of er kan een hiaat worden geïdentificeerd, maar nu kunt u dat hiaat opvullen met een prescriptieve aanpak, volledig bewust van wat de impact stroomafwaarts zal zijn.

Ontdek hoe u met Pentera een validatiegerichte CTEM-strategie implementeert.

Thijs Van der Does