CTEM 101 – Ga verder dan kwetsbaarheidsbeheer met continu beheer van blootstelling aan bedreigingen

Cyberbeveiliging
Vulnerability Management

In een wereld waarin het jargon steeds groter wordt, lijkt het toevoegen van nog een FLA (vierletterig acroniem) aan uw woordenlijst wellicht het laatste wat u zou willen doen. Maar als u op zoek bent naar manieren om de risico’s in uw omgeving voortdurend te verminderen en tegelijkertijd significante en consistente verbeteringen aan te brengen in de beveiliging, dan wilt u naar onze mening waarschijnlijk overwegen om een ​​Continuous Threat Exposure Management (CTEM)-programma op te zetten.

CTEM is een benadering van cyberrisicobeheer die aanvalssimulatie, risicoprioritering en herstelbegeleiding combineert in één gecoördineerd proces. De term Continuous Threat Exposure Management verscheen voor het eerst in het Gartner®-rapport, Implement a Continuous Threat Exposure Management Program (CTEM) (Gartner, 21 juli 2022,). Sindsdien hebben we gezien dat organisaties over de hele wereld de voordelen zien van deze geïntegreerde, voortdurende aanpak.

Platform voor blootstellingsbeheer

Webinar: waarom en hoe u het CTEM-framework adopteert

XM Cyber ​​organiseert op 27 maart een webinar met Gartner VP-analist Pete Shoard over de adoptie van het CTEM-framework. Zelfs als u niet kunt deelnemen, zullen we een on-demand link delen, mis deze niet!

Focus op gebieden met het meeste risico

Maar waarom is CTEM populair, en nog belangrijker: hoe verbetert het de toch al overvolle wereld van Vulnerability Management?

Centraal bij CTEM staat het ontdekken van reële, uitvoerbare risico’s voor kritieke activa. Iedereen kan beveiligingsverbeteringen in de omgeving van een organisatie identificeren. Het probleem is niet het vinden van blootstellingen, maar het overweldigd worden ervan – en het kunnen weten welke het meeste risico vormen voor kritieke activa.

Naar onze mening helpt een CTEM-programma u:

  1. Identificeer uw meest kwetsbare activa, samen met de manier waarop een aanvaller deze kan misbruiken
  2. Begrijp de impact en waarschijnlijkheid van potentiële inbreuken
  3. Geef prioriteit aan de meest urgente risico’s en kwetsbaarheden
  4. Ontvang bruikbare aanbevelingen over hoe u deze kunt oplossen
  5. Bewaak uw beveiligingspositie voortdurend en houd uw voortgang bij

Met een CTEM-programma kunt u de ‘visie van de aanvaller’ krijgen, waarbij u fouten in uw omgeving vergelijkt met de waarschijnlijkheid dat deze door een aanvaller worden gebruikt. Het resultaat is een geprioriteerde lijst met blootstellingen die moeten worden aangepakt, inclusief de blootstellingen die later veilig kunnen worden aangepakt.

De vijf fasen van een CTEM-programma

Kwetsbaarheidsbeheer

In plaats van een bepaald product of een bepaalde dienst is CTEM een programma dat de blootstelling aan cyberveiligheid vermindert via vijf fasen:

  1. Scoring – Volgens Gartner: “Om de reikwijdte van het CTEM-initiatief te definiëren en later te verfijnen, moeten beveiligingsteams eerst begrijpen wat belangrijk is voor hun zakelijke tegenhangers, en welke gevolgen (zoals een vereiste onderbreking van een productiesysteem) waarschijnlijk zullen zijn ernstig genoeg om gezamenlijke herstelinspanningen te rechtvaardigen.”
  2. Ontdekking – Gartner zegt: “Zodra de scoping is voltooid, is het belangrijk om te beginnen met een proces van het ontdekken van activa en hun risicoprofielen. Er moet prioriteit worden gegeven aan ontdekking in gebieden van het bedrijf die door het scopingproces zijn geïdentificeerd, hoewel dit niet het geval is. altijd de drijfveer. Het ontdekken van blootstelling gaat verder dan kwetsbaarheden: het kan een verkeerde configuratie van activa en beveiligingscontroles omvatten, maar ook andere zwakke punten zoals nagemaakte activa of slechte reacties op een phishing-test.’
  3. Prioritering – In deze fase, zegt Gartner, “is het doel van exposure management niet om te proberen elk geïdentificeerd probleem, of bijvoorbeeld de meest zero-day-bedreigingen, op te lossen, maar eerder om de bedreigingen te identificeren en aan te pakken die het meest waarschijnlijk tegen de organisatie zullen worden uitgebuit. .” Gartner merkt verder op dat “Organisaties niet overweg kunnen met de traditionele manieren om blootstellingen te prioriteren via vooraf gedefinieerde ernstscores, omdat ze rekening moeten houden met de prevalentie van exploits, beschikbare controles, mitigatieopties en bedrijfskriticiteit om de potentiële impact op de organisatie weer te geven.
  4. Geldigmaking – Deze fase is volgens Gartner “het deel van het proces waarin een organisatie kan valideren hoe potentiële aanvallers daadwerkelijk misbruik kunnen maken van een geïdentificeerde blootstelling, en hoe monitoring- en controlesystemen kunnen reageren.” Gartner merkt ook op dat de doelstellingen van de validatiestap het ‘beoordelen van het waarschijnlijke ‘aanvalssucces’ omvatten door te bevestigen dat aanvallers daadwerkelijk misbruik kunnen maken van de eerder ontdekte en geprioriteerde blootstellingen.
  5. Mobilisatie – Gartner zegt: “Om succes te garanderen, moeten beveiligingsleiders erkennen en aan alle belanghebbenden communiceren dat herstel niet volledig geautomatiseerd kan worden.” Het rapport merkt verder op dat “het doel van de ‘mobilisatie’-inspanning is om ervoor te zorgen dat de teams de CTEM-bevindingen in de praktijk brengen door de wrijving in goedkeuring, implementatieprocessen en mitigatie-implementaties te verminderen. Het vereist dat organisaties communicatiestandaarden (informatievereisten) definiëren en kruisbestuivingsdocumenten documenteren. -teamgoedkeuringsworkflows.”

CTEM versus alternatieve benaderingen

Er zijn verschillende alternatieve benaderingen om de veiligheidspositie te begrijpen en te verbeteren, waarvan sommige al tientallen jaren in gebruik zijn.

  • Kwetsbaarheidsbeheer/RBVM richt zich op risicoreductie door middel van scannen om kwetsbaarheden te identificeren, deze vervolgens te prioriteren en op te lossen op basis van een statische analyse. Automatisering is essentieel, gezien het aantal assets dat moet worden geanalyseerd en het steeds groeiende aantal geïdentificeerde kwetsbaarheden. Maar RBVM beperkt zich tot het identificeren van CVE’s en pakt identiteitsproblemen en verkeerde configuraties niet aan. Bovendien beschikt het niet over de informatie die nodig is om de juiste prioriteit te geven aan herstel, wat doorgaans leidt tot wijdverbreide achterstanden.
  • Oefeningen van het Rode Team zijn handmatige, dure, point-in-time tests van cyberbeveiligingsverdedigingen. Ze proberen vast te stellen of er op een bepaald moment al dan niet een succesvol aanvalspad bestaat, maar ze kunnen niet het volledige scala aan risico’s identificeren.
  • Op dezelfde manier, Penetratietesten gebruikt een testmethodologie als risicobeoordeling en levert een resultaat op een bepaald moment op. Omdat het om actieve interactie met het netwerk en de systemen gaat, is het doorgaans beperkt wat betreft kritieke assets, vanwege het risico op uitval.
  • Cloudbeveiligingshoudingsbeheer (CSPM) richt zich uitsluitend op misconfiguratieproblemen en compliancerisico’s in cloudomgevingen. Hoewel het belangrijk is, wordt er geen rekening gehouden met externe medewerkers, lokale activa of de interacties tussen meerdere cloudleveranciers. Deze oplossingen zijn zich niet bewust van het volledige traject van aanvalsrisico’s die verschillende omgevingen doorkruisen – een veelvoorkomend risico in de echte wereld.

Wij zijn van mening dat een programmagebaseerde CTEM-aanpak de voordelen biedt van:

  • Dekt alle assets (cloud, on-premise en remote) en weet welke het meest kritisch zijn.
  • Voortdurend allerlei soorten risico’s ontdekken: traditionele CVE’s, identiteiten en misconfiguraties.
  • Het presenteren van real-world inzichten in het perspectief van de aanvaller
  • Prioriteit geven aan herstelinspanningen om die paden met de minste oplossingen te elimineren
  • Het geven van saneringsadviezen voor betrouwbare, herhaalde verbeteringen

De waarde van CTEM

Wij zijn van mening dat de CTEM-aanpak aanzienlijke voordelen biedt ten opzichte van alternatieven, waarvan sommige al tientallen jaren in gebruik zijn. In principe zijn organisaties jarenlang bezig geweest met het identificeren van risico’s, deze toe te voegen aan eindeloze ’to do’-lijsten, talloze tijd te besteden aan het afwerken van die lijsten, en toch geen duidelijk voordeel te behalen. Met CTEM voegt een meer doordachte benadering van ontdekking en prioritering waarde toe door:

  • Het algehele risico snel verminderen
  • Het verhogen van de waarde van elke sanering en het vrijmaken van middelen
  • Verbetering van de afstemming tussen beveiligings- en IT-teams
  • Het bieden van een gemeenschappelijk beeld van het hele proces, waardoor een positieve feedbacklus wordt gestimuleerd die voortdurende verbetering stimuleert

Aan de slag met CTEM

Omdat CTEM eerder een proces is dan een specifieke service of softwareoplossing, is het aan de slag gaan een holistische onderneming. Organisatorische buy-in is een cruciale eerste stap. Andere overwegingen zijn onder meer:

  • Ondersteunen van processen en dataverzameling met de juiste softwarecomponenten
  • Het definiëren van kritieke bedrijfsmiddelen en het bijwerken van herstelworkflows
  • Het uitvoeren van de juiste systeemintegraties
  • Het bepalen van de juiste managementrapportage en een aanpak voor verbeteringen op het gebied van de beveiliging

Naar onze mening kunnen organisaties met een CTEM-programma een gemeenschappelijke taal van risico’s voor beveiliging en IT koesteren; en ervoor zorgen dat het risiconiveau voor elke blootstelling duidelijk wordt. Hierdoor kan het handjevol blootstellingen die daadwerkelijk een risico vormen, onder de vele duizenden die er zijn, op een zinvolle en meetbare manier worden aangepakt.

Voor meer informatie over hoe u aan de slag kunt gaan met uw CTEM-programma, bekijk de whitepaper van XM Cyber, XM Cyber ​​on Operationalizing The Continuous Threat Exposure Management (CTEM) Framework van Gartner®.

Kwetsbaarheidsbeheer

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Pixel 8-serie krijgt ondersteuning voor weergave-uitvoer via USB-C

Apple wil dat AI advertenties in de App Store aanstuurt, zo lijkt het

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]