Hoe de nieuwe categorieën van Gartner helpen bij het beheren van blootstellingen

Wilt u weten wat het nieuwste en beste is op het gebied van SecOps voor 2024? Het onlangs uitgebrachte Hype Cycle for Security Operations-rapport van Gartner zet belangrijke stappen om het domein van Continuous Threat Exposure Management, ook wel CTEM genoemd, te organiseren en te laten rijpen. Drie categorieën binnen dit domein zijn opgenomen in het rapport van dit jaar: Threat Exposure Management, Exposure Assessment Platforms (EAP) en Adversarial Exposure Validation (AEV).

Deze categoriedefinities zijn bedoeld om enige structuur te bieden aan het evoluerende landschap van blootstellingsbeheertechnologieën. Pentera, vermeld als een voorbeeldleverancier in de nieuw gedefinieerde AEV-categorie, speelt een cruciale rol bij het vergroten van de acceptatie van CTEM, met een focus op beveiligingsvalidatie. Hieronder volgt onze kijk op de CTEM-gerelateerde productcategorieën en wat ze betekenen voor leiders op het gebied van bedrijfsbeveiliging.

De industrie wordt volwassen

CTEM, bedacht door Gartner in 2022, presenteert een structurele aanpak voor het continu beoordelen, prioriteren, valideren en verhelpen van blootstellingen in het aanvalsoppervlak van een organisatie, waardoor bedrijven een reactie kunnen mobiliseren op de meest kritieke risico’s. Het raamwerk dat het schetst, helpt om een ​​steeds groter wordend aanvalsoppervlak beheersbaar te maken.

De recente reorganisatie van categorieën is bedoeld om ondernemingen te helpen bij het identificeren van de beveiligingsleveranciers die het beste zijn uitgerust om de implementatie van CTEM te ondersteunen.

Threat Exposure Management vertegenwoordigt de algehele set van technologieën en processen die worden gebruikt om blootstelling aan bedreigingen te beheren, onder het bestuur van een CTEM-programma. Het omvat de twee nieuwe CTEM-gerelateerde categorieën die hieronder worden beschreven.

Vulnerability Assessment en Vulnerability Prioritization Technology-mogelijkheden zijn samengevoegd in één nieuwe categorie, Exposure Assessment Platforms (EAP). EAP’s zijn gericht op het stroomlijnen van vulnerability management en het verbeteren van de operationele efficiëntie, wat ongetwijfeld de reden is waarom Gartner deze categorie een hoge benefit-beoordeling heeft gegeven.

Ondertussen combineert Adversarial Exposure Validation (AEV) Breach and Attack Simulation (BAS) met Automated Pentesting en Red Teaming in één nieuw gecreëerde functie die zich richt op het leveren van continu, geautomatiseerd bewijs van blootstelling. AEV zal naar verwachting een grote marktgroei hebben vanwege het vermogen om cyberweerbaarheid te valideren vanuit het vijandige oogpunt, waarbij de IT-verdediging van de organisatie wordt uitgedaagd met echte aanvalstechnieken.

Wat bieden EAP’s?

Een paar dingen, maar om te beginnen maken ze je minder afhankelijk van CVSS-scores voor het prioriteren van kwetsbaarheden. Hoewel het een nuttige indicator is, is het niets meer dan een indicator. De CVSS-score vertelt je niet hoe exploiteerbaar een kwetsbaarheid is in de context van jouw specifieke omgeving en dreigingslandschap. De gegevens die binnen een EAP-opstelling worden verstrekt, zijn veel meer gecontextualiseerd met dreigingsinformatie en informatie over de criticaliteit van activa. Het biedt inzichten op een manier die actie ondersteunt, in plaats van oceanen van datapunten.

Deze toegevoegde contextualisering betekent ook dat kwetsbaarheden kunnen worden gemarkeerd in termen van het vormen van een bedrijfsrisico. Moet een slecht geconfigureerd apparaat dat nooit door iemand wordt gebruikt en met niets is verbonden, worden gepatcht? EAP’s helpen om inspanningen te richten op het aanpakken van kwetsbaarheden die niet alleen te exploiteren zijn, maar die ook daadwerkelijk leiden tot activa die van zakelijk belang zijn, hetzij voor de gegevens of voor operationele continuïteit.

Wat is de waarde van AEV?

Hoewel EAP’s gebruikmaken van scans en gegevensbronnen om blootstellingscontext te bieden, zijn ze beperkt tot theoretische gegevensanalyse zonder feitelijk bewijs van exploiteerbare aanvalspaden. En daar komt AEV om de hoek kijken: het bevestigt blootstellingen vanuit het oogpunt van een tegenstander. AEV omvat het uitvoeren van vijandige aanvallen om te zien welke beveiligingslekken daadwerkelijk exploiteerbaar zijn in uw specifieke omgeving en hoe ver een aanvaller zou komen als ze zouden worden geëxploiteerd.

Kortom, AEV brengt bedreigingen uit het handboek naar de speelplaats.

Maar er zijn ook andere voordelen; het maakt het runnen van een red team veel gemakkelijker om van de grond te komen. Red teams vereisen een unieke set talenten en tools die moeilijk te ontwikkelen en te verkrijgen zijn. Het hebben van een geautomatiseerd AEV-product om talloze red-teamer-taken uit te voeren, helpt om die drempel te verlagen, waardoor u een meer dan behoorlijke basis krijgt om op te bouwen.

AEV helpt ook om een ​​groot aanvalsoppervlak beter beheersbaar te maken. Door de last van beveiligingspersoneel te verlichten, kunnen geautomatiseerde testruns routinematig, consistent en op meerdere locaties worden uitgevoerd, waardoor elke aspirant-red teamer zich alleen op gebieden met hoge prioriteit hoeft te concentreren.

Waar het moeilijk wordt

Het is niet altijd rozengeur en maneschijn. Er zijn ook wat doornen die bedrijven moeten wegknippen om het volledige potentieel van hun Threat Exposure Management-initiatieven te benutten.

Als het gaat om EAP, is het belangrijk om verder te denken dan alleen compliance en CVSS-scores. Er is een mentaliteitsverandering nodig van het zien van beoordelingen als afvinkactiviteiten. In deze beperkte context worden kwetsbaarheden als geïsoleerde bedreigingen vermeld en zult u het verschil missen tussen het weten dat er kwetsbaarheden zijn en het prioriteren van die kwetsbaarheden op basis van hun exploiteerbaarheid en potentiële impact.

Aan de AEV-kant is een uitdaging het vinden van de juiste technologische oplossing die alle bases dekt. ​​Hoewel veel leveranciers aanvalssimulaties en/of geautomatiseerde penetratietesten aanbieden, worden deze doorgaans gezien als afzonderlijke functies. Beveiligingsteams die zowel de werkelijke effectiviteit van hun beveiligingscontroles als de werkelijke exploiteerbaarheid van beveiligingslekken willen valideren, kunnen ervoor kiezen om meerdere producten afzonderlijk te implementeren.

De Going Word Proactief

De evolutie van het CTEM-framework sinds de introductie twee jaar geleden geeft de groeiende acceptatie aan van de kritische behoefte aan een proactieve mindset voor risicoreductie. De nieuwe categorisering die in de Hype Cycle wordt gepresenteerd, weerspiegelt de groeiende volwassenheid van producten in deze ruimte en ondersteunt de operationalisering van CTEM.

Als het gaat om de AEV-categorie, raden we aan om een ​​oplossing te gebruiken die BAS en penetratietestmogelijkheden naadloos integreert, aangezien dit geen gebruikelijke functie is voor de meeste tools. Zoek naar agentloze technologieën die aanvalstechnieken nauwkeurig repliceren en operationele eisen verlichten. Deze unieke combinatie zorgt ervoor dat beveiligingsteams hun beveiligingshouding continu en met real-world relevantie kunnen valideren.

Lees meer over hoe Pentera wordt ingezet als essentieel onderdeel van elke CTEM-strategie waarmee ondernemingen een robuuste en dynamische beveiligingshouding kunnen handhaven, die voortdurend wordt gevalideerd tegen de nieuwste bedreigingen.

Voor meer inzicht in Continuous Threat Exposure Management (CTEM) kunt u terecht op de XPOSURE Summit 2024, georganiseerd door Pentera, en het Gartner® 2024 Hype Cycle for Security Operations-rapport downloaden.

Thijs Van der Does