Hoe u aan de slag kunt met CTEM als u niet weet waar u moet beginnen

Cyberbeveiliging
Continuous Threat Exposure Management (CTEM)

Continuous Threat Exposure Management (CTEM) is een strategisch raamwerk dat organisaties helpt cyberrisico’s voortdurend te beoordelen en te beheren. Het verdeelt de complexe taak van het beheren van beveiligingsbedreigingen in vijf verschillende fasen: Scoping, Discovery, Prioritisering, Validatie en Mobilisatie. Elk van deze fasen speelt een cruciale rol bij het identificeren, aanpakken en beperken van kwetsbaarheden, voordat ze door aanvallers kunnen worden uitgebuit.

Op papier klinkt CTEM geweldig. Maar waar het rubber op de weg komt – vooral voor CTEM-neofieten – kan de implementatie van CTEM overweldigend lijken. Het proces van het in de praktijk brengen van CTEM-principes kan in eerste instantie onbetaalbaar ingewikkeld lijken. Met de juiste tools en een duidelijk inzicht in elke fase kan CTEM echter een effectieve methode zijn om de beveiligingspositie van uw organisatie te versterken.

Daarom heb ik een stapsgewijze handleiding samengesteld over welke tools je voor welke fase kunt gebruiken. Wilt u meer weten? Lees verder…

Fase 1: Scoring

Wanneer u tijdens de scoping kritische bedrijfsmiddelen definieert, zet u de eerste essentiële stap op weg naar inzicht in de meest waardevolle processen en middelen van uw organisatie. Uw doel hier is om de activa te identificeren die van vitaal belang zijn voor uw activiteiten, en dit vereist vaak input van verschillende belanghebbenden – niet alleen uw Security Operations (SecOps)-team. Scoping is niet alleen een technische taak, het is een mensen taak – het gaat erom dat u de context en processen van uw bedrijf echt begrijpt.

Een nuttige manier om dit te benaderen is via workshops over bedrijfskritische activa. Deze sessies brengen besluitvormers, inclusief senior leiderschap, samen om uw bedrijfsprocessen op één lijn te brengen met de technologie die hen ondersteunt. Vervolgens kunt u ter ondersteuning van uw scoping-inspanningen tools gebruiken zoals ouderwetse spreadsheets, geavanceerdere systemen zoals Configuration Management Databases (CMDB’s) of gespecialiseerde oplossingen zoals Software Asset Management (SAM) en Hardware Asset Management (HAM). Bovendien bieden Data Security Posture Management (DSPM)-tools waardevolle inzichten door activa te analyseren en prioriteit te geven aan de activa die de meeste bescherming nodig hebben. (Lees hier meer over Scoping.)

Fase 2: Ontdekking

Discovery richt zich op het identificeren van assets en kwetsbaarheden in het hele ecosysteem van uw organisatie. Hierbij worden verschillende tools en methoden gebruikt om een ​​alomvattend beeld van uw technologische landschap samen te stellen en uw beveiligingsteams in staat te stellen potentiële risico’s te beoordelen.

Tools voor het scannen op kwetsbaarheden worden vaak gebruikt om assets te ontdekken en potentiële zwakke punten te identificeren. Deze tools scannen op bekende kwetsbaarheden (CVE’s) binnen uw systemen en netwerken en leveren vervolgens gedetailleerde rapporten over welke gebieden aandacht behoeven. Bovendien speelt Active Directory (AD) een cruciale rol bij het ontdekken, vooral in omgevingen waar identiteitsproblemen veel voorkomen.

Voor cloudomgevingen worden tools van Cloud Security Posture Management (CSPM) gebruikt om verkeerde configuraties en kwetsbaarheden in platforms als AWS, Azure en GCP te identificeren. Deze tools behandelen ook identiteitsbeheerproblemen die specifiek zijn voor cloudomgevingen. (Lees hier meer over Discovery.)

Fase 3: Prioritering

Effectieve prioritering is van cruciaal belang omdat het ervoor zorgt dat uw beveiligingsteams zich concentreren op de meest impactvolle bedreigingen, waardoor uiteindelijk het algehele risico voor uw organisatie wordt verminderd.

Mogelijk maakt u al gebruik van traditionele oplossingen voor kwetsbaarheidsbeheer die prioriteiten stellen op basis van CVSS-scores (Common Vulnerability Scoring System). Houd er echter rekening mee dat deze scores vaak geen rekening houden met de zakelijke context, waardoor het voor zowel technische als niet-technische belanghebbenden moeilijk wordt om de urgentie van specifieke bedreigingen te begrijpen. Het stellen van prioriteiten binnen de context van uw bedrijfskritische activa maakt het proces daarentegen begrijpelijker voor bedrijfsleiders. Dankzij deze afstemming kunnen uw beveiligingsteams de potentiële impact van kwetsbaarheden effectiever communiceren binnen de hele organisatie.

Het in kaart brengen van aanvalspaden en het beheer van aanvalspaden worden steeds meer erkend als essentiële componenten van het stellen van prioriteiten. Deze tools analyseren hoe aanvallers zich lateraal binnen uw netwerk kunnen verplaatsen, zodat u knelpunten kunt identificeren waar een aanval de meeste schade kan aanrichten. Oplossingen waarbij aanvalspaden in kaart worden gebracht, bieden u een vollediger beeld van de blootstellingsrisico’s, waardoor een meer strategische benadering van het stellen van prioriteiten mogelijk wordt.

Ten slotte zijn externe platforms voor informatie over dreigingen in deze fase van cruciaal belang. Deze tools bieden u realtime gegevens over actief misbruikte kwetsbaarheden, waardoor kritische context wordt toegevoegd die verder gaat dan CVSS-scores. Bovendien kunnen op AI gebaseerde technologieën de detectie van bedreigingen schalen en de prioritering stroomlijnen, maar het is belangrijk om ze zorgvuldig te implementeren om te voorkomen dat er fouten in uw proces worden geïntroduceerd. (Lees hier meer over Prioritering.)

Fase 4: Validatie

De validatiefase van CTEM verifieert dat geïdentificeerde kwetsbaarheden inderdaad kunnen worden uitgebuit, waarbij hun potentiële impact in de echte wereld wordt beoordeeld. Deze fase zorgt ervoor dat u niet alleen theoretische risico’s aanpakt, maar ook prioriteit geeft aan echte bedreigingen die tot aanzienlijke inbreuken kunnen leiden als ze niet worden aangepakt.

Een van de meest effectieve methoden voor validatie is penetratietesten. Pentesters simuleren aanvallen uit de echte wereld, proberen kwetsbaarheden te misbruiken en testen hoe ver ze door uw netwerk kunnen gaan. Dit valideert direct of de beveiligingscontroles die u heeft, effectief zijn of dat bepaalde kwetsbaarheden kunnen worden bewapend. Het biedt een praktisch perspectief – dat verder gaat dan de theoretische risicoscores.

Naast handmatige pentests spelen validatietools voor beveiligingscontroles, zoals Breach and Attack Simulation (BAS), een cruciale rol. Deze tools simuleren aanvallen binnen een gecontroleerde omgeving, waardoor u kunt verifiëren of specifieke kwetsbaarheden uw bestaande verdediging kunnen omzeilen. Met tools die een digital twin-model gebruiken, kunt u aanvalspaden valideren zonder de productiesystemen te beïnvloeden – een groot voordeel ten opzichte van traditionele testmethoden die de bedrijfsvoering kunnen verstoren. (Lees hier meer over Validatie.)

Fase 5: Mobilisatie

De mobilisatiefase maakt gebruik van verschillende tools en processen die de samenwerking tussen uw beveiligings- en IT-operatieteams verbeteren. Door SecOps in staat te stellen specifieke kwetsbaarheden en blootstellingen te communiceren die aandacht vereisen, wordt de kenniskloof overbrugd, waardoor IT-ops precies kunnen begrijpen wat er moet worden opgelost en hoe dit moet worden gedaan.

Bovendien kan de integratie van ticketingsystemen zoals Jira of Freshworks het herstelproces stroomlijnen. Met deze tools kunt u kwetsbaarheden volgen en taken toewijzen, zodat u ervoor kunt zorgen dat problemen worden geprioriteerd op basis van hun potentiële impact op kritieke bedrijfsmiddelen.

E-mailmeldingen kunnen ook waardevol zijn voor het communiceren van urgente problemen en updates aan belanghebbenden, terwijl SIEM-oplossingen (Security Information and Event Management) gegevens uit verschillende bronnen kunnen centraliseren, waardoor uw teams snel bedreigingen kunnen identificeren en erop kunnen reageren.

Ten slotte is het belangrijk om duidelijke draaiboeken te creëren waarin herstelstappen voor veelvoorkomende kwetsbaarheden worden beschreven. (Lees hier meer over Mobilisatie.)

CTEM-kopersgids

CTEM haalbaar maken met XM Cyber

Nu u de waslijst met hulpmiddelen heeft gelezen die u nodig heeft om CTEM werkelijkheid te maken, voelt u zich meer klaar om aan de slag te gaan?

Hoe transformerend CTEM ook is, veel teams zien de bovenstaande lijst en trekken zich begrijpelijkerwijs terug omdat ze vinden dat het een te complexe en genuanceerde onderneming is. Sinds de oprichting van CTEM hebben sommige teams ervoor gekozen af ​​te zien van de voordelen, omdat het zelfs met een routekaart voor hen gewoon een te omslachtige lift lijkt.

De meest productieve manier om van CTEM een zeer haalbare realiteit te maken is met een uniforme benadering van CTEM die de implementatie vereenvoudigt door alle verschillende fasen van CTEM te integreren in één samenhangend platform. Dit minimaliseert de complexiteit die vaak gepaard gaat met het inzetten van uiteenlopende tools en processen. Met XM Cyber ​​kunt u:

  • Breng kritieke bedrijfsprocessen in kaart met onderliggende IT-middelen om blootstellingen te prioriteren op basis van risico’s voor het bedrijf.
  • Ontdek alle CVE’s en niet-CVE’s (verkeerde configuraties, identiteitsrisico’s, overmatige machtigingen) in on-premises en cloudomgevingen en op interne en externe aanvalsoppervlakken.
  • Krijg snellere, nauwkeurige prioritering op basis van eigen Attack Graph Analysis™ die gebruik maakt van bedreigingsinformatie, de complexiteit van het aanvalspad, het aantal kritieke activa dat wordt aangetast en of het zich op een knelpunt bevindt voor meerdere aanvalspaden.
  • Valideer of problemen kunnen worden misbruikt in een specifieke omgeving en of er beveiligingscontroles zijn geconfigureerd om deze te blokkeren.
  • Verbeter de sanering, dankzij een focus op contextgebaseerd bewijsmateriaal, herstelbegeleiding en alternatieven. Het kan ook worden geïntegreerd met ticketing-, SIEM- en SOAR-tools om de voortgang van het herstel te volgen.

CTEM – Dit is de weg

De uniforme benadering van CTEM van XM Cyber ​​vereenvoudigt de implementatie door meerdere fasen in één samenhangend platform te integreren. Dit minimaliseert de complexiteit die gepaard gaat met het inzetten van ongelijksoortige tools en processen. Met XM Cyber ​​krijgt u realtime inzicht in uw blootstellingen, waardoor u prioriteit kunt geven aan herstelinspanningen op basis van daadwerkelijke risico’s in plaats van theoretische beoordelingen.

Het platform faciliteert naadloze communicatie tussen SecOps en IT Ops en zorgt ervoor dat iedereen op dezelfde lijn zit wat betreft kwetsbaarheden en herstel. Deze samenwerking bevordert een efficiëntere en responsievere beveiligingshouding, waardoor uw organisatie potentiële bedreigingen snel en effectief kan aanpakken. (Voor meer informatie over waarom XM Cyber ​​het meest complete antwoord op CTEM is, kunt u hier een exemplaar van onze CTEM Buyer’s Guide downloaden.)

CTEM-kopersgids

Uiteindelijk verbetert XM Cyber ​​niet alleen het vermogen van uw team om blootstellingen te beheren, maar stelt het u ook in staat zich voortdurend aan te passen aan een evoluerend bedreigingslandschap.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Karsten Chearis, teamleider van US Security Sales Engineering bij XM Cyber.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Gmail Q&A met Gemini AI die wordt uitgerold naar Android en iOS

Meta neemt het op tegen OpenAI met zijn AI-videogenerator “Movie Gen”

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]