Nếu bạn là một chuyên gia về an ninh mạng, bạn có thể đã quen thuộc với biển từ viết tắt mà ngành công nghiệp của chúng ta bị ám ảnh. Từ CNAPP, đến CWPP, đến CIEM và vô số những thứ khác, dường như có một chủ nghĩa khởi tạo mới được sinh ra mỗi ngày.
Trong bài viết này, chúng ta sẽ xem xét một từ viết tắt thịnh hành khác – CTEM, viết tắt của Quản lý Tiếp xúc với Mối đe dọa Liên tục – và những thách thức thường gây ngạc nhiên xảy ra khi xem chương trình CTEM cho đến khi trưởng thành. Mặc dù khái niệm về CTEM không phải là một thương hiệu mới, đã ra mắt lần đầu tiên trên ấn phẩm vào tháng 7 năm 2022, nhưng hiện tại chúng ta đang ở thời điểm mà nhiều tổ chức đang bắt đầu cố gắng vận hành các chương trình mà họ đã thiết lập để chuyển động. vài tháng gần đây. Và khi các tổ chức bắt đầu thực hiện các kế hoạch được thiết kế cẩn thận, họ có thể thấy mình phải đối mặt với một số thách thức bất ngờ có thể dẫn đến thất bại.
Quản lý Tiếp xúc với Mối đe dọa Liên tục (CTEM) là gì?
Nhưng trước tiên, để quay lại, chúng ta hãy nhanh chóng xem lại CTEM là gì và không phải là gì.
Quản lý Tiếp xúc với Mối đe dọa Liên tục không phải là một công nghệ và bạn không thể tìm đến nhà cung cấp với hy vọng tìm được giải pháp CTEM (hoặc, ít nhất là không chỉ với một công cụ duy nhất). Thay vào đó, CTEM là một chương trình hoặc khuôn khổ 5 giai đoạn liên tục nhằm giúp các tổ chức theo dõi, đánh giá và giảm mức độ khai thác của họ cũng như xác nhận rằng các quy trình phân tích và khắc phục của họ là tối ưu. Theo báo cáo của Gartner®, “Mục tiêu của CTEM là có được một kế hoạch cải tiến và khắc phục tình trạng bảo mật nhất quán, có thể thực hiện được mà các giám đốc điều hành doanh nghiệp có thể hiểu và các nhóm kiến trúc có thể hành động theo.” (Gartner, ngày 21 tháng 7 năm 2022, Triển khai Chương trình Quản lý Tiếp xúc với Mối đe dọa Liên tục (CTEM))
Tải xuống báo cáo trắng mới của chúng tôi, Thiết lập một chương trình quản lý phơi nhiễm hiện đạivà khám phá:
Tại sao lỗ hổng nghiêm trọng không bằng rủi ro Các loại rủi ro khác nhau ảnh hưởng đến tình hình bảo mật của tổ chức Các nguyên tắc cơ bản chính của chương trình quản lý rủi ro hiện đại được thiết kế cho bối cảnh rủi ro đang phát triểnVà hơn thế nữa!
Mục tiêu của CTEM là gì?
Báo cáo của Gartner cho biết thêm: “Các dự án tự đánh giá các bề mặt tấn công tập trung vào công nghệ và các dự án tự đánh giá lỗ hổng tạo ra các báo cáo hiếm khi được thực hiện và danh sách dài các biện pháp khắc phục chung chung. Các chương trình quản lý lỗ hổng hiếm khi theo kịp khối lượng tổng hợp của tổ chức của họ, dẫn đến cuộc tấn công mở rộng nhanh chóng bề mặt”. (Gartner, ngày 21 tháng 7 năm 2022, Triển khai Chương trình Quản lý Tiếp xúc với Mối đe dọa Liên tục (CTEM)) Những yếu tố này, cùng với một số động lực chính khác, chẳng hạn như khó khăn trong việc duy trì trạng thái bảo mật theo thời gian trong bối cảnh bề mặt tấn công ngày càng mọc lên như nấm, có nghĩa là các phương pháp truyền thống để đảm bảo an ninh một cách toàn diện đang ngày càng kém hiệu quả hơn.
Theo Gartner, “Mục tiêu của CTEM là có được một kế hoạch cải tiến và khắc phục tình trạng bảo mật nhất quán, có thể thực hiện được mà các giám đốc điều hành doanh nghiệp có thể hiểu và các nhóm kiến trúc có thể hành động theo.” (Gartner, ngày 21 tháng 7 năm 2022, Triển khai Chương trình Quản lý Tiếp xúc với Mối đe dọa Liên tục (CTEM)). Khi được triển khai đúng cách, CTEM có thể giúp các tổ chức liên tục cải thiện tình trạng bảo mật của họ bằng cách xác định và khắc phục các khu vực có vấn đề tiềm ẩn trước khi chúng có thể bị kẻ tấn công lợi dụng.
3 Thách thức trên Con đường đến với CTEM
Tuyệt vời. Bạn đang chờ đợi điều gì?
Giữ; thiết lập chương trình CTEM là một sáng kiến tuyệt vời – nhưng có một số thách thức trong quá trình triển khai cần được giải quyết để việc triển khai thành công. Tính toán chúng sớm hơn trong các giai đoạn triển khai có thể tiết kiệm thời gian và sự thất vọng trong quá trình thực hiện.
Thử thách 1 – Bắt không bảo mật và bảo mật trên cùng một trang
Một thực tế ai cũng biết là các nhóm CNTT/cơ sở hạ tầng/DevOps/ứng dụng, v.v. và nhóm bảo mật không phải lúc nào cũng nói cùng một ngôn ngữ; đây là vấn đề theo nhiều cách nhưng khi triển khai các chương trình hoặc nhiệm vụ mới, sự ngắt kết nối này thậm chí còn trở nên khó giải quyết hơn. Khi triển khai CTEM, điều này có thể chuyển thành sự thiếu hiểu biết về việc ai trong nhóm không bảo mật sở hữu cái gì và không phù hợp với kỳ vọng SLA, trong số các vấn đề khác.
Vấn đề ở đây là việc truyền đạt đầy đủ nhu cầu rất khó, đặc biệt là khi các nhóm bị sa lầy với vô số câu hỏi “KHẨN CẤP!” các dự án – và đối với họ, CTEM chỉ là một trong những dự án đó. Sự thiếu hiểu biết này có thể khiến họ không thực sự làm những gì cần phải làm.
Làm thế nào để khắc phục – Ngay từ những giai đoạn đầu tiên, hãy đưa các bên liên quan từ các nhóm không liên quan đến bảo mật vào cuộc trò chuyện. Chỉ cung cấp cho họ một danh sách việc cần làm là chưa đủ. Thay vào đó, hãy ngồi với họ và giải thích các mục tiêu mà bạn đang cố gắng đạt được để họ hiểu đúng về những gì đang được thực hiện. Hỏi ý kiến của họ và tìm hiểu những gì họ sẽ cần từ bạn hoặc các nhóm khác trong tổ chức để giúp cuộc sống của họ dễ dàng hơn. Ngoài ra, việc chia sẻ tin tức về các cuộc tấn công mạng với họ sẽ giúp họ nhận thức rõ hơn về tác động kinh doanh mà họ có thể gây ra và tác động đó thực sự liên quan đến bộ phận kinh doanh của họ như thế nào.
Thử thách 2 – Ngắm chim bay
Một chương trình CTEM toàn diện bao gồm nhiều lĩnh vực khác nhau, từ Đám mây, đến AD, lỗ hổng phần mềm, an ninh mạng và về cơ bản là mọi thứ khác. Mỗi một trong số này tồn tại trong silo riêng của nó và có chủ sở hữu riêng, công cụ riêng và danh sách các sự cố cần khắc phục riêng. Mục tiêu của CTEM là hợp nhất tất cả chúng thành một cái nhìn toàn diện với tất cả các lĩnh vực thông báo cho những người khác. Trong thực tế, điều đó có nghĩa là tổng hợp tất cả thông tin và sử dụng thông tin đó để hiểu các ưu tiên và trách nhiệm.
Tuy nhiên, việc hiểu biết cơ bản là một thách thức vì mỗi lĩnh vực này đòi hỏi kiến thức chuyên môn khác nhau. Điều cuối cùng bạn muốn là có một chương trình đã được xây dựng và thực thi một cách tỉ mỉ nhưng lại không hiểu được những rủi ro mà mỗi lĩnh vực mang lại – hoặc tệ hơn là quên bao gồm bất kỳ lĩnh vực cụ thể nào của vấn đề.
Làm thế nào để khắc phục – Xác định ai đó là “người chỉ điểm” – một người có thể nhìn toàn cảnh và trở thành bậc thầy cấp cao trong việc hiểu cách tất cả các khu vực được bao phủ hội tụ và tác động lẫn nhau. Người này không cần phải hiểu từng chi tiết nhỏ nhất về cách thức hoạt động của từng công cụ hoặc từng loại vấn đề bảo mật bao gồm những gì, nhưng họ có thể nắm được toàn bộ bức tranh lớn để có thể đảm bảo đầy đủ và chính xác rằng tất cả các lĩnh vực được tính đến và đang được giải quyết liên tục bởi các chuyên gia, những người có chuyên môn sâu và sắc thái.
Thử thách 3 – Vượt qua tình trạng quá tải chẩn đoán
Quay lại điểm đó về tất cả các lĩnh vực khác nhau được đề cập trong CTEM; Một khía cạnh quan trọng khác cần lưu ý là vì tất cả chúng đều có công cụ riêng nên chúng đều đưa ra cảnh báo. Và vì vậy, trong khi mục tiêu chính của CTEM là hợp lý hóa tất cả thông tin bắt nguồn từ các công cụ này, một sản phẩm phụ đáng chú ý chỉ là rất nhiều tiếng ồn không liên quan.
Làm thế nào để khắc phục – Chấp nhận thực tế rằng hầu như không thể sửa chữa mọi thứ, điều đó có nghĩa là bạn cần ưu tiên và hiệu quả nhất có thể. Để làm điều này, hãy tập trung vào các phạm vi và mức độ tiếp xúc mà kẻ tấn công có thể khai thác nhất và có thể dẫn đến tác động kinh doanh lớn nhất. Có thể hữu ích khi thực hiện phương pháp “bò, đi, chạy”, tức là bắt đầu với các bước nhỏ tập trung vào một phạm vi nhỏ và mở rộng nó khi chương trình của bạn phát triển hơn. (Bạn muốn làm cho cuộc họp CTEM trở nên dễ dàng hơn? Nhận danh sách kiểm tra này về các mẹo thiết thực để hợp lý hóa CTEM tại đây.)
Phần kết luận
Theo Gartner, “Đến năm 2026, các tổ chức ưu tiên đầu tư bảo mật dựa trên chương trình quản lý tiếp xúc liên tục sẽ ít có khả năng bị vi phạm hơn ba lần.” (Gartner, ngày 21 tháng 7 năm 2022, Triển khai Chương trình Quản lý Tiếp xúc với Mối đe dọa Liên tục (CTEM)) Và chúng tôi cảm thấy điều đó là rất lớn. Hy vọng rằng bằng cách giải quyết một số khó khăn tiềm ẩn trong quá trình thực hiện, tổ chức của bạn sẽ sẵn sàng đáp ứng CTEM một cách suôn sẻ.
Lưu ý: Bài viết này được viết và đóng góp bởi Shay Siksik, Phó Giám đốc Trải nghiệm Khách hàng tại XM Cyber.
