持续威胁暴露管理 (CTEM)

关键要点

• 持续威胁暴露管理（CTEM）是近年来网络安全的最新概念，由Gartner在2022年中首次提出，现已被多家安全厂商推广。
• CTEM是一种整体性的方法，主动发现、优先处理并修复网络中的漏洞和威胁，与组织的整体目标和合规框架一致。
• CTEM相比传统脆弱性管理是前瞻性的，旨在在漏洞被披露之前主动发现并修复。
• CTEM的实施需要对网络安全进行一定程度的优先级划分，低风险的漏洞可能被推迟修复。
• CTEM的实施过程涉及多个阶段，包括范围定义、发现、优先排序、验证和动员。

持续威胁暴露管理（CTEM）是对网络安全的一个全面、主动的策略。它的目标是不断地发现、优先处理、验证和修复（或减轻）网络中的漏洞、配置错误、威胁以及其他潜在的暴露点。CTEM与组织的整体目标及合规要求相一致。

“持续威胁暴露管理是一种务实且有效的系统方法，可以持续细化优先级，并在现代安全面临的两大现实之间取得平衡。”——Gartner研究员Jeremy D'Hoinne

CTEM的优势

CTEM与传统的脆弱性管理相比，显著的区别在于其主动性。传统的脆弱性管理往往是在漏洞被公开披露后才进行应对，CTEM则致力于在问题出现之前主动识别和解决潜在风险。随着可攻击面不断扩展，许多组织使用数百个应用程序，网络设备数量也在增加，CTEM方法显得尤其重要。

网络安全的优先级划分

CTEM强调网络安全中的优先级划分。每一个发现的漏洞或威胁都会被评估潜在风险、影响和修复成本，而那些低风险或修复成本过高的暴露点可能会被推迟修复，这种方式更为现实和高效。

然而，这种方法也引发了一些争议，批评者认为，CTEM可能会导致某些紧急修复措施被推迟，无法及时修复关键漏洞。

尽管如此，CTEM的实施并不意味着要从零开始。许多现有的安全解决方案和流程可以融入CTEM项目，形成一个基础。

CTEM的五个阶段

一个有效的CTEM程序包括以下五个主要阶段：

1. 范围界定 ：应包括组织已知和未知的整体攻击面，无论内部或外部。
2. 发现 ：使用攻击面管理（ASM）工具等进行全面检查，发现漏洞、配置错误和其他暴露点。
3. 优先排序 ：根据风险（成功利用的可能性和潜在影响）、可修复性及成本对发现的暴露点进行排名。
4. 验证 ：主动检查潜在威胁或漏洞是否真能被利用，这一过程可以通过红队、外部渗透测试或自动化工具进行。
5. 动员 ：确定组织如何处理优先级最高的暴露点。

“通过持续的暴露管理项目来优先考虑安全投资的组织，到2026年将更不容易遭受数据泄露。”——Gartner

结论

虽然目前还不清楚CTEM是否会被企业安全团队广泛采纳，还是会被新的理念所超越，但其所带来的优势无疑会帮助组织降低网络安全运行成本和数据泄露的影响。 CTEM将是未来网络安全的重要方向之一。

（编辑注：这是2024和2025年前15大网络安全趋势系列文章的一部分）