Великая Иллюзия: Обзор CTEM
Непрерывное управление выявлением угроз (CTEM) — это стратегия кибербезопасности, которая фокусируется на выявлении, оценке и снижении рисков в цифровой среде организации посредством непрерывного мониторинга и повышения уровня безопасности. CTEM — это не отдельный инструмент или технология, а набор процессов и возможностей, выраженных в программе/структуре, которая включает в себя определение сферы охвата, обнаружение, расстановку приоритетов, валидацию и практическую реализацию.
CTEM — это упреждающий и непрерывный подход, который отличается от традиционного управления уязвимостями (реактивного похода), фокусируется на широком спектре угроз, включает существующие меры безопасности и использует передовые инструменты моделирования для проверки.
Инструменты и технологии
CTEM использует множество инструментов и технологий для поддержки своего внедрения и совершенствования. Эти инструменты помогают на этапах обнаружения, оценки, расстановки приоритетов, валидации и практической реализации цикла управления угрозами. Ключевые инструменты и технологии включают CAASM (Cyber Asset Attack Surface Management), EASM (External Attack Surface Management), EM (Exposure Management), RSAS (Red Team Automation Systems).
Эти инструменты обеспечивают наглядное представление о сегментах сети, средствах контроля безопасности, типах угроз и тактиках / приёмах и имеют решающее значение для выявления и анализа векторов атаки организации, которая включает внешнюю, внутреннюю и облачную среду
Методология
Программа CTEM состоит из пяти этапов:
📌 Определение области действия: Определение начальной области воздействия, учёт критически важной для бизнеса активов, вместо сосредоточения на известных уязвимостях.
📌 Обнаружение: Активный поиск и идентификация потенциальных уязвимостей с использованием таких инструментов, как автоматические сканеры, ручное тестирование и тестирование на проникновение.
📌 Определение приоритетов: сосредоточение внимания на наиболее значительных угрозах, которые могут повлиять на бизнес, и соответствующее определение приоритетности усилий по устранению последствий.
📌 Валидация: Оценка эффективности операций по исправлению и обеспечение надлежащего устранения уязвимостей.
📌 Практическая реализация: введение в действие результатов CTEM и определение стандартов коммуникации и документированных рабочих процессов между командами
«Лучшие практики»
Лучшие практики определения приоритетности угроз при внедрении CTEM включают:
📌 Взаимодействие с заинтересованными сторонами: такими как ИТ, юридические подразделения, комплаенс и бизнес-подразделения, для понимания их конкретных требований и проблем.
📌 Регулярные обновления: установка регулярного графика обновлений и исправлений для защиты сети от текущих известных угроз и превентивного устранения потенциальных угроз в будущем.
📌 План реагирования на инциденты: разработка эффективного (и регулярно обновляемого в соответствии с возникающими угрозами) плана реагирования на инциденты для оперативного реагирования на угрозы.
📌 Оптимизированные процессы снижения рисков: все существующие процессы снижения рисков должны быть оптимизированы и масштабируемы. Это поможет управлять возросшим спросом на передачу данных между системами после внедрения программы CTEM
📌 Использование искусственного интеллекта: использование подхода, основанного на искусственном интеллекте, для определения приоритетов угроз. Это может помочь справиться с динамичным характером угроз и обеспечить направление ресурсов туда, где они имеют наибольшее значение.
📌 Непрерывное совершенствование: CTEM — это непрерывный процесс, и организациям следует регулярно пересматривать и корректировать свои стратегии приоритизации угроз по мере появления новых угроз и эволюции бизнес-целей
Vkontakte
Twitter
Одноклассники
Предыдущий
