Was ist Continuous Threat Exposure Management (CTEM)?

Continuous Threat Exposure Management (CTEM) ist ein Programm, das Sicherheitsexperten einrichten können, um das kontinuierliche Monitoring von Angriffsflächen zu automatisieren, die aufgrund der Anzahl der IT- und Sicherheitssysteme, die zur Aufrechterhaltung einer modernen Netzwerkinfrastruktur benötigt werden und der schieren Anzahl von Geräten, die Netzwerkzugriff anfordern, exponentiell wachsen.

Fähigkeiten für Identitäts- und Access Management (IAM) sind insofern ein kritischer Bestandteil eines CTEM-Programms, als sie dazu beitragen, die große Anzahl von Nutzern und Computern in einem Unternehmensnetzwerk ordnungsgemäß zu authentifizieren und daher Bedrohungen proaktiv abzuwehren. Laut einer Studie von Gartner® erfreuen sich CTEM-Programme aktuell zunehmender Beliebtheit aus folgenden Gründen:

  • „Mangelnde Sichtbarkeit hinsichtlich der großen Menge potenzieller Probleme
  • Isolierte Technologiebeschaffung im gesamten Unternehmen
  • Erhöhte Abhängigkeit von Drittparteien“

In der Studie heißt es weiter: "Der Schwerpunkt der Besorgnis über Expositionsprobleme hat sich von der einfachen Verwaltung von Software-Schwachstellen in kommerziellen Produkten verlagert. Die Erkenntnis eines erhöhten Technologie-Risikos in einem so großen Umfang ist für Sicherheitsteams überwältigend.“

Ein potenzielles Großrisiko kann sich beispielsweise in einer Unternehmensumgebung mit Schwerpunkt im Gesundheitswesen darin niederschlagen, dass es mehr Zugriffspunkte und/oder Schwachstellen geben könnte, die von Bedrohungsakteuren nach Belieben ausgenutzt werden können.

Die fünf Phasen von CTEM

Von vorne bis hinten, von Anfang bis Ende, gibt es mehrere Schritte im Prozess des kontinuierlichen Managements der Bedrohungslage. Es ist wichtig, dass sie nacheinander ausgeführt werden, damit keine Schwachstellen oder potenziellen Bedrohungen durch die Maschen schlüpfen und auf das Unternehmen zurückfallen.

  • Scoping: Die Bewertung des Risikostatus einer Angriffsfläche anhand von Key Performance Indicators (KPI) und Geschäftszielen hilft einem Sicherheitsteam, einen klaren Aktionsplan zu erhalten und zu vereinbaren.
  • Entdeckung: Nach Abschluss des Scoping können Tools zur Entdeckung innerhalb eines CTEM-Programms damit beginnen, tatsächliche Schwachstellen und Lücken in der Angriffsflächen grob zu identifizieren, d.h. bevor die Priorisierung beginnt.
  • Priorisierung: Basierend auf dem anfänglichen Umfang, der entsprechend der Sicherheits- und Geschäftsstrategie durchgeführt wurde, beginnt ein CTEM-Programm dann mit dem automatisierten Prozess, den entdeckten Problemen eine Priorisierung-Einstufung zuzuweisen.
  • Validierung: Laut Gartner wird „eine automatisierte Validierung mit Technologie- oder Service-Funktionen wie der Simulation von Verstoß und Angriff (Breach and Attack Simulation, BAS) oder automatisierten Penetrationstests:
    • Den wahrscheinlichen „Angriffserfolg“ bewerten, indem bestätigt wird, dass Angreifer die zuvor erkannten und priorisierten Gefährdungen tatsächlich ausnutzen könnten.
    • Die „höchsten potenziellen Auswirkungen“ abschätzen, die über den anfänglichen Fußabdruck hinausgehen und alle potenziellen Angriffspfade zu einem kritischen geschäftlichen Asset analysieren.
    • Identifizieren, ob die Prozesse zur Ergreifung von Gegenmaßnahmen sowohl schnell genug als auch für das Unternehmen angemessen sind.“
  • Mobilisierung: Das Schließen des Kreislaufs des Prozesses - und gleichzeitig eine Besinnung auf den ersten Schritt, das Scoping - ist die Kommunikation zwischen allen betroffenen Interessengruppen und deren Zustimmung zu einem Remediationsplan, nachdem die potenziellen Bedrohungsvektoren validiert wurden.

Die Vorteile von CTEM

Ein Always-On-Ansatz bietet offensichtliche Vorteile in Bezug auf die Überwachung, Erkennung und Behebung von Problemen mit der Netzwerkangriffsfläche. Die folgenden Vorteile, die ein Unternehmen erwarten kann, setzen voraus, dass ein CTEM-Programm entsprechend den spezifischen Anforderungen der Sicherheitsorganisation ordnungsgemäß implementiert wurde.

Verringerung des Radius der Auswirkungen

Durch die Nutzung der Best Practices für IAM und Netzwerkzugriffskontrolle (NAC) zur Authentifizierung und Segmentierung wird der Zugriff auf ein Netzwerk für Bedrohungsakteure schwieriger – aber nicht unmöglich. Durch die Integration dieser indirekten Netzwerkabwehrmaßnahmen in ein kontinuierliches Monitoring-Programm ist es möglich, die Auswirkungen eines potenziellen Verstoßes erheblich zu reduzieren, falls es einem Angreifer tatsächlich gelingt, einzudringen.

Eine stärkere Sicherheitslage

Aufgrund des Potenzials für eine umfassende Risikoreduzierung, das sich nach der Einführung eines erfolgreichen CTEM-Programms ergibt, ist es für eine Sicherheitsorganisation möglich, proaktiver Maßnahmen zu ergreifen und letztlich ein stärkeres Cloud Security Posture Management in allen Cloud-Umgebungen zu erreichen. Das Ergebnis ist eine weniger durchlässige Angriffsfläche und der Schutz des Unternehmens aus einer Position der Stärke und Widerstandsfähigkeit.

Kostenreduzierung

Dies ist ein Vorteil, den jeder Stakeholder gerne sieht. Die Kosten eines Verstoßes – insbesondere eines größeren – sind vielfältig: mögliche Lösegeldzahlungen aufgrund von Ransomware Einleitung von Backups, die möglicherweise nicht die aktuellen Daten berücksichtigen, verlorene Kunden aufgrund von Reputationsschäden und vieles mehr. Ein CTEM-Programm, das wirksam dazu beitragen kann, Risiken zu verringern, den Sicherheitsstatus zu verbessern, Automatisierung zu nutzen und die Folgen von Verstößen zu verringern, kann auf lange Sicht unvorstellbar viel Geld und Ärger sparen.

Best Practices für die Implementierung des CTEM-Programms

Ein CTEM-Programm wird wahrscheinlich vorhandene Aspekte eines Sicherheitsprogramms einbeziehen, um die Fähigkeiten sozusagen unter einem Dach zu verstärken und zu automatisieren. Wenn es um eine Angriffsfläche für Unternehmen geht, gibt es ständig Bedrohungen und es tauchen Gefährdungen auf, die zuvor kein Risiko darstellten.

Bei der Vielzahl von Anbietern kann es nicht nur schwierig sein zu wissen, welcher Anbieter am besten zu einer Organisation passt, sondern auch, was genau zu der Implementierung des Programms gehört. Werfen wir einen Blick auf die verschiedenen eigenständigen Fähigkeiten, auf die sich ein CTEM-Programm in konsolidierter Form stützen könnte, um das Ziel der Cyber-Resilienz zu erreichen.

Stellen Sie sicher, dass externe Bedrohungen berücksichtigt werden

Bedenken Sie, dass Lücken oder Schwachstellen entlang der Angriffsfläche eines Unternehmens schnell zu Bedrohungsvektoren für einen externen Angreifer werden können, um in das Netzwerk einzudringen und rasch großen Schaden anzurichten.

Die Integration von Funktionen zum External Attack Surface Mmanagement (EASM) in ein CTEM-Programm kann dazu beitragen, die Abwehr entlang einer Angriffsfläche hinter dem Perimeter zu verstärken, so dass Teams Dinge wie offengelegte Zugangsdaten, Cloud-Fehlkonfigurationen und externe kommerzielle Abläufe angehen können.

Kommunizieren Sie und stimmen Sie die Ergebnisse ab – so früh wie möglich

Ein CTEM-Programm vereint viele verschiedene Tools zum Schutz der Angriffsfläche eines Unternehmens durch kontinuierliches Monitoring und Identifizierung von Bedrohungen. Der Zweck von CTEM muss noch einmal bekräftigt werden, da es eine große Aufgabe hat, bei der viele Meinungen von Stakeholdern berücksichtigt werden müssen.

Die Einigung auf Ergebnisse und die Abstimmung der CTEM-Ziele wird den Cybersicherheitsmitarbeitern im Alltag helfen, das unvermeidliche diagnostische Rauschen zu durchforsten, das die verschiedenen CTEM-Tools unweigerlich mit sich bringen werden. Die automatische Priorisierung dieser enormen Anzahl von Alerts kann nur erfolgen, wenn das System diesen Ergebnissen engtsprechend richtig kalibriert ist.

Verschaffen Sie sich einen klaren und aktuellen Überblick über die Risiken

Wenn CTEM die Gefährdungen erkennt und den Teams dabei hilft, Gegenmaßnahmen zu ergreifen, gibt die Integration von Fähigkeiten zur Digital Risk Protection (DRP) einen Überblick über die allgemeine Wahrscheinlichkeit, dass Netzwerksysteme Schwachstellen/Gefährdungen enthalten und unterstützt die Teams dabei, Gegenmaßnahmen für diese Probleme zu ergreifen.

Das Risikoniveau für eine einzelne, auf das öffentliche Internet zugreifende Anwendung – die an eine beliebige Anzahl interner Systeme gebunden ist – kann weit höher sein als für eine ältere Unternehmenswebseite, die seit Jahren keinen nennenswerten Datenverkehr mehr aufweist.

Die Anwendung mit der höheren Risikostufe enthält derzeit möglicherweise keine signifikanten Risiken, aber sie erhält häufigere Updates als die veraltete Webseite – viel mehr. Und häufigere Aktualisierungen bedeuten mehr Potenzial für unbeabsichtigte Gefährdungen und damit ein höheres Risiko.