CTEM 101 – Melampaui Manajemen Kerentanan dengan Manajemen Paparan Ancaman Berkelanjutan
7 mins read

CTEM 101 – Melampaui Manajemen Kerentanan dengan Manajemen Paparan Ancaman Berkelanjutan

Di dunia dengan jargon yang terus berkembang, menambahkan FLA (Akronim Empat Huruf) ke glosarium Anda mungkin tampak seperti hal terakhir yang ingin Anda lakukan. Namun jika Anda mencari cara untuk terus mengurangi risiko di lingkungan Anda sambil melakukan perbaikan yang signifikan dan konsisten terhadap postur keamanan, menurut pendapat kami, Anda mungkin ingin mempertimbangkan untuk membuat program Continuous Threat Exposure Management (CTEM) .

CTEM adalah pendekatan manajemen risiko siber yang menggabungkan simulasi serangan, prioritas risiko, dan panduan remediasi dalam satu proses terkoordinasi. Istilah Continuous Threat Exposure Management pertama kali muncul dalam laporan Gartner ®, Implement a Continuous Threat Exposure Management Program (CTEM) (Gartner, 21 Juli 2022,). Sejak saat itu, kami telah melihat bahwa organisasi-organisasi di seluruh dunia merasakan manfaat dari pendekatan yang terintegrasi dan berkelanjutan ini.

Platform Manajemen Eksposur

Webinar: Mengapa dan Bagaimana Mengadopsi Kerangka CTEM#

XM Cyber ​​mengadakan webinar yang menampilkan VP Analyst Gartner Pete Shoard tentang penerapan kerangka CTEM pada tanggal 27 Maret dan bahkan jika Anda tidak dapat bergabung, kami akan membagikan tautan sesuai permintaan, jangan sampai ketinggalan!

Fokus pada Area dengan Risiko Paling Besar#

Namun mengapa CTEM populer, dan yang lebih penting, bagaimana CTEM dapat memperbaiki dunia Manajemen Kerentanan yang sudah penuh sesak?

Inti dari CTEM adalah penemuan risiko nyata dan dapat ditindaklanjuti terhadap aset-aset penting. Siapa pun dapat mengidentifikasi peningkatan keamanan di lingkungan organisasi. Masalahnya bukan pada menemukan eksposur, namun kewalahan menghadapi eksposur – dan mengetahui mana yang paling berisiko terhadap aset-aset penting.

Menurut pendapat kami, program CTEM membantu Anda:

 

  1. Identifikasi aset Anda yang paling terekspos, serta bagaimana penyerang dapat memanfaatkannya
  2. Memahami dampak dan kemungkinan potensi pelanggaran
  3. Prioritaskan risiko dan kerentanan yang paling mendesak
  4. Dapatkan rekomendasi yang dapat ditindaklanjuti tentang cara memperbaikinya
  5. Pantau postur keamanan Anda secara terus menerus dan lacak kemajuan Anda

 

Dengan program CTEM, Anda bisa mendapatkan “pandangan penyerang”, dengan mereferensikan kelemahan di lingkungan Anda dengan kemungkinan digunakan oleh penyerang Hasilnya adalah daftar paparan yang diprioritaskan untuk diatasi, termasuk paparan yang dapat diatasi dengan aman di kemudian hari.

Lima Tahapan Program CTEM#

Manajemen Kerentanan

Dibandingkan dengan produk atau layanan tertentu, CTEM adalah program yang mengurangi paparan keamanan siber melalui lima tahap:

 

  1. Pelingkupan – Menurut Gartner, “Untuk menentukan dan kemudian menyempurnakan ruang lingkup inisiatif CTEM, tim keamanan harus terlebih dahulu memahami apa yang penting bagi rekan bisnis mereka, dan dampak apa (seperti gangguan yang diperlukan pada sistem produksi) yang mungkin terjadi. cukup parah sehingga memerlukan upaya perbaikan kolaboratif.”
  2. Penemuan – Gartner mengatakan, “Setelah pelingkupan selesai, penting untuk memulai proses penemuan aset dan profil risikonya. Prioritas harus diberikan pada penemuan di area bisnis yang telah diidentifikasi oleh proses pelingkupan, meskipun hal ini tidak terjadi. Tidak selalu menjadi penyebab. Penemuan paparan lebih dari sekadar kerentanan: hal ini dapat mencakup kesalahan konfigurasi aset dan kontrol keamanan, namun juga kelemahan lain seperti aset palsu atau respons buruk terhadap pengujian phishing.”
  3. Prioritas – Pada tahap ini, kata Gartner, “Tujuan dari manajemen paparan bukanlah untuk mencoba memulihkan setiap masalah yang teridentifikasi atau ancaman-ancaman zero-day, misalnya, melainkan untuk mengidentifikasi dan mengatasi ancaman-ancaman yang paling mungkin dieksploitasi terhadap lingkungan. organisasi.” Gartner lebih lanjut mencatat bahwa “Organisasi tidak dapat menangani cara-cara tradisional dalam memprioritaskan paparan melalui skor tingkat keparahan dasar yang telah ditentukan, karena mereka perlu memperhitungkan prevalensi eksploitasi, kontrol yang tersedia, opsi mitigasi, dan kekritisan bisnis untuk mencerminkan potensi dampak terhadap organisasi.
  4. Validasi – Tahap ini, menurut Gartner, “adalah bagian dari proses di mana organisasi dapat memvalidasi bagaimana calon penyerang dapat mengeksploitasi paparan yang teridentifikasi, dan bagaimana sistem pemantauan dan pengendalian dapat bereaksi.” Gartner juga mencatat bahwa tujuan langkah Validasi mencakup “menilai kemungkinan” keberhasilan serangan “dengan mengonfirmasi bahwa penyerang benar-benar dapat mengeksploitasi paparan yang ditemukan dan diprioritaskan sebelumnya.
  5. Mobilisasi – Kata Gartner, “Untuk memastikan keberhasilan, pemimpin keamanan harus mengakui dan mengkomunikasikan kepada semua pemangku kepentingan bahwa remediasi tidak dapat sepenuhnya dilakukan secara otomatis.” Laporan tersebut lebih lanjut mencatat bahwa, “tujuan dari upaya “mobilisasi” adalah untuk memastikan tim mengoperasionalkan temuan CTEM dengan mengurangi gesekan dalam persetujuan, proses implementasi dan penerapan mitigasi. Hal ini mengharuskan organisasi untuk menentukan standar komunikasi (persyaratan informasi) dan dokumentasi lintas sektoral. -alur kerja persetujuan tim.”

 

CTEM vs. Pendekatan Alternatif#

Terdapat beberapa pendekatan alternatif untuk memahami dan meningkatkan postur keamanan, beberapa di antaranya telah digunakan selama beberapa dekade.

  • Manajemen Kerentanan/RBVM berfokus pada pengurangan risiko melalui pemindaian untuk mengidentifikasi kerentanan, kemudian memprioritaskan dan memperbaikinya berdasarkan analisis statis. Otomatisasi sangatlah penting, mengingat jumlah aset yang perlu dianalisis, dan jumlah kerentanan yang teridentifikasi yang terus bertambah. Namun RBVM terbatas pada mengidentifikasi CVE dan tidak mengatasi masalah identitas dan kesalahan konfigurasi. Selain itu, sistem ini tidak memiliki informasi yang diperlukan untuk memprioritaskan remediasi dengan tepat, yang biasanya menyebabkan simpanan yang tersebar luas.
  • Latihan Tim Merah merupakan pengujian pertahanan keamanan siber yang bersifat manual, mahal, dan bersifat point-in-time. Mereka berusaha mengidentifikasi apakah ada jalur serangan yang berhasil atau tidak pada titik waktu tertentu, namun mereka tidak dapat mengidentifikasi seluruh risiko.
  • Demikian pula, Pengujian Penetrasi menggunakan metodologi pengujian sebagai penilaian risikonya, dan memberikan hasil tepat waktu. Karena melibatkan interaksi aktif dengan jaringan dan sistem, biasanya terbatas pada aset-aset penting, karena risiko pemadaman listrik.
  • Cloud Security Posture Management (CSPM) berfokus pada masalah kesalahan konfigurasi dan risiko kepatuhan hanya di lingkungan cloud. Meskipun penting, hal ini tidak mempertimbangkan karyawan jarak jauh, aset lokal, atau interaksi antara beberapa vendor cloud. Solusi-solusi ini tidak menyadari seluruh jalur risiko serangan yang melintasi lingkungan yang berbeda—sebuah risiko umum di dunia nyata.

Menurut pendapat kami, pendekatan berbasis program CTEM menawarkan keuntungan:

  • Mencakup semua aset—cloud, lokal, dan jarak jauh—dan mengetahui mana yang paling penting.
  • Terus-menerus menemukan semua jenis paparan—CVE tradisional, identitas, dan kesalahan konfigurasi.
  • Menyajikan wawasan dunia nyata ke dalam pandangan penyerang
  • Memprioritaskan upaya remediasi untuk menghilangkan jalur-jalur tersebut dengan perbaikan paling sedikit
  • Memberikan saran remediasi untuk perbaikan yang andal dan berulang

Nilai CTEM#

Kami merasa bahwa pendekatan CTEM memiliki keunggulan besar dibandingkan pendekatan alternatif, yang beberapa di antaranya telah digunakan selama beberapa dekade. Pada dasarnya, organisasi telah menghabiskan waktu bertahun-tahun untuk mengidentifikasi paparan, menambahkannya ke dalam daftar hal yang harus dilakukan, menghabiskan banyak waktu untuk mengingat daftar tersebut, namun belum mendapatkan manfaat yang jelas. Dengan CTEM, pendekatan yang lebih bijaksana terhadap penemuan dan pembuatan prioritas menambah nilai dengan:

  • Mengurangi risiko secara keseluruhan dengan cepat
  • Meningkatkan nilai setiap remediasi, dan berpotensi membebaskan sumber daya
  • Meningkatkan keselarasan antara tim keamanan dan TI
  • Memberikan pandangan umum ke seluruh proses, mendorong umpan balik positif yang mendorong perbaikan berkelanjutan

Memulai dengan CTEM#

Karena CTEM adalah sebuah proses dan bukan layanan spesifik atau solusi perangkat lunak, memulainya adalah upaya holistik. Dukungan organisasi merupakan langkah pertama yang penting. Pertimbangan lain termasuk:

  • Mendukung proses dan pengumpulan data dengan komponen perangkat lunak yang tepat
  • Menentukan aset penting dan memperbarui alur kerja remediasi
  • Mengeksekusi integrasi sistem yang tepat
  • Menentukan pelaporan eksekutif yang tepat dan pendekatan terhadap perbaikan postur keamanan

Dalam pandangan kami, dengan program CTEM, organisasi dapat mengembangkan kesamaan risiko untuk Keamanan dan TI; dan memastikan bahwa tingkat risiko untuk setiap paparan menjadi jelas. Hal ini memungkinkan beberapa paparan yang benar-benar menimbulkan risiko, di antara ribuan paparan yang ada, dapat ditangani dengan cara yang bermakna dan terukur.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *