In diesem Sommer führte Gartner Continuous Threat Exposure Management (CTEM) ein. Dies ist eine Reihe von Prozessen und Fähigkeiten, die es Unternehmen ermöglichen, ein System zur Überprüfung von Gefährdungen zu erstellen, das schneller ist als der periodische projektbasierte Ansatz.
Angesichts endloser Bedrohungen und Schwachstellen, die heutige Unternehmen heimsuchen, gibt es ein Bewertungsmanagement für Gefährdungen Die Zugänglichkeit, Offenlegung und Ausnutzbarkeit aller digitalen und physischen Assets ist notwendig, um die Risikominderung für Unternehmen zu steuern und zu priorisieren.
Wir sprachen mit Haggai Polak, CPO von Skybox Security, um mehr darüber zu erfahren, was dieser neue Begriff für die Unternehmenssicherheit bedeutet, insbesondere wenn sich Unternehmen auf neue Bedrohungen im Jahr 2023 vorbereiten.
BN: Kannst du erzählen Sie uns mehr über CTEM und wie es sich von traditionellem Schwachstellenmanagement unterscheidet?
HP: Der Name sagt schon viel aus. Das Ziel von CTEM ist es, einen umsetzbaren Plan zur Behebung des Sicherheitsstatus zu erstellen, den Organisationen verstehen und Sicherheitsteams implementieren können. Das Ziel des Prozesses ist es, Bedrohungen, die am wahrscheinlichsten ausgenutzt werden, kontinuierlich zu identifizieren und zu bekämpfen, anstatt zu versuchen, jede identifizierte Bedrohung zu beheben.
CTEM ist eine Verbesserung gegenüber Schwachstellenmanagementprogrammen, die in verwendet wurden Vergangenheit, hauptsächlich im kontinuierlichen Aspekt. Unternehmen müssen erkennen, dass es nicht ausreicht, nur einen Scan durchzuführen oder zweimal im Jahr eine Agentur mit Tests zu beauftragen. Da ständig neue Schwachstellen eingeführt werden, wissen wir, dass gängige Schwachstellendatenbanken jährlich um Zehntausende wachsen, während sich die Infrastruktur eines Unternehmens ständig ändert. Heutige Unternehmen müssen in der Lage sein, Bedrohungsanalysen und Expositionsmanagement kontinuierlich durchzuführen. Wir empfehlen in der Regel, dass Kunden tägliche Scans durchführen, um zu sehen, was sich geändert hat, sowohl in Bezug auf ihre Infrastruktur und ihre Konfiguration als auch auf neue Bedrohungen oder Exploits, die für böswillige Akteure verfügbar geworden sind.
Auf eine weitere Änderung möchte ich hinweisen Dazu verwenden wir jetzt den Begriff „Exposure“ statt nur „Vulnerabilities“. Dies ist auch eine Erweiterung des Anwendungsbereichs der ursprünglichen Vulnerability-Management-Programme, die sich wirklich nur auf Schwachstellen konzentrierten, etwas, das möglicherweise auf einer bestimmten Software oder Hardware gefährdet ist, die jemand ausnutzen könnte. Die Exposition ist viel breiter als das. Eine Fehlkonfiguration kann beispielsweise eine Belichtung sein, aber auch eine fehlende Regellücke. Es muss also nicht unbedingt ein Softwarefehler vorliegen oder etwas kaputt sein. Es könnte so einfach sein wie ein menschlicher Fehler, der den Zugriff auf einen Bereich des Netzwerks ermöglicht, der geschützt werden sollte. Aus diesem Grund wird CTEM als ausgereiftere Methode zum Management von Cyberrisiken im gesamten Unternehmen angesehen.
BN: Können Sie uns erklären, wie ein CTEM-Programm aussieht?
HP: Wenn wir uns die Definition von Expositionsmanagementprogrammen ansehen, gibt es ein paar sehr unterschiedliche Phasen. Die erste ist die Entdeckung. Das Exposure Management beginnt damit, zu verstehen, welche Assets eine Organisation im Detail hat, wer der Eigentümer der Assets ist, welche Bedeutung sie haben und mehr. Der nächste Teil ist die Erkennung der Gefährdungen, und hier ist es entscheidend, verschiedene Scanner sowohl in der IT-als auch in der OT-Welt zu integrieren, um mit der Zuordnung der verschiedenen Gefährdungen zu beginnen, die auf verschiedenen Assets vorhanden sind.
Sobald wir damit fertig sind In dieser zweiten Phase gibt es in der Regel eine Liste mit Zehntausenden potenzieller Gefährdungen in der Infrastruktur, die sortiert werden müssen. Unternehmen, die sich auf traditionelle Schwachstellenbewertungen verlassen, stoßen normalerweise auf das Problem, dass sie zu viele kritische Schwachstellen und eine begrenzte Bandbreite für die Behebung haben, was sie oft dazu veranlasst, sich auf die falschen Dinge zu konzentrieren. An dieser Stelle können risikobasierte Priorisierungstechnologien helfen, zu entscheiden, was am kritischsten ist – zum Beispiel, indem sie herausfinden, welche dieser Schwachstellen in freier Wildbahn ausgenutzt oder welche Assets offengelegt werden.
Dann erreichen wir die vierte Stufe , also Korrektur und Verifizierung. Hier starten Sicherheitsteams manuell oder automatisch die Behebung der Schwachstellen. Hier überprüfen sie auch, ob die Behebung tatsächlich effektiv war, und messen verschiedene Metriken rund um das Programm, wie z. B. die Fähigkeit, Behebungs-SLAs zu erfüllen.
BN: Welche Trends sehen Sie im Bereich Schwachstellenmanagement?
HP: Es gibt einige Trends, auf die ich hinweisen möchte. Die Quantifizierung von Cyber-Risiken ist eine große Sache. Wir sehen, dass Sicherheitsteams zunehmend um unsere Hilfe bitten, um Cyber-Risiken in eine Sprache zu übersetzen, die das breitere Unternehmen versteht. Wenn beispielsweise auf einer kleinen Anzahl von Servern ein großes Risiko besteht, diese Server jedoch für das Unternehmen äußerst kritisch sind, führt jede Ausfallzeit auf diesen Servern zu erheblichen finanziellen Verlusten. Das ist etwas, was unsere Kunden bei der Berechnung und Darstellung unterstützen möchten, damit sie zeigen können, warum sie der Behebung und zusätzlichen Sicherheitsausgaben für diese kleine Gruppe von Assets Priorität einräumen.
Der zweite betrifft die Automatisierung. Wir alle kennen den Personalmangel im Bereich Cybersicherheit. Aus diesem Grund versuchen viele Unternehmen in allen Branchen, ihr Schwachstellen-und Konfigurationsmanagement zu automatisieren. In gewisser Weise haben traditionellere Automatisierungslösungen Kunden im Stich gelassen, weil sie nicht schlau genug waren, Automatisierung sicher und mit viel Kontext durchzuführen. Sicherheitskunden geben nicht auf und suchen immer noch nach Möglichkeiten, mit weniger menschlicher Beteiligung, weniger menschlichen Fehlern schneller Abhilfe zu schaffen und schnell auf Bedrohungen mit hohem Schweregrad in der Umgebung zu reagieren.
Der letzte ist der Ausweitung von der Anwendung des Schwachstellenmanagements auf herkömmliche Legacy-IT hin zur Durchführung des Risiko-und Bedrohungsmanagements auf etwas vernachlässigten Teilen Ihrer Infrastruktur, wie Betriebstechnik (OT)-Geräten. Hier sehen wir Sicherheitsteams, die nach der Anwendung von Schwachstellen-und Bedrohungsmanagement für ihre OT-, Cloud-Workloads und in einigen Fällen für Remote-Mitarbeiter fragen. Es reicht nicht mehr aus, nur Schwachstellenmanagement auf den Servern in einem Rechenzentrum oder den Geräten im Gebäude zu betreiben.
Bildnachweis: alexskopje/depositphotos.com