持续威胁暴露管理（CTEM）应用实践指南

主动安全防御的理念已经被提出很多年，但是很多安全专家对这种想法似乎已经不再抱有希望，原因是新型的网络攻击始终都在不断变化，攻击者有充分的时间和资源来设计新的攻击策略，以绕过防御、逃避检测。因此，基于拦截攻击这种思路所设计的主动网络安全模型在实践中表现得往往差强人意。

在此背景下，研究机构Gartner提出了一种主动式安全防御新思路——持续威胁暴露管理（Continuous Threat Exposure Management，CTEM）。它并不关注攻击事件本身，而是关注攻击路径，站在攻击者的角度去思考攻击可能发生在哪里，以及可能采用的攻击战术和实施手段。由于大多数企业组织的数据泄露都可以归因为有限的攻击面可见性，而CTEM正是强调了实时性的安全威胁发现、修复和缓解。

CTEM通过鼓励安全团队采用主动的风险管理心态，而非传统模型的被动心态，这将有效改变企业内部和外部攻击面管理模式。正是因为这一特点，Gartner将CTEM列为“2023年顶级网络安全趋势”。根据Gartner的预测，到2026年，成功实施CTEM计划的组织所遭受的网络攻击威胁将会减少三分之二以上。

Gartner认为，CTEM是一种更加务实且有效的系统化威胁管理方法论，可以有效降低组织遭到安全泄密事件的可能性。通过优先考虑高等级的潜在威胁处置，CTEM实现了不断完善的安全态势改进，将“修复和态势改进”从暴露面管理计划中分离，强调有效改进态势的处置要求。同时，CTEM计划的运作有特定的时间范围，它遵循治理、风险和合规性（GRC）的要求，可为企业长期安全管理战略的转变提供决策支撑。

通过优先考虑高等级的潜在威胁处置，CTEM实现了不断完善的安全态势改进，并将"修复和态势改进"从暴露面管理计划中分离，强调基于企业实际业务状况改进安全威胁态势的处置要求。同时，CTEM计划的运作有特定的时间范围，它遵循治理、风险和合规性的综合要求，可为企业长期网络安全管理战略转型提供决策支撑。

此外，通过将风险评估模型从基本的时间点（point-in-time）方法转移到实时（real-time）风险意识，CTEM管理模型会非常适合于供应商风险管理计划，因为在传统的时间点模型中，仅在计划评估时的单个时间点描绘第三方安全风险的图像。而通过将风险评估与持续的攻击面监控相结合，企业可以将实时组件整合到第三方攻击面管理中，安全团队能够始终了解每个供应商的安全状况，从而了解数据泄露的易感程度。

尽管CTEM有很多优点，但其真正实现也并不容易，因为这需要安全运营团队长期投入大量时间、人员及其他资源。企业在实施CTEM计划时，需要让威胁暴露面管理评估成为一种常态，并将暴露面管理变成多层次的过程，具体包括：

• 风险搜寻：旨在隔离和预测可能存在的攻击路径；

• 危急评估：旨在按照风险级别和危害性对暴露面进行合理排序；

• 系统补救：旨在消除系统中存在的安全漏洞和不足；

• 设定目标：旨在使网络风险管理与数字化发展目标协同一致。

为了保障CTEM项目的顺利实施，研究人员总结了以下实用性建议：

由于在CTEM计划实施后，系统之间的数据共享需求将显著增加，因此必须首先优化当前的威胁发现和风险管理程序。否则，安全团队将需要把大部分时间花在集成故障排除上，而不是管理攻击面，这就违背了制定CTEM计划的初衷。

只有当组织能够及时响应每个检测到的威胁时，CTEM计划所增强的威胁可见性才能真正发挥作用。事件响应计划可帮助安全团队在实时网络攻击的压力下，有条不紊地采取适当的威胁响应措施。

企业的攻击面管理解决方案应该能够映射出所有的攻击面，只有实现充分的可见性才能完全符合CTEM的要求。因此，攻击面管理解决方案需要可以检测复杂的攻击向量，例如生命周期结束的软件、链接到易受攻击服务器的域、未维护的页面等，所有这些风险都能被轻松解决，从而快速减少攻击面。

增强的可见性使安全团队能够了解其攻击面状态。但是，只有当安全团队了解如何有效地分配风险缓解工作时，这些信息才有用。基于风险的漏洞管理方法（RBVM）是一个框架，可用于帮助安全团队决定将安全响应工作的重点放在哪里。通过明确定义的风险偏好，RBVM框架会根据威胁对组织安全状态的可能影响来判断优先处理哪些威胁。

实时威胁可见性的要求已经超越了传统的数字领域。在潜在威胁渗透到组织网络之前，企业所有的员工在发现这些威胁方面都会起着至关重要的作用。因此，建议尽快更新组织的网络安全意识培训计划，强调日常业务环境中威胁可见性和警惕性的重要性，并根据每个员工的日常反馈，不断更新优化CTEM流程与目标。

https://www.upguard.com/blog/adopting-a-cyber-threat-exposure-management-approach