构建持续威胁暴露管理（CTEM）计划的三大挑战及其应对方式

只要是网络安全专业人员，就免不了陷入行业缩写的汪洋大海，CNAPP、CWPP、CIEM……似乎每天都有新的首字母缩写诞生。

本文聚焦另一个日渐兴起的首字母缩写词——CTEM（Continuous Threat Exposure Management：持续威胁暴露管理），探讨CTEM计划走向成熟的过程中出现的种种惊人挑战。尽管CTEM概念不是崭新的，2022年7月就首次见诸报端，但很多企业在过去几个月里启动的计划现在才刚刚开始尝试实施。而随着企业开始执行自己谨慎制定的计划，他们可能会碰到一些意想不到的挑战，或许会遭遇挫折。

持续威胁暴露管理（CTEM）是什么？

回溯问题根源之前，我们先快速浏览一下CTEM是什么不是什么。

持续威胁暴露管理不是一种技术，期望在供应商那儿找到个CTEM解决方案是不现实的（至少也不会只有一种工具）。相反，CTEM是包含5个阶段的连续计划或框架，旨在帮助企业监测、评估和降低漏洞可利用水平，并验证其数据分析和修复流程是最优的。咨询公司Gartner在2022年7月21日发布的报告《实施持续威胁暴露管理（CTEM）计划》中写道，“CTEM的目标是获得可操作的持续安全态势修复和改善计划，业务主管可理解该计划，而架构团队能照此计划采取行动。”

CTEM的目标有哪些？

Gartner的报告进一步指出，“以技术为中心的攻击面和漏洞自评估项目会产生几乎不具可操作性的报告，还有长长的通用修复列表。漏洞管理计划很难跟上整个企业的体量，导致攻击面快速扩张。”这些因素，加上其他几个关键驱动因素——例如难以在攻击面不断扩张的情况下长期维持安全态势，意味着从整体上确保安全的传统方法越来越没效果了。

根据咨询公司Gartner在2022年7月21日发布的报告《实施持续威胁暴露管理（CTEM）计划》，“CTEM的目标是获得可操作的持续安全态势修复和改善计划，业务主管可理解该计划，而架构团队能照此计划采取行动。”只要能够正确实施，CTEM可抢在攻击者下手之前识别并修复潜在的问题领域，帮助企业持续改善其安全态势。

CTEM实施路上的三大挑战

CTEM听起来可真是太棒了。还等什么呢？赶紧实施啊！

等等，设立CTEM计划确实是很棒的举措，但在实施过程中也存在一些挑战，需要解决这些挑战才能成功实施。在实施阶段尽早考虑这些问题可以节省时间，避免后续出现各种挫折。

挑战1：沟通安全团队和非安全团队

IT/基础设施/DevOps/应用等团队和安全团队沟通不良是个众所周知的事实了；这在很多方面都造成了问题，但在实施新计划或执行新任务时，这种脱节会让情况更加严重。在CTEM实施过程中，安全团队与非安全团队之间的脱节会转变成不了解非安全团队中各种资源的归属，以及在SLA期望方面不一致等问题。

此处的问题在于，透彻沟通需求真的很难，尤其是在各团队深陷“紧急！”项目泥沼的时候：对他们而言，CTEM不过是另一个此类项目而已。而这种缺乏理解可能会阻碍他们真正着手需要做的事情。

如何解决 - 从一开始就将非安全团队的利益相关者纳入对话。只交给他们一张待办事项列表可不够好。相反，你需要拉他们一起坐下来，解释清楚你试图达成的目标，让他们真正了解你在做什么。征求他们的意见，找出他们需要你或公司其他团队做些什么来解决他们的难题。此外，与他们共享网络攻击咨询可以让他们更加清楚网络攻击可能造成的业务影响，更加了解攻击与自己负责的那摊子事的关系。

挑战2：总揽全局

全面的CTEM计划包含很多不同领域，从云到AD、软件漏洞、网络安全等等，几乎所有领域都沾边。这些领域各自为战，各有归属，也都有自己的工具和需要解决的问题。CTEM的目标就是统合所有这些领域，形成整体视图，各领域都为其他领域提供信息。在具体实施过程中，这意味着要聚合所有信息，并利用这些信息来了解工作重点和责任。

但做到基本了解本身就很难了，因为每个领域都需要不一样的专业知识。你最不希望看到的情况就是，精心构建和执行的计划无法了解每个领域存在的风险；或者，更糟的情况——遗漏了哪个特定问题领域。

如何解决 - 确定“关键人物”——能够总揽全局并深刻了解所有覆盖领域如何融合和相互影响的高级大师。这个人不需要了解每种工具具体是怎么运作的，也不需要了解每类安全问题都包括些什么，但他们应能掌握全局，可以全面精准地确保考虑到所有领域，并安排切实具备深入细致专业知识的专业人员持续解决这些安全问题。

挑战3：克服诊断过载

我们回到CTEM涵盖的所有不同领域上：另一个需要注意的重要方面是，由于各个领域都有自己的工具，所以都会产生警报。于是，CTEM的一个主要目标就是弥合源自这些工具的所有信息，而值得注意的一个副产品就是大量的无关噪音。

如何解决 - 接受不可能修复一切的事实，也就是说，你需要进行优先级排序并尽可能提高效率。因此，我们应该关注攻击者最有可能攻击的系统和被攻击后会对业务产生重大影响的领域。这样有助于采取循序渐进的方法，从小范围入手，然后随着计划的趋于成熟而逐渐扩大。

结语

Gartner的报告预测，“到2026年，基于持续暴露管理计划安排其安全投资的企业遭遇安全事件的可能性会减少三分之二。”这个下降幅度不可谓不大了。消除CTEM实现路上的一些潜在问题，企业就有望顺畅实现CTEM。

XM Cyber白皮书《建立现代暴露管理计划》
https://info.xmcyber.com/exposure-management-guide

---

参考阅读
如何更好地构建与利用SBOM
14028号行政令两年：美国SBOM现状
我们可以从俄乌冲突网络战中学到什么

原文始发于微信公众号（数世咨询）：构建持续威胁暴露管理（CTEM）计划的三大挑战及其应对方式