持续威胁暴露管理（CTEM）在国内落地，要避免水土不服

在某国际咨询机构 2024年十大战略技术趋势报告中，AI技术的统治地位不可忽视，但在这个AI天下中，持续威胁暴露管理（Continuous Threat Exposure Management，CTEM）却独树一帜。作为一项引领未来的安全创新，CTEM的潜力备受青睐。尽管如此，或许目前很多人还未意识到CTEM的真正价值。

CTEM可以看成是一个指导安全风险管理者达成更成熟管理目标的方法，Gartner近些年提出了多项网络安全风险管理相关技术，比如TVM（威胁和漏洞管理）、VPT（漏洞优先级技术）、RBVM（基于风险的漏洞管理）、ASM（攻击面管理）。如果给这些技术应用在不同风险管理成熟度做个分级，CTEM站在最高级别的风险管理成熟度角度，给安全管理者提供攻击和防守完整视角下实施更成熟风险管理方法的路径，管理者可以审视企事业单位自身技术、流程上缺少什么能力，哪些运营环节需要打通。

但是，正因为CTEM方法指向了更高成熟度的路径，甲方很容易想要一步到位，从乙方购买多种产品、服务来补充自身还不具备的能力，这很容易造成技术能力的堆砌，不但不能解决具体问题，还会带来运营上额外的负担。在没有了解清楚之前就采取行动，也是企事业单位引入一个先进理念，却达不到效果而“水土不服”的主要原因。

CTEM方法对甲方的流程管理能力、乙方的技术支撑能力、综合运营能力提出了非常高的要求，落实CTEM的过程，并不是一些单一的技术组合，而是一个经过设计的、动态、迭代的过程，落实效果是否能够达到理想，需要根据国内外政策、行业、企事业单位自身情况的不同做出适应性调整。接下来我们就三个最能体现CTEM价值的场景，探讨不同场景下如何更好地落实CTEM方法。

网络资产攻击面的可见性，可以理解为：企事业单位现有能力对网络资产风险的管理范围，能够覆盖全部网络资产攻击面的覆盖率。在数字化开始发展的今天，IT系统供应链条长、开发运营参与角色多、数字资产爆发式增长，多数企事业单位对网络资产攻击面的可见性能力是不足的，这会经常导致被监管单位通报，严重时会造成数据泄露，甚至被实施勒索攻击。

Gartner提出了一系列攻击面相关的技术，包括三项主流技术：

但是在国内，部分技术适用度不高，需要综合性手段来补充，如CAASM需要通过API接口全面对接企业云平台、DevOps工具、安全平台等保存资产信息的系统，以获得资产数据，即便在欧美公有云应用极广的场景下，做得好的乙方厂商也需要达到对接几百种系统的级别，在国内软件通用性和数据规范性程度较低的情况下，需要对接的系统数量级是不能接受的，国内厂商更侧重通过融合主动资产测绘技术，形成整体攻击面识别方案。

那么在国内要怎么来实现攻击面可见性能力呢？近些年，国内领先的漏洞管理厂商已经发生了转变，在漏洞管理平台已经具备很好的内网资产发现和管理能力的情况下，开始融入其它风险评估产品数据，如EASM、部分CAASM能力、供应链管理等，形成了完整的网络空间资产测绘能力。

国内大多数企事业单位已经搭建了自己的漏洞管理平台，在这个基础上逐步向CTEM方向演化，达成网络资产攻击面可见性能力，是最低成本取得最大效果的安全建设路线。

当然，多源数据的汇聚对技术平台提出了更高数据分析要求，包括建立资产范围基线、建立内外网资产对应关系、建立资产关系图谱、资产管理血缘图谱等。

必须指出，网络空间资产梳理是一个持续的过程。CTEM五个步骤，能够为达成攻击面可见性方面提供很好的指导。在范围阶段，确定企事业单位需要管理的资产基线；在识别阶段，通过技术平台提供的能力分析违规资产带来的风险；在优先级阶段，给出修复清单；在验证阶段，指出关键风险并给出证据；在动员阶段，根据证据指导业务部门的整改。

CTEM方法引入了攻击者视角，验证环节是体现攻击视角的核心环节。关于验证，在CTEM方法中要实现三个方面的目的：

安全控制能力验证，是以验证防护体系在攻击者利用已知风险攻击时是否能够做出有效响应为目的，发现潜在的脆弱点，这需要随着攻击面风险发现而及时进行验证。国内很多企事业单位都采购过第三方渗透测试服务来进行此类验证，但实际工作中，第三方渗透测试由人工执行，间隔时间长，执行周期长，不能随着风险发现及时进行验证，不适合应用在CTEM五步流程中。这就需要有BAS这样自动化的验证工具，或者PTaaS这样SaaS化的轻量级渗透测试服务，能随时调用以完成验证测试工作。

发现潜在攻击路径验证，主要是验证新出现的风险可能以哪种方式对关键资产产生影响，便于更好地指导修复动员。这个更多是基于资产网络分析，勾画出所有到达关键资产的可能路径，这不一定需要存在漏洞。国内部分厂商提供一些工具，能够做到部分能力，但是想要达到攻击路径验证的核心目标，需要完善的资产画像能力，对多种来源的资产数据标签化，以便做到充分的攻击路径分析。

风险修复有效性验证，更偏管理环节，能力支持方面引入BAS工具以及闭环管理流程，国内领先的漏洞管理厂商在漏洞风险闭环管理方面已经具备了这样的能力，随着融合更多的风险数据来源，能够纳入更多风险类型的管理能力。

验证环节会引入多种技术手段，如轻量化的渗透测试即服务PTaaS、BAS、自动化渗透和红队技术（攻击队，国内更多称为蓝队）。对验证环节真正的挑战，在于如何整合分析和更好地利用这些数据，给修复动员环节带来有价值的参考。

传统上漏洞修复一直存在两个方面难题，一个是跨部门协调，一个是工作量持续增长。就国内的实际情况来看，跨部门难题的本质在于安全部门因为“误报”给非安全部门带来更多不切实际的困扰；另外，在传统合规驱动下企事业单位建立的漏洞管理流程，随着漏洞库因时间推移不断积累，以及业务系统数量增长，已经开始让安全相关工作达到极限。

解决漏洞修复问题，不在修复动员环节本身，Gartner在CTEM中更多是为“修复和态势改善”提供足够的支撑和准备。验证技术能够减少误报，并给安全部门提供足够的依据，以进行跨部门的协调。优先级技术，充分考虑攻击视角下系统面对外部威胁时的真实风险，提供一份安全运维人员需要处置的短清单，聚焦问题，从而降低工作量。

但是在国内，在面对合规监管场景的时候，优先级技术没有办法打消安全人员的顾虑，放心采用短清单，这需要乙方厂商有足够的行业安全运营经验积累，能够关注监管单位的政策导向，转化为实际的操作方法，为优先级技术提供可靠的输入，才能有依据地减少合规场景下风险清单的数量。

CTEM是一个逐步扩展范围从而实现安全风险管理成熟度自我提升的方法，可以根据需要扩展技术组件。由于国内缺少安全产品的数据规范，厂商产品之间数据互通能力弱，在考虑乙方厂商时建议选择产品线足够长的厂商，不但要考察厂商是否能够支撑现在需求，也要考虑能否支撑未来的计划。

达成CTEM方法的效果不是“买”来的，需要具体到每一个企事业单位的实际情况，评估已经具备了哪些能力，优先补充能够得到快速提升的能力，然后通过持续的安全运营推动五步流程的开展。

最后，CTEM方法为我们带来的是面向数字化时代繁复多样的资产风险，游刃有余的弹性能力，和从海量离散的修复任务中抽丝剥茧理清脉络的工作方法，从根本上减轻风险管理工作量。CTEM也从威胁的视角看风险，引领风险管理工作实现从管理IT资产到管理泛资产、从漏洞为核心到攻击面风险为核心、从闭环修复到安全控制有效性、从被动响应到主动防御的四大转变。