简单聊聊持续威胁暴露管理CTEM

好久不见，今天咱们简单聊聊CTEM吧。‍‍‍‍‍‍

持续威胁暴露管理（Continuous Threat Exposure Management，CTEM）是一个全面的安全运营管理框架，它提供了系统的流程和处理方法来识别、评估和响应网络安全威胁，确保组织能够持续地管理和减轻安全风险。这是一种先进的安全运营和主动防御理念，它强调对组织的安全脆弱性进行持续的识别、评估和管理，以对抗不断变化的网络威胁，优先考虑潜在的处理方法，并进行不断完善和改进。

CTEM的核心理念是通过持续监控和分析组织的攻击面（包括网络、软件、硬件和系统等所有可能受到攻击的脆弱点），识别和解决安全漏洞，从而降低组织面临的安全风险。CTEM要求组织不断地评估其安全状况，并主动寻找和修复潜在的安全威胁，而不是仅仅依赖于预防措施或在发生安全事件后的反应。

切记，CTEM 不是特定的产品或服务，它是一个通过五个阶段减少网络安全风险的管理框架，如下图所示。

主要包括以下五个阶段：

1.范围界定（Scoping）—定义并完善 CTEM 计划的范围，安全团队首先需要了解对组织及业务伙伴来说什么是重要的，以及可能会产生哪些影响。

2.发现(Discovery)—范围界定完成后，发现资产及其风险状况的过程也非常重要。应优先发现范围界定过程已确定的业务领域，尽管这不总是其核心驱动能力。暴露发现不仅仅包括漏洞：它可能包括资产和安全控制的错误配置，还包括其他弱点，例如伪造资产或对网络钓鱼测试的不良响应。

3.优先级划分(Prioritization)—在这个阶段，暴露管理的目标不是尝试修复每个已识别的问题，也不是修复最常见的零日威胁，而是识别并解决最有可能被利用的威胁。组织无法处理通过预定义的基本严重性评分来确定风险优先级的传统方式，因为他们需要考虑漏洞利用普遍性、可用的控制措施、缓解选项和业务关键性，以反映对组织的潜在影响。

4.验证(Validation)—此阶段是组织验证潜在攻击者如何实际利用已识别的漏洞以及监控系统进行事件反应的过程的一部分。验证步骤的目标包括通过确认攻击者确实可以利用之前发现的和优先考虑的漏洞来确定可行的成功攻击。

5.全体动员(Mobilization)—动员工作的目标是通过减少审批、实施流程活动和缓解部署中的摩擦，确保团队将 CTEM 的结果付诸实施。为了确保成功，需要高层管理者给予必要支持。

这个理念不是新发布的，早在Gartenr在2022年7月21日发布的报告《实施持续威胁暴露管理（CTEM）计划》中写道，“CTEM的目标是获得可操作的持续安全态势修复和改善计划，业务主管可理解该计划，而架构团队能照此计划采取行动。”在2024年，安全运营（SecOps）领域迎来重大利好，根据Gartner最新发布的《安全运营技术成熟度曲线》报告，持续威胁暴露管理（CTEM）到达炒作周期的顶峰，Gartner为该概念增加了三个新兴类别：威胁暴露管理（Threat Exposure Management，TEM）、暴露评估平台（Exposure Assessment Platforms，EAP）以及对抗性暴露验证（Adversarial Exposure Validation，AEV），实现威胁、暴露及验证的闭环管理，从而拉升安全价值。

威胁暴露管理（TEM）是CTEM框架的核心，涵盖了管理威胁暴露所需的所有技术和流程，并包括了以下两个类别：一个是暴露评估平台（EAP），该类别融合了传统的漏洞评估和漏洞优先级技术，旨在简化漏洞管理并提升运营效率。Gartner将其评为高效益类别，正是因为EAP能够大幅提升企业在应对漏洞方面的能力。另一个是对抗性暴露验证（AEV），该类别将漏洞和攻击模拟（BAS）与自动化渗透测试和红队演练合并，提供连续的、自动化的暴露证据。AEV通过模拟现实中的攻击技术验证企业的安全策略的有效性，从而不断促进安全防护措施的优化和改进。

当我们在日常安全运营中，识别企业的资产并对资产的内外部威胁暴露面进行管理及评估，同时对安全措施进行了有效的验证，这将大大提升企业的安全防护水平。持续风险管理是组织安全体系建设的核心，而有效的攻击面管理则提供了实现持续风险管理的最佳实践，实施了有效的CTEM计划，那也将是组织安全运营体系成熟度达到一定水平的呈现。    

先简单聊这么多，想起来再继续，感谢各位大佬的关注，愿您出走半生，归来仍是少年，莫忘来时路，不负少年心！

原文始发于微信公众号（安全管理杂谈）：简单聊聊持续威胁暴露管理CTEM