鑽石舞台

Gartner預測到2026 年，採用基於持續暴露面管理計劃的企業遭受入侵的可能性將降低三倍。

企業都擁有自身的漏洞管理計劃，但傳統的方法已無法匹配快速發展的業務需求和不斷擴大的攻擊面風險。暴露範圍遠遠超出了漏洞覆蓋的範圍。即便採取基於風險的漏洞管理（RBVM）方法也無法充分覆蓋。

隨着技術環境的複雜化及分散化，無論是在本地還是在雲上，並且涉及容器、物聯網和網絡物理系統，企業攻擊面管理的工作壓力越來越大；另外，SaaS應用程序和供應鏈逐漸形成了新型的攻擊面；因此，對於每個企業來講，需要提高針對內部任何安全體系漏洞可視化，這樣才能建立和維持強大的安全態勢感知能力，然而大多數企業缺乏發現、控制風險的有效能力。

安全領導者一直在尋找改進的框架和工具來降低網絡安全風險。這包括從單純的預防方法轉變為更成熟的、具有檢測及響應能力的戰略增強型預防控制。而現有管理攻擊面的方法無法匹配數字化發展速度。CTEM應運而生，它是一種務實且有效的系統化方法論，並可不斷優化升級（見圖1）。

CTEM計劃是一種集成的迭代方法，優先考慮潛在的處理方法，並不斷完善安全態勢改進。商業風險偏好會影響到通過修復和緩解控制的組合來選擇網絡安全問題的補救措施。將"修復和態勢改進"從暴露面管理計劃中分離，強調有效改進態勢的跨團隊要求。同樣地，CTEM計劃的運作有特定的時間範圍。它遵循治理、風險和合規性（GRC）的要求，可為長期戰略的轉變提供信息，但在安全運營中心（SOC）團隊的威脅檢測和響應活動中，並沒有實時限制。

圖1：持續威脅暴露面管理

Gartner觀察指出即使是規模龐大的成熟組織也在準備發展現有的漏洞管理計劃，但缺乏結構化的工作流程，因此只能實施研究中的一些步驟。

成熟階段，CTEM周期必須包括五個步驟才能完成：確定範圍、發現識別、優先級、驗證和採取行動（見圖2）。構建CTEM計劃的企業使用工具對資產和漏洞進行清點和分類，模擬或測試攻擊場景和其他形式的態勢評估過程和技術。CTEM計劃需要為基礎設施團隊、系統和項目所有者提供有效的、可操作的路徑，以便對發現的問題採取行動。

CTEM是周期性的。外部因素，如新的商業計劃、企業結構變更或有新聞價值的攻擊技術可能會觸發CTEM過程，但不一定從周期的第一步開始（見圖2）。除了漏洞的優先級和修復外，企業能夠在CTEM階段中收穫正反兩方面的教訓，從而獲得巨大的價值。

圖2:持續暴露面管理流程

跨框架的多組件的多功能平台有自身優點，但平台的目的可能影響其設計。來自攻擊模擬或滲透測試平台攻擊面儀錶板，其目的在於迅速轉到測試部分。來自漏洞優先級技術（VPT）、外部攻擊面管理（EASM）或數字風險保護服務（DRPS）產品的儀錶板則專注於設定修復的優先級。構建網絡安全網狀結構（CSMA）的企業有一個共識。隨着CTEM項目的成熟，它將成為CSMA設計中安全情報層的重要來源。

CTEM雖然可重複，但受五個核心階段的制約。為了整體利益，每個步驟都執行不同的功能，每個階段都需要在每次迭代期間重複。CTEM並不是純風險驅動的活動，而是將傳統的診斷功能轉變為需要明確目標的可操作結果。

對於大型企業來說，攻擊面的範圍超過了漏洞管理的範疇，就需要發展一組拓展資產包含：從傳統的設備、應用程序到無形的元素（如企業的社交媒體賬戶、在線代碼庫和集成供應鏈系統）。解決這個問題的有效方法是確定初始範圍，並根據項目的進展不斷擴展外延。

成熟的漏洞管理項目通常包括對內部、本地和自有資產進行良好的初始範圍界定。CTEM項目超越了自身缺陷，也從"攻擊者的角度出發"，超越了傳統的常見漏洞。當試圖為CTEM試點確定合適的範圍時，因素包括：

未來的周期可以擴大到包括：

範圍界定完成後，正確識別資產及風險狀概況十分重要。應優先考慮範圍界定過程中業務領域的成果。暴露面的發現成果不僅是漏洞，還可以包括資產和安全控制的錯誤配置及其他缺陷。

由於許多識別過程超出了最初聲明的範圍：識別可見和隱藏的資產、漏洞、錯誤配置和其他風險，所以將這部分內容轉移到"優先級"步驟，在這一步驟中需要進行額外的操作"降噪「。

暴露面管理的目標並不是修復全部已識別問題，而是識別和處理最有可能被利用針對企業進行攻擊的威脅因素。企業不能單純通過預定義的基本嚴重性評分來對風險進行優先級排序，因為還需考慮漏洞利用的普遍性、可用控制、緩解措施和業務關鍵性，以反映對企業的潛在影響。更成熟的企業應該從實施和拓展漏洞管理計劃中汲取經驗。處理漏洞的優先次序需要基於緊迫性、嚴重性、補償控制的可用性、風險偏好和風險水平進行綜合考慮。

作為CTEM計劃的一部分，不僅能夠確定風險修復的優先次序，而且還能根據被檢查系統的拓撲結構、配置、關鍵性來確定降低優先次序的理由。這清楚地闡明了企業將優先處理任務/業務關鍵型系統作為優先事項，但也要對異常或異常事件進行響應並展示改進。

雖然不限於攻擊者的技術，但"驗證步驟"往往依賴於手動評估活動，如紅隊演習，以擴大其影響範圍。在CTEM背景下，它還包括對建議處理方法的驗證，不僅為了提升安全防禦力，也是為了提高企業的可行性。

驗證步驟需要實現的三個目標：

好的驗證過程需要克服挑戰，需要混合技術評估的組合（例如，滲透測試、紅隊、破壞和攻擊模擬以及攻擊路徑分析），同時也需要企業的較高的接受度。驗證的範圍不僅包括相關的威脅向量，還應包括樞紐和橫向移動的可能性。同時應該高於安全控制測試，並評估程序和流程的有效性。

當診斷工具建議"修復"時，它不一定是最佳工具，工具或安全程序無法預測其他團隊的接受範圍。CTEM計劃中涉及安全工具的建議方案往往是眾多解決方案的某一種，建議的解決方案選擇，僅基於部分可用信息。「採取行動」工作的目的是確保團隊通過減少審批、實施過程和緩解部署中的繁瑣過程來將CTEM的調查結果付諸實踐。它要求企業定義通信標準（信息要求）和文件化的跨團隊審批工作流程，同時還要求企業領導並參與其中。在更高的成熟度下，"採取行動"也需要工具的演變，以便更好地整合，使其能夠為企業提供更多安全背景及技術支持。

CTEM計劃中的"採取行動"步驟以所需變更的批准、承諾必要的資源和商定的時間表為結束。安全態勢的優化始於將修復措施納入規劃以滿足時間表。

隨着雲服務團隊的採用，安全和基礎設施團隊現在必須監控更多的設置和配置，如操作不當，可能會泄漏敏感數據和服務。因此，管理態勢的過程涉及正確分析攻擊面，識別高風險漏洞和驗證業務相關重要事項的可見性及響應。

總風險超出此範圍，還包括無法直接控制的因素，如合作夥伴在環境中存儲數據的供應鏈風險（見表1）。運行CTEM循環創造了將各步驟中實踐經驗與未來產品的設計相結合的機會。

表1：企業直接控制外的永久性和暫時性風險暴露

改變流程，刪除/隱藏可見數據，並通過修改錯誤配置、修復漏洞和增加控制措施來消除永久性暴露，將攻擊面減少到暫時性暴露，然後可以更好地解決這個問題。

企業通常通過以下方式拓展現有的漏洞管理計劃，解決威脅暴露面問題：

圖3顯示了各步驟的成熟度的區別，並以不同的速度發展。

圖3：CTEM項目的高級成熟度模型

企業可以基於更多零散的項目，在三個支柱上分別採取行動，採用結構化程度較低的方式來處理風險暴露管理問題，（見圖4）。執行良好的項目將有助於改善企業的安全態勢。

根據組織的規模和SOC流程的成熟度，可能會在以下每個支柱的不同成熟度級別開始：

企業實施持續威脅暴露面管理時，需要考慮一些最佳實踐，以最大限度地減少威脅，並降低安全風險。