Pe măsură ce organizațiile se confruntă cu un peisaj de securitate mai complex, această abordare de securitate ajută companiile să reducă riscurile.
Pentru liderii de securitate IT care caută o poziție de securitate mai avansată, gestionarea continuă a expunerii la amenințări oferă beneficii dincolo de gestionarea tradițională a vulnerabilităților, ajutând la alinierea strategiilor de securitate cu obiective mai largi și menținând sub control bugetele de securitate.
De fapt, un studiu recent Gartner raportează că organizațiile care adoptă CTEM vor avea de trei ori mai puține șanse de a suferi o încălcare până în 2026. Iată ce trebuie să știți:
Ce este managementul expunerii continue la amenințări?
CTEM este o abordare proactivă de securitate cibernetică care implică identificarea, evaluarea, prioritizarea și remedierea continuă a amenințărilor și vulnerabilităților de securitate din cadrul unei organizații.
Acesta integrează monitorizare continuă, instrumente automate și informații despre amenințări pentru a menține apărarea la zi în fața amenințărilor în evoluție.
Erik Nost, analist senior la Forrester specializat în securitate și risc, descrie CTEM ca o nouă abordare care consolidează diverse soluții de securitate proactive pentru a oferi o viziune holistică asupra vulnerabilității, vizibilității și orchestrarea răspunsului.
„CTEM aliniază soluțiile într-o singură categorie pentru a permite securitatea proactivă”, spune Nost. „A evoluat pentru a face față peisajelor complexe de amenințări de astăzi, spre deosebire de managementul tradițional al vulnerabilităților.”
Care sunt beneficiile CTEM?
O abordare CTEM este holistică. Acesta ia în considerare suprafețele de atac, căile de atac către activele critice și riscul general, oferind organizațiilor o idee mai clară asupra modului în care adversarii intră în mediul lor IT.
CTEM oferă, de asemenea, companiilor o modalitate de a rămâne agile în mijlocul riscurilor cibernetice în continuă evoluție.
„Pe măsură ce afacerile cresc și se schimbă, mediile lor tehnologice se schimbă rapid”, spune Nost. „Monitorizarea continuă a CTEM se aliniază acestor schimbări, abordând complexitățile de la fuziuni la operațiuni bazate pe cloud care se actualizează zilnic sau din oră, spre deosebire de abordările tradiționale de securitate mai lente.”
CTEM permite supravegherea în timp real a potențialelor vulnerabilități, depășind scanările lunare învechite sau testele anuale.
„Prin ritmul afacerilor moderne, CTEM sprijină organizațiile în protejarea arhitecturilor IT dinamice, care diferă drastic de centrele de date stabile și serverele cu viață lungă din trecut”, adaugă Nost.
O abordare CTEM este, de asemenea, iterativă, implicând descoperirea, prioritizarea și remedierea amenințărilor cibernetice. De asemenea, ajută organizațiile să îndeplinească cerințele de securitate pentru respectarea Regulamentului general privind protecția datelor, HIPAA sau Standardul de securitate a datelor din industria cardurilor de plată, menținând o poziție de securitate continuă și permanentă.
Care sunt pașii pentru construirea unui cadru CTEM?
Un cadru CTEM include de obicei cinci faze: identificare, prioritizare, atenuare, validare și raportare și îmbunătățire.
În prima fază, sistemele sunt monitorizate continuu pentru a identifica vulnerabilități noi sau emergente și potențiali vectori de atac. Această monitorizare continuă este esențială pentru ciclul de viață de gestionare a vulnerabilităților. Vulnerabilitățile identificate sunt apoi evaluate pe baza impactului lor potențial asupra activelor critice și a operațiunilor de afaceri.
În faza de atenuare, se iau măsuri de apărare împotriva vulnerabilităților cu risc ridicat prin aplicarea de patch-uri, reconfigurarea sistemelor sau ajustarea controalelor de securitate.
Etapa de validare se concentrează pe testarea apărării pentru a se asigura că vulnerabilitățile sunt atenuate în mod corespunzător și că postura de securitate rămâne puternică.
În faza finală de raportare și îmbunătățire, liderii IT obțin acces la valorile de securitate și rute de apărare îmbunătățite, pe baza lecțiilor învățate din răspunsul la incident.
Care este diferența dintre CTEM și managementul vulnerabilităților?
Deși atât CTEM, cât și managementul vulnerabilităților urmăresc să identifice și să remedieze deficiențele de securitate, acestea diferă în ceea ce privește domeniul de aplicare și execuția. Managementul vulnerabilităților se referă mai mult la identificarea țintită și periodică a vulnerabilităților din cadrul unei organizații pe baza unei ferestre de scanare stabilite.
CTEM, pe de altă parte, este mai larg și mai cuprinzător; evaluează continuu amenințările de tot felul. Spre deosebire de gestionarea tradițională a vulnerabilităților, CTEM se concentrează pe securitatea proactivă, inclusiv pe vizibilitatea continuă, prioritizarea și remedierea în diverse soluții de securitate.
„CTEM consolidează aspecte precum managementul suprafeței de atac, testarea securității și simularea încălcării într-o singură abordare”, explică Nost. „În timp ce managementul vulnerabilităților oferă vizibilitate și prioritizare, CTEM adaugă răspuns și orchestrare continuu, agregând date din diverse instrumente pentru o vedere mai cuprinzătoare.”
Această abordare permite companiilor să abordeze amenințările în timp real, mai degrabă decât să se bazeze pe evaluări periodice izolate.
Cu CTEM, companiile beneficiază de gestionarea vulnerabilităților, deoarece este de obicei inclusă în proces, dar pot rula și simulări continue de atac, monitorizare și informații despre amenințări.
Care este diferența între CTEM și SIEM?
Informațiile de securitate și managementul evenimentelor, sau SIEM, este un instrument sau un sistem utilizat pentru a colecta, analiza și raporta datele de securitate în mediul IT organizațional.
CTEM adoptă o abordare proactivă a securității, concentrându-se pe identificarea deficiențelor structurale pentru a preveni incidentele înainte ca acestea să apară, spune Nost, în timp ce SIEM este reactiv, monitorizează și analizează datele situaționale pentru a detecta și a răspunde la evenimentele de securitate în timp real.
„CTEM este despre reducerea sarcinii de lucru pe SIEM prin abordarea preventivă a vulnerabilităților”, spune el.
Împreună, CTEM și SIEM pot crea o apărare echilibrată: CTEM reduce riscurile pe care SIEM ar trebui să le abordeze altfel.
„Cu cât ești mai proactiv, cu atât trebuie să fii mai puțin reactiv”, spune Nost.
