Внедрение CTEM: Пошаговое руководство к безумию
Внедрение CTEM включает систематический пятиэтапный процесс, который помогает организациям активно управлять рисками кибербезопасности и снижать их. Внедрение CTEM — это непрерывный цикл, поскольку ландшафт угроз постоянно меняется следует регулярно пересматривать каждый шаг, чтобы адаптироваться к новым угрозам и изменениям в цифровой среде:
📌 Определение области применения (Scoping)
📌 Обнаружение (Discovery)
📌 Определение приоритетов (Prioritization)
📌 Проверка (Validation)
📌 Практическая реализация (Mobilization)
Определение области применения (Scoping)
📌 На этом этапе группам безопасности необходимо понять, какие системы, активы и сегменты инфраструктуры имеют решающее значение для бизнеса и могут стать потенциальными целями для киберугроз и будут включены в область применения и определение заинтересованных сторон, которые будут вовлечены. Это включает в себя определение ключевых векторов атаки, на которых можно управлять уязвимостями.
📌 Процесс определения области обеспечивает точную идентификацию критических и уязвимых систем, что делает его основополагающим шагом в разработке мер безопасности. Этап определения объёма работ составляет основу программы CTEM и имеет важное значение для её общего успеха, поскольку он устанавливает рамки для последующих этапов. Важно включить все соответствующие области в сферу действия CTEM, такие как внешние атаки и облачные среды, чтобы не оставлять незащищёнными любые потенциальные точки взлома.
Обнаружение (Discovery)
📌 Организация активно ищет и выявляет уязвимости и слабые места в оцениваемых активах с применением инструментов и технологий для поиска и анализа потенциальных проблем безопасности на внешнем контуре атак, которая охватывает внешнюю, внутреннюю и облачную среды. Этот этап включает в себя идентификацию и каталогизацию всех уязвимых ресурсов организации, таких как оборудование, программное обеспечение, базы данных и сетевая инфраструктура. На этапе обнаружения предприятия используют широкий спектр инструментов и методов обнаружения ИТ для аудита всех своих ИТ-ресурсов. Часто это включает проведение оценок уязвимостей, тестирования на проникновение и других аудитов безопасности. Цель состоит в активном поиске и выявлении потенциальных уязвимостей в системах и активах организации.
📌 На этапе обнаружения важно привлечь разнообразную команду экспертов, включая ИТ-персонал, сотрудников службы безопасности и других сотрудников, которые могут иметь уникальный взгляд на потенциальные уязвимости. Это гарантирует выявление и оценку всех потенциальных угроз. Этап обнаружения служит связующим звеном между этапами определения объёма и определения приоритетов в процессе CTEM. После этапа анализа, на котором определяются ключевые вектора атаки и заинтересованные стороны, этап обнаружения фокусируется на детальной идентификации всех активов и уязвимостей.
Определение приоритетов (Prioritization)
📌 Этот этап имеет решающее значение, поскольку помогает организациям определить, каким ценным активам необходимо уделить приоритетное внимание на основе их потенциального воздействия на бизнес, так как не все можно защитить сразу.
📌 На этапе определения приоритетов организации оценивают уровень риска. Это включает в себя компенсирующие средства контроля безопасности и потенциальные уязвимости, выявленные на этапе обнаружения, исходя из того, насколько вероятно, что они будут использованы.
📌 Основная цель расстановки приоритетов – составить список задач для эффективного снижения рисков. Это позволяет организациям оптимально распределять свои ресурсы, обеспечивая эффективное использование. А также определить, какие активы являются наиболее важными и нуждаются в наивысшем уровне защиты.
📌 Текущий этап – это непрерывный процесс, который включает в себя постоянную переоценку, ранжирование и выбор активов, требующих немедленного внимания. Этот этап динамичен и должен адаптироваться для эффективного противодействия возникающим угрозам.
Проверка (Validation)
📌 Этот этап обеспечивает точную оценку уязвимости организации к угрозам и эффективности операций по исправлению. На этапе проверки организации оценивают, как они справились бы с реальной атакой, и оценивают свою способность защититься от неё. Это включает в себя использование таких практик, как моделирование взломов и атак (BAS) и тренинги Red Team для имитации атак и проверки защиты на месте.
📌 Этап проверки гарантирует, что планы по устранению уязвимостей и угроз, выявленных на этапе определения приоритетов, эффективны. Это может включать добавление дополнительных мер предосторожности, обновление программного обеспечения или изменение настроек безопасности.
📌 Также важно привлечь к этапу проверки широкий круг заинтересованных сторон, включая ИТ-персонал, сотрудников службы безопасности и другие соответствующие команды. Это гарантирует, что процесс валидации будет всеобъемлющим и что меры по исправлению будут эффективными во всей организации
Практическая реализация (Mobilization)
📌 Этот этап заключается в практической реализации результатов процесса CTEM и осуществлении необходимых действий для устранения выявленных рисков.
📌 На этапе практической реализации организации приводят в действие планы по устранению уязвимостей и угроз, выявленных на этапе определения приоритетов и подтверждённых на этапе валидации. Это может включать добавление дополнительных мер предосторожности, обновление программного обеспечения или изменение параметров безопасности.
📌 Этот этап также включает в себя обеспечение того, чтобы все команды в организации были проинформированы и согласованы с усилиями по обеспечению безопасности. Это может включать автоматизацию мер по смягчению последствий за счёт интеграции с платформами управления информацией о безопасности и событиями (SIEM) и управления безопасностью, автоматизации и реагирования (SOAR), а также установление стандартов связи и документированных межкомандных рабочих процессов.
📌 На данном этапе становится понятно, что восстановление не может быть полностью автоматизировано и требует вмешательства человека и подчёркивается необходимость того, чтобы руководители служб безопасности мобилизовали ответные меры и устранили риски из окружающей среды.