Ako ste profesionalac za kibernetičku bezbjednost, vjerojatno ste upoznati s morem akronima kojima je naša industrija opsjednuta. Od CNAPP-a, preko CWPP-a, do CIEM-a i bezbroj drugih, čini se da se svaki dan rađa novi inicijalizam.
U ovom članku ćemo se osvrnuti na još jedan trendovski akronim, CTEM, što je skraćenica za Continuous Threat Exposure Management, i često iznenađujuće izazove koji dolaze zajedno sa sazrevanjem CTEM programa. Iako koncept CTEM-a nije potpuno nov, pošto je debitovao u štampi u julu 2022. godine, sada smo na tački kada mnoge organizacije počinju da pokušavaju da operacionalizuju programe koje su pokrenule poslednjih nekoliko meseci. I kako organizacije počnu da izvršavaju svoje pažljivo osmišljene planove, mogu se suočiti sa nekim neočekivanim izazovima koji mogu dovesti do nazadovanja.
Šta je kontinuisano upravljanje izloženošću pretnjama (CTEM)?
Kontinuisano upravljanje izloženošću pretnjama nije tehnologija i ne možete ići kod dobavljača u nadi da ćete pronaći CTEM rešenje, barem ne samo sa jednim alatom. Umjesto toga, CTEM je kontinuisani program ili okvir u 5 faza namijenjen da pomogne organizacijama u praćenju, evaluaciji i smanjenju njihovog nivoa iskoristivosti i potvrdi da su njihovi procesi analize i sanacije optimalni. Prema Gartner izvještaju, “Cilj CTEM-a je da dobije dosljedan, djelotvoran plan sanacije i poboljšanja sigurnosnog položaja koji poslovni rukovodioci mogu razumiti, a arhitektonski timovi mogu djelovati.”
Koji su ciljevi CTEM-a?
U Gartnerovom izvještaju se dalje navodi: “Površine napada usmjerene na tehnologiju i projekti samoprocjene ranjivosti generišu izvještaje koji se rijetko preduzimaju i duge liste generičkih popravki. Programi upravljanja ranjivostima rijetko idu u korak sa ukupnim obimom vlastite organizacije, što dovodi do brzog širenja napada površine“. Ovi faktori, zajedno s nekim drugim ključnim pokretačima, kao što je teškoća u održavanju sigurnosnog položaja tokom vremena usred stalno rastuće površine napada, znače da tradicionalne metode za holistički osiguravanje sigurnosti postaju sve manje efikasni.
Prema Gartner-u, “Cilj CTEM-a je da dobije dosljedan, djelotvoran plan sanacije i poboljšanja sigurnosnog položaja koji poslovni rukovodioci mogu razumiti i arhitektonski timovi mogu djelovati.” Kada se pravilno implementira, CTEM može pomoći organizacijama da kontinuisano poboljšavaju svoj sigurnosni položaj identifikacijom i sanacijom potencijalno problematičnih područja prije nego što ih napadači mogu iskoristiti.
Tri izazova na CTEM putu
Uspostavljanje CTEM programa je odlična inicijativa, ali postoje neki izazovi u implementaciji koje je potrebno riješiti kako bi izvršenje bilo uspješno. Računanje za njih ranije u fazama implementacije moglo bi uštedjeti vrijeme i frustracije na putu.
Izazov 1 – Bezbjednost i opasnost na istoj stranici
Dobro je poznata činjenica da IT/infrastruktura/DevOps/aplikacija, itd. timovi i sigurnosni timovi ne govore uvijek isti jezik. Ovo je problematično na brojne načine, ali kada se implementiraju novi programi ili poduhvati, ovo razdvajanje može postati još problematičnije. U implementaciji CTEM-a ovo se može pretvoriti u nedostatak razumijevanja o tome ko iz tima posjeduje šta, i neusklađenost sa očekivanjima SLA-a, između ostalog.
Problem je u tome što je potpuno komuniciranje potrebe teško, posebno kada su timovi zatrpani gomilom “HITNO!” projekata, a za njih je CTEM samo još jedan od tih projekata. Ovaj nedostatak razumijevanja može ih destimulisati da zaista rade ono što treba.
Kako popraviti? – Od najranijih faza u razgovor uključite zainteresovane strane iz timova koji se ne bave bezbjednosti. Nije dovoljno samo dati im listu obaveza. Umjesto toga, sjedite s njima i objasnite im ciljeve koje pokušavate postići kako bi pravilno razumjeli šta se radi. Zatražite njihov doprinos i saznajte šta će im trebati od vas ili drugih timova u organizaciji kako bi im olakšali život. Osim toga, dijeljenje vijesti o kibernetičkim napadima s njima učinit će ih svjesnijim poslovnog uticaja koji bi mogli imati i kako je to zapravo povezano s njihovim dijelom poslovanja.
Izazov 2 – Gledanje iz ptičje perspektive
Sveobuhvatni CTEM program pokriva mnoga različita područja, od Cloud-a, preko AD-a i preko softverskih ranjivosti, do mrežne sigurnosti i u osnovi svega ostalog. Svaki od njih postoji u svom vlastitom silosu i ima svoje vlasnike, svoj alat i vlastitu listu problema za rešavanje. Cilj CTEM-a je da ih sve ujedini u jedan holistički pogled sa svim oblastima koje informišu ostale. U praksi, to znači agregiranje svih informacija i njihovo korištenje za razumijevanje prioriteta i odgovornosti.
Ali dobijanje osnove za razumijevanje je izazov jer svako od ovih područja zahtijeva različitu stručnost. Posljednja stvar koju biste željeli je da imate program koji je mukotrpno izgrađen i izvršen, ali ne razumije rizike koje svako područje predstavlja, ili još gore, zaboravlja da uključi bilo koju posebnu oblast problema.
Kako popraviti? – Definišite nekoga kao „point osobu“, jedinu osobu koja će gledati iz ptičje perspektive i postati majstor na visokom nivou u razumijevanju kako se sva pokrivena područja spajaju i utiču jedna na drugu. Ova osoba ne mora razumiti ni najsitnije dijelove o tome kako svaki alat radi ili šta svaka kategorija sigurnosnog problema obuhvata, ali bi trebala biti u stanju da shvati cjelokupnu veliku sliku kako bi mogla u potpunosti i precizno osigurati da se sva područja uzimaju u obzir i njima se stalno obraćaju profesionalci koji imaju duboku i nijansiranu stručnost.
Izazov 3 – Prevazilaženje dijagnostičkog preopterećenja
Vratimo se na tu tačku o svim različitim oblastima obuhvaćenim CTEM-om. Još jedan važan aspekt koji treba napomenuti je da, pošto svi imaju svoje alate, svi daju upozorenja. I dok je primarni cilj CTEM-a da pojednostavi sve informacije koje proizilaze iz ovih alata, jedan značajan nusprodukt je samo puno stranog šuma.
Kako popraviti? – Prihvatite činjenicu da je popraviti sve prilično nemoguće, što znači da morate odrediti prioritete i biti što efikasniji. Da biste to učinili, fokusirajte se na opsege i izloženosti koje bi napadač najvjerovatnije mogao iskoristiti i koji bi mogli dovesti do najvećeg poslovnog uticaja. Može pomoći da se zauzme pristup “puzi, hodaj, trči”, tj. da počnete sa bebinim koracima u malom opsegu i povećavate kako Vaš program postaje zreliji.
Zaključak
Prema Gartner-u, “do 2026. godine, organizacije koje daju prioritet svojim sigurnosnim ulaganjima na osnovu kontinuisanog programa upravljanja izloženošću će imati tri puta manje šanse da pretrpe kršenje.” Smatramo da je to veliko. Nadajmo se da će otklanjanjem nekih potencijalnih nedostataka na tom putu Vaša organizacija biti pripremljena za besprijekorno ispunjavanje CTEM-a.
Izvor: The Hacker News