Kontinuirano upravljanje izloženošću prijetnjama (CTEM) – koncept koji je uveo Gartner – prati prijetnje cyber sigurnosti kontinuirano, a ne povremeno. Ovaj okvir od pet faza (određivanje opsega, otkrivanje, određivanje prioriteta, validacija i mobilizacija) omogućava organizacijama da konstantno procjenjuju i upravljaju svojim sigurnosnim položajem, smanjuju izloženost prijetnjama i integrišu upravljanje rizikom u kontinuiranu petlju procjene i djelovanja.
Glavni kandidat za uključivanje pod okrilje CTEM-a je softver kreiran u okruženjima s niskim kodom/bez koda (LCNC) i robotskom automatizacijom procesa (RPA).
Sa interfejsima lakim za korišćenje uz pomoć generativne vještačke inteligencije, LCNC razvojne platforme su proširile površine napada u većini organizacija, često izvan vidljivosti bezbednosnog osoblja. To je zato što omogućavaju svakom zaposleniku – tj. „građanskom programeru“ – da kreira i implementira aplikacije ili RPA-ove za automatizaciju poslovnih procesa kao što su integracija podataka, automatizacija obrazaca, prilagođeno izvještavanje i još mnogo toga.
Menadžment je prihvatio ovaj „inženjering u sjeni“ – 64% CIO-a kaže da imaju ili će implementirati LCNC tehnologiju u roku od dvije godine – ali komplikuje upravljanje cyber rizikom dozvoljavajući kodu da nekontrolirano uđe u mrežu, uključujući potencijalno opasne softverske ranjivosti.
Stavljanje LCNC aplikacija i RPA-a u delokrug CTEM-a pomaže organizacijama da utvrde ranjivosti i izloženosti, da ih povežu sa potencijalnim vektorima napada i eksploatacije, da daju prioritete na osnovu uticaja na poslovanje i kritičnosti sredstava, i da validiraju napore za sanaciju.
Evo kako uskladiti petostepeni CTEM pristup sa LCNC-ovima i RPA-ovima:
Scoping
Započnite procjenom kojim LCNC i RPA imovinom treba da upravlja CTEM na osnovu njihove poslovne kritičnosti. Opseg može uključivati odabir grupa korisnika, veza, konektora, aplikacija, tokova i automatizacije. One se mogu podijeliti prema poslovnom kontekstu, poslovnoj jedinici, okruženju platforme ili geografiji.
Discovery
U ovoj fazi, cilj je katalogizirati i otkriti vidljive i skrivene imovine, ranjivosti i pogrešne konfiguracije. Nedostatak vidljivosti LCNC aplikacija i automatizacije može učiniti izazovnim mapiranje LCNC aktivnosti i održavanje ažuriranog inventara svih sredstava povezanih sa ovim platformama.
Prijetnje, rizike ili bilo koja sigurnosna pitanja treba kontinuirano skenirati i sarađivati sa svim zainteresiranim stranama sa što više detalja kako bi se podržale sljedeće faze modela. Otkrivanje problema može zahtijevati primjenu mehanizma politike zasnovanog na pravilima ili AI logici, hranjenih istraživanjem i znanjem o sigurnosti aplikacija.
Određivanje prioriteta
Rukovanje sigurnosnim izloženostima zahtijeva procjenu hitnosti, ozbiljnosti, dostupnih kontrola, apetita za rizikom i ukupnog nivoa rizika organizacije. Unaprijed definisani osnovni sigurnosni rezultati su nedovoljni; davanje prioriteta u LCNC-u treba da kombinuje tradicionalne rezultate zasnovane na riziku sa inputima specifičnim za platformu i organizaciju.
Preporučuje se korištenje utvrđene metode bodovanja kao što je CVSS kao početne tačke. Ipak, na rezultate bi takođe trebalo da utiče pristupačnost, bilo da su aplikacije omogućene ili onemogućene, i okruženje primene (npr. proizvodnja u odnosu na razvoj). Određivanje prioriteta je ključno u LCNC-u zbog velikog obima otkrivenih prijetnji i problema, brojnih sredstava i relativno ograničene sigurnosne stručnosti kreatora aplikacija.
Validacija
Korak validacije ima za cilj postizanje tri kritična cilja. Prvo, potvrda da li napadači mogu iskoristiti poznate ranjivosti . Drugo, trebalo bi procijeniti najgori uticaj neuspjeha odbrane. Treće, procesi moraju biti osigurani kako bi odgovorili na sva sigurnosna pitanja.
Dok prakse validacije za LCNC aplikacije općenito odražavaju one tradicionalne sigurnosti aplikacija – kao što su testiranje penetracije, vježbe crvenog tima i simulacije – one uvode specifične izazove koji zahtijevaju prilagođene tehnike validacije. To uključuje razmatranje vizuelnih razvojnih interfejsa, brzih ciklusa implementacije i oslanjanja na unapred izgrađene komponente.
Mobilizacija
Uključivanje poslovnih korisnika i građanskih programera je ključno za LCNC. Sigurnosni timovi sami ne mogu riješiti brojne probleme zbog nepoznavanja LCNC platformi i specifičnih modela dozvola koji zahtijevaju učešće vlasnika. Mobilizacija može biti ručna ili automatizirana, ali mora pružiti jasan kontekst, uključujući objašnjenja prijetnji i korake sanacije.
Usvajanje CTEM-a za LCNC sigurnost
Da biste integrirali LCNC i RPA sigurnost u CTEM, razmotrite sljedeće najbolje prakse:
Integracija sa postojećim tokovima rada : Osigurajte da je LCNC i RPA sigurnost uključena u CTEM sanaciju i radni tok odgovora na incidente, posebno fokusirajući se na identifikaciju ranjivosti, automatiziranje otkrivanja prijetnji i osiguravanje kontinuiranog praćenja interakcija ljudi i mašina.
Povećajte vidljivost : Implementirajte alate za praćenje koji pružaju vidljivost LCNC i RPA implementacija, osiguravajući da su pod nadzorom.
Dajte prioritet visokorizičnoj imovini : Identifikujte i odredite prioritete najkritičnijih ranjivosti u LCNC i RPA okruženjima tako što ćete se fokusirati na oblasti sa najvećim potencijalnim uticajem na poslovanje i prvo usmjerite napore za sanaciju na ova područja visokog rizika.
Kontinuirano se prilagođavajte : koristite svaki CTEM ciklus za generiranje novih uvida, preciziranje LCNC i RPA sigurnosnih mjera i prilagođavanje novim prijetnjama i ranjivostima kako se pojave.
Saradnja između timova : Negujte kulturu saradnje između bezbednosnih, IT i poslovnih timova. Osigurajte da su svi dionici svjesni CTEM procesa i razumiju svoju ulogu u održavanju sigurnosti za LCNC i RPA imovinu.
Budući da je razvoj LCNC aplikacija disciplina u nastajanju, važno je zapamtiti da je CTEM kontinuiran proces . Fokusirajući se na ove najbolje prakse, CISO mogu efikasno upravljati sigurnosnim rizicima koje uvode LCNC aplikacije i RPA u okviru CTEM programa koji pruža integrirani pristup sajber sigurnosti.
Izvor:Help Net Security