Under lång tid har cybersäkerhet varit i ett reaktivt läge, där företag har fokuserat på att skanna efter sårbarheter och försöka åtgärda det de hittar så snabbt som möjligt. Det arbetssättet har dock medfört att cybersäkerhetsavdelningen, trots att de arbetar hårt, inte hänger med. Moderna företag har idag en betydligt bredare attackyta, och de har svårt att identifiera och minska sin totala exponering. De har hamnat i en situation där varje steg framåt följs av två steg tillbaka.
Med exponeringshantering försöker företagen rätta till detta genom att förstå hela attackytan utifrån en angripares perspektiv. Den tittar på sårbarheter hos tillgångar, användarbehörigheter, felkonfigurationer och andra viktiga faktorer, som sedan prioriteras för att skapa en bättre säkerhetsplanering. Det kan vara en effektiv metod som i princip omfattar tre områden:
- Sårbarhetshantering – Identifiera och hantera sårbarheter i komplexa miljöer
- Attack Surface Management – Förstå den interna och externa attackytan samt de exponeringspunkter som finns, tillsammans med deras relativa riskprofil och åtgärdsprioriteringar
- Kontinuerlig kontrolltestning – Ett verktyg för att löpande testa en organisations försvarsförmåga och säkerställa att både gamla och nya exponeringspunkter hanteras effektivt
Exponeringshantering sträcker sig betydligt längre än vad Vulnerability Management gör, men på grund av det snabbt växande hotlandskapet måste exponeringshantering vara en kontinuerlig process.
Förebyggande av intrång
Fram växer Continuous Threat Exposure Management (CTEM), ett koncept som myntades av Gartner runt 2020 och nu håller på att bli mainstream. CTEM beskriver de processer och kapaciteter som kan användas för att kontinuerligt bedöma och hantera verksamhetens exponeringen ur en angripares perspektiv. Den identifierar hot som kan utnyttjas och visar hur man använder simuleringar för att hitta och störa attackvägar. Faktum är att Gartner förutspår att 2026 kommer organisationer som använder CTEM löpa tre gånger mindre risk att drabbas av ett intrång.
Gartner skriver att CTEM är en process som omfattar fem steg. Det första steget är att avgränsa själva attackytan, vilket inkluderar traditionella sårbarheter och exponeringar, men också sådana som kanske inte tidigare har beaktats, såsom social media, darkweb och den mänskliga faktorn. Varje organisation behöver kartlägga sin egen unika exponering så att den omfattas av CTEM-initiativet.
Det andra steget är att inventera potentiella risker och exponeringar över attackytan. Därefter följer prioritering av exponeringar. Nyckeln till detta är att förstå både den interna och externa attackytan, men också de attackvägar som en angripare kan använda under en komplex attack. Detta kan ge information som hjälper organisationen att skydda mot attacker med högst risk. I det sista skedet mobiliseras resurser för att ta itu med de mest prioriterade exponeringarna som sedan valideras.
Implementeringen kan dock vara utmanande. För det första finns det ett överflöd av tillgängliga verktyg för att stödja dessa processer, vilket kan göra en redan komplex cybersäkerhetsmiljö ännu mer komplex. Inom hothantering finns det några olika produkter och funktioner att överväga, inklusive External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), Attack Path Mapping (APM), Digital Risk Protection (DRP) ), Vulnerability Assessment (VA) och kontinuerlig kontrolltestning. För det andra misslyckas organisationer ibland att inventera IT-tillgångarna korrekt. Om det visar sig vara svårt är Gartners råd att i första hand fokusera på att identifiera risker och den potentiella effekten av att de förverkligas. Riskerna kan dock vara beroende av varandra och man bör även ta hänsyn till hur leverantörskedjan kan påverka effekterna av en attack. Risk är ett flytande begrepp som skiftar över tid, så inventeringen av exponeringspunkter måste uppdateras kontinuerligt. CTEM omfattar vanligtvis stora mängder data från olika källor, vilket kan vara kostsamt och resurskrävande. Samtidigt var det bara AI som rankades högre på Gartners topp-tio-lista över strategiska teknologitrender.
CTEM håller på att bli mainstream. När tempot ökar och fler organisationer lanserar CTEM-initiativ kommer den nödvändiga tekniken att konvergera. Dessutom kommer Managed Security Service Providers (MSSPs) sannolikt att utveckla outsourcade tjänster.
Med CTEM ser vi en mer omfattande kartläggning av risker som går utöver systemets initiala sårbarheter och tar hänsyn till verksamhetens totala exponering. CTEM kommer också att leda till en sund prioritering av resurser och investeringar.
En betydande del av dagens innovation passar in i CTEM-konceptet och kan komma att förbättra cybersäkerheten avsevärt. Moderna organisationer bör titta närmare på CTEM för att förstå dess fördelar.
Av Brian Martin, Director of Product Management på Integrity360