应对攻击面的未来之路：持续威胁暴露管理 (CTEM)

一. 前言

Gartner于10月中旬发布2024年企业机构需要探索的10大战略技术趋势，如图1所示。

图1. Gartner发布2024 年十大战略技术趋势

Gartner将10大技术分为了三个主题：保护你的投资、建设者崛起、传递价值。不难看出，有一半以上的技术都与人工智能有关，此外，云化趋势、可持续的智能应用也是企业需要关注的重点。在近一年中大语言模型爆火、云计算技术稳步落地的大背景下，这些技术被选中并不让人感到意外。值得一提的是持续威胁暴露管理（Continuous Threat Exposure Management，CTEM）被入选，这个技术让笔者感觉到惊喜，因为在此前的文章[1]中提出了暴露面智能运营的理念和CTEM的思路类似。回顾Gartner以往的技术趋势分析，资产风险管理是一直都是重点，比如：ASM（攻击面管理）、EASM（外部攻击面管理）、CAASM（网络资产攻击面管理）、DRPS（数字风险保护服务）等等。那么CTEM和之前的相关技术相比有什么特点呢？所以接下来本文简单聊聊。

二、CTEM概述

企业的暴露面管理是最近几年的热门话题，这是一个非常典型的与时俱进的安全场景。早些年的网络更多关注的是互联互通，网络资产也相对单一，现如今“云大物移智”多种创新技术已经完全融入到企业各个环节中，这无疑大大增加了企业的攻击面。另一方面，新型的网络攻击始终在不断变化，并且攻防不对等，攻击者有充分的时间和资源来攻击策略，以绕过防御、逃避检测，导致目前的资产风险管理相关的安全产品的效果不尽如人意。

2022年Gartner首次提出了持续威胁暴露管理概念，旨在站在攻击者的视角管理企业暴露风险面。由于大多数的企业组织的攻击事件都源于暴露面不自知，而CTEM的目标是获得可操作的持续企业安全修复和改善计划，安全管理人员可理解该计划，能照此计划采取行动。持续管理威胁暴露面与其他环节关系，如图2所示。

图2. 持续威胁暴露管理

三、CTEM五个阶段

CTEM并不是单一一个技术，而是一整套用于减轻组织数字环境中风险的流程和能力。通过采用这一策略，各种规模的组织都可以通过持续监控和管理其面临的潜在攻击，从而增强其整体安全防御能力。Gartner将其分为5个阶段：Scoping（范围界定）、Discovery（发现）、Prioritization（优先级排序）、Validation（验证）、Mobilization（动员）。

图3. 持续威胁暴露管理的五个阶段

3.1 资产范围界定

在持续威胁暴露管理中，企业资产的界定是非常关键的一步，该阶段主要目标是确定哪些系统和资产将被纳入，以及确定将参与其中的利益相关者。做好资产范围界定还是比较困难的，因为这个阶段不仅仅是要靠技术手段实现，还需要组织内部相关业务人员的配合梳理。

攻防双方的资产范围是不对等的，并且需要在与攻击者在同一视角下梳理企业资产范围。需要界定企业的资产范围如图4所示。

图4. 企业暴露面范围界定

范围阶段旨通过定义范围识别组织需要防守的阵地，这样才能有效保护其资产和系统免受安全风险打下基础。

3.2 资产和风险发现

完成范围确定后，接下里就是组织内部全量的资产和风险的发现。“资产管理”和“风险管理”都是安全圈的老面孔，资产和漏洞管理虽然是“昨天”的问题，但是Gartner的趋势中一直都有攻击面管理的相关技术的身影，说明目前我们做得确实还不够好。技术、业务、人员的变更导致的资产动态变更是常态，针对“Shadow IT”的识别并没有很好的解决办法，所以CTEM强调的是一种循环迭代的运营，企业如何做到动态的、全量的做好资产发现，资产发现同样需要一套运营体系，利用人工智能技术和资产运营平台，结合IT、业务、管理人员资产相关人员的确认， 通过持续的运营迭代，进而实现组织的资产全面发现。

图5. 资产全量指纹发现智能运营流程

CTEM方案的建立常常首要失败于范围确定与资产发现之间的混淆。成功并不仅仅在于所发现资产和漏洞的数量，更为关键的是基于业务风险和潜在影响进行准确的范围确定。许多发现过程超越最初的范围设定，比如发现了隐藏的资产、漏洞、错误配置及其他风险，此时需要及时更新组织的资产范围。

3.3 风险优先级排序

这个阶段的目标是对风险需要解决的优先级进行系统的评估并给出优先级排序。几乎所有的组织内都存在着大量的网络安全风险点，并且随着现代新技术的应用，这个风险数字持续增长。但是一个企业的投入和精力很难解决所有的网络安全问题，所以在有限的资源下如何制定解决方案呢？所以通过优先级排序，可以提升风险处置的效果。如何排序呢？可以借助漏洞优先级技术（VPT）用实际的风险因素来计算修复优先级。它需要基于漏洞严重性、漏洞利用热度、资产重要性以及漏洞年限等综合计算。

图6. 漏洞优先级排序引擎

优先级排序是给技术和业务团队生成一个有优先级的待办清单，消除了关于优先级的反复讨论，同时确保最重要的问题首先得到解决，增加组织内部的风险处置的投入收益比。

3.4 风险验证

验证阶段目的是验证攻击的路径以及其发生的可能性。这一步骤将利用多种工具，旨在评估优先级排序步骤发现的高危风险是否准确并给予验证。风险验证不能只依赖传统的安全评估技术，还需要自动化和动态的安全验证方案。可使用入侵与攻击模拟（BAS）技术进行风险验证，其优势在于，可全面的确认企业内部可行的攻击路径和发现安全控制弱点，而不是单一的漏洞，更好地从资产、流程、人员体系化角度优化技术、组织和管理，提供更全面的组织安全状况视角。

图7. BAS全攻路径模拟验证

3.5 修复动员

动员阶段主要目的是让利益相关人员制定修复计划并实施。自动化大多是处理常见问题，如补丁更新或基本威胁检测，但对于复杂且细微的漏洞往往很难实现完全自动化。因此，安全团队需要认识到自动化补救只是一个起点，而非终点解决方案。具体的涉及四个步骤：

• 修复计划

从风险优先级修复计划开始，确定存在风险的用户、风险关键的瓶颈位置，即许多攻击路径汇聚的地方。通过修复这些地方，可以付出最小的努力，解决最大的问题。

• 修复审查

组织应该审查暴露的问题、风险和修复计划，这个关键步骤与主要利益相关者一起，制定出修复该安全问题的最佳方式。

• 风险缓解

向相关团队传达风险、修复的方法，推动修复计划的实施。与让相关人员修复所有漏洞相比，动员其修复其中的5个高风险漏洞会更容易落地执行。

• 修复验证

组织应该验证已完成修复并且风险已经被消除。

四、总结

CTEM将会是未来五年的企业安全管理的趋势，因为它以一种动态的主动防御的思路去解决安全问题，可持续迭代运营的帮助企业管理其暴露风险。企业的风险暴露面很大一部分都是因为错误配置、弱口令、未及时修复N-day漏洞导致的，虽然很多网络安全管理工具都可以解决，但是实际效果并不好。这主要是因为企业新技术的应用、业务的更替、团队人员的调整等原因导致企业风险暴露面是动态变化的，所以Gartner提出了持续威胁暴露管理技术方案，利用多个自动化技术组合来实现保证持续性，并且动态的站在攻击者视角解决问题。

总体来说，CTEM作为一种灵活多变、持续演进的安全管理方案，能够为企业提供全方位、持续性的网络安全保护，提升企业对抗不断演变的网络威胁的能力。Gartner 预测，到 2026 年，根据 CTEM 计划确定安全投资优先级别的企业机构将减少三分之二的网络风险点，笔者觉得这个结论完全可能，下个三年，让我们拭目以待。

参考文献

[1]. 从关基条例和安全运营曲线谈资产暴露面管理https://blog.nsfocus.net/cyber-asset/

[2]. https://nsfocusglobal.com/products/continuous-threat-exposure-management/

[3]. https://www.gartner.com/en/articles/gartner-top-10-strategic-technology-trends-for-2024

[4]. https://www.dwcon.cn/post/2811

[5]. https://www.gartner.com/doc/reprints?__hstc=7655085.fff120e87ff9db8e533aaf5d9dbd64cd.1699867977871.1699867977871.1699867977871.1&__hssc=7655085.1.1699867977872&__hsfp=461134508&id=1-2FEADHJZ&ct=231023&st=sb&submissionGuid=5d67e44f-7d5a-455b-81d6-1eae0269fdc1

[6]. Establishing a Modern Exposure Management Program https://info.xmcyber.com/exposure-management-guide

[7]. https://www.picussecurity.com/resource/glossary/what-is-continuous-threat-exposure-management-ctem

[8]. https://www.hivepro.com/blog/empowering-ctem-program-with-contextualized-vulnerability-prioritization/

[9]. Augmented-Connected Workforce (ACWF)https://www.e-spincorp.com/augmented-connected-workforce-acwf/

https://www.picussecurity.com/resource/glossary/what-is-breach-and-attack-simulation

内容编辑：创新研究院 桑鸿庆

责任编辑：创新研究院 陈佛忠

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

声明：本文来自绿盟科技研究通讯，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。