什么是持续威胁暴露管理（CTEM）呢？

网络漏洞是安全专业人士一直需要面对的问题。从应用程序被利用到所谓的“影子IT”，商业犯罪分子会利用那些没有采取安全措施的终端设备来窃取数据并造成破坏。持续威胁管理方案为应对这些问题提供了解决方案。

CTEM是一种……基于风险评估和实时漏洞监测的威胁管理解决方案。本文将解释其工作原理，并提出一些最佳实践，以帮助您将 CTEM 整合到您的网络安全策略中。

持续威胁暴露管理的定义

持续威胁暴露管理软件持续监控网络威胁情况这使得能够快速采取网络安全应对措施。CTEM系统识别、确定优先级并作出响应它们能够应对来自整个攻击面各种威胁。通过结合身份管理、自动化技术、安全测试以及漏洞修复等措施，可以确保持续有效的威胁防护。

CTEM：关键组件

持续威胁管理利用了四个核心要素来保护网络资产：威胁识别、风险评估、威胁缓解以及监控。

识别威胁

CTEM工具能够实时评估网络安全的漏洞。它们可以识别出这些漏洞，以及攻击者可能利用这些漏洞的方式。威胁暴露分析则用于评估与这些安全漏洞相关的风险，同时利用威胁情报服务来提供全球范围内的相关信息。

安全团队了解他们所面临的威胁类型，以及网络威胁可能针对哪些资产。例如，CTEM工具能够检测到应用程序中的漏洞或那些未经过保护的终端设备。这种认知为实施安全控制措施提供了坚实的基础。

评估风险

下一个CTEM的组成部分是风险评估。持续威胁管理工具能够分析与特定威胁相关的风险。安全团队能够了解这些威胁如何影响工作流程和数据安全。这样，他们就可以确定哪些风险最为重要，从而采取相应的措施来应对这些风险。

风险分析能够揭示网络中的深层漏洞。例如，面向互联网的云端设备可能会允许在网络中进行广泛的横向移动。CTEM工具可以探测每一个端点，以发现潜在的连接点，从而提供准确的风险评估结果。

减轻威胁

CTEM系统利用风险分析的结果来提出并实施相应的缓解措施，以减少威胁的暴露风险，从而保护关键资产的安全。例如，实施访问控制、管理补丁更新，以及采用网络分段技术来限制信息的横向传播等。

威胁监控与安全审计

CTEM的终结点并不在于单纯的缓解措施。持续的监控能够及时发现潜在的威胁，并立即发出警报。这样一来，安全团队就能在威胁变得严重之前就了解其存在，从而有时间采取应对措施。

此外，CTEM软件还支持定期的安全审计。安全团队可以利用监控数据来发现系统中的漏洞，并安排相应的修复工作。

持续威胁暴露管理的各个阶段

连续的威胁监控工具通常通过遵循一个五步流程来实现其四个核心目标。

范围界定/调查范围

该分析阶段旨在评估公司的网络攻击面。分析工具会考虑企业的整体业务环境，从而找到能够满足企业关键绩效指标和战略目标的网络安全解决方案。这一阶段的成果将形成一份行动计划，该计划将在整个CTEM过程中得到应用。

发现

该检测工具能够识别出在范围界定过程中所确定的关键漏洞。安全团队会列出所有需要连接互联网的应用程序和设备，同时评估这些设备的配置问题，并分析常见威胁如何针对网络资产进行攻击。

这一阶段能够让我们了解网络的拓扑结构以及各种资产的情况。如果没有这种了解，那么进行风险缓解和风险评估就变得不可能了。

优先级排序

CTEM流程的下一阶段是根据对组织安全的威胁程度来对威胁进行分类。安全团队会评估威胁带来的后果的严重性以及攻击发生的概率。通过这种方式，可以为每个威胁分配一个风险评分，从而让团队能够更清晰地了解各种风险的严重程度，并据此确定任务的优先级。通常情况下，那些能够在网络中自由移动的威胁会被赋予更高的风险评分。

验证/确认

在验证阶段，会测试各种风险，以确认它们确实属于现实中的威胁。对于那些不太可能实际发生的理论性风险，根本没有必要去处理它们。通过验证，可以确保安全团队只应对那些确实可能发生且具有较高严重性的网络威胁。

在这个阶段，渗透测试是必不可少的。因为通过渗透测试，安全团队可以了解各种威胁来源，并确认其风险评估的准确性。此外，渗透测试还可以帮助企业了解自身当前的安全状况，从而发现需要立即采取措施的薄弱环节。

动员

最后，CTEM系统必须调动各种资源来应对那些关键性的风险。安全团队必须执行之前制定的行动计划，并系统地处理那些优先级较高的风险。

在动员阶段，各个组织的具体实施方式有所不同。其中，包括通过自动化更新来简化补丁管理流程。安全团队可能会重新审视身份保护措施和访问控制机制，以降低未经授权的访问风险。此外，他们还可以通过改进威胁检测、防火墙以及加密技术来防范外部攻击。

在实施阶段，持续进行监控工作，以确保缓解措施不会影响到网络安全。

CTEM带来的好处

CTEM解决了现代企业面临的一个核心挑战：评估并应对网络安全风险除此之外，采用CTEM技术的优势还包括：

• 减少面临网络威胁的风险CTEM采取了一种积极主动的网络安全策略，通过识别和评估现实中的风险来应对安全问题。它持续监控外部攻击面上的各种威胁，并找出攻击者可能利用的漏洞。
• 提升了可见性通过范围界定和详细分析，可以了解网络端点、连接以及相关资产的具体情况。安全团队因此能够获得关于网络架构的宝贵信息，从而更有效地进行监控工作，并提升网络安全水平。
• 快速的事件响应机制CTEM能够显著缩短对活跃网络威胁的响应时间。企业可以迅速检测、评估并应对这些威胁。自动化的威胁响应机制能够立即采取缓解措施，从而在攻击对敏感数据造成破坏之前就将其遏制住。
• 改进的风险评估机制：CTEM能够基于实际存在的风险来生成高质量的风险评估结果，而不是仅仅关注那些不重要的风险。这样一来，组织就可以节省时间和资源，专注于解决那些真正重要的漏洞问题。
• 安全状况的改善有了CTEM的辅助，企业可以使其安全防护措施更加有弹性且反应迅速。通过采取缓解措施，可以减少攻击面，从而加强网络安全。同时，这种主动式的处理方式能够及时发现新的威胁，并将这些威胁纳入到CTEM的运作流程中。
• 成本降低：总体而言，持续监控能够通过在早期识别威胁以及将安全控制措施集中在高优先级任务上，从而降低网络安全成本。
• 合规性与声誉带来的好处采用CTEM技术，可以确保企业能够妥善保护客户和企业数据。持续的监控与漏洞管理有助于企业遵守相关行业法规。同时，这种方式还可以避免由于网络安全措施不到位而导致的声誉损害。

实施CTEM所面临的挑战

CTEM具有明确的实施步骤和核心概念。不过，实施持续的威胁监控过程其实相当复杂。在将CTEM付诸实践之前，了解常见的问题以及如何解决这些问题是非常重要的。

• 整合：CTEM解决方案将现有的各种安全工具整合到一个系统中。不过，这种集中化方式可能会带来一些困难。传统的系统可能无法很好地与集中式监控软件以及自适应响应机制协同工作。因此，安全团队需要测试操作系统和应用程序的兼容性，以确保其能够正常协作。
• 成本在资源分配方面，CTEM策略给许多小型和中型企业带来了挑战。实施这些策略需要时间和资金投入，同时还需要企业高层管理人员的长期参与。
• 风险优先级排序在CTEM过程中，应该如何优先处理各种安全风险呢？显然，风险分析过程中会涉及到主观判断。安全团队必须对关键威胁和高优先级资产做出相应的判断。
• 技能/能力如果企业在实施CTEM时，没有招聘具备专业技能的技术人员，或者没有提升现有安保人员的技能水平，那么企业就会面临各种问题。理想情况下，安保团队应该具备“零信任”理念，这样才能有效实施访问控制措施。不过，很少有组织能够在其内部拥有这样的经验。

CTEM实施的最佳实践

上述常见的挑战不应阻碍CTEM的采用。不过，各公司应遵循最佳实践来简化并加快实施过程。

确保整个攻击面都得到保护。

CTEM只有在系统能够监控所有网络终端的情况下才能有效发挥作用。如果某个设备或应用程序没有被妥善保护，那么恶意攻击者就有可能获得对该设备的访问权限。

为了解决这个问题，可以寻找那些提供CTEM服务的供应商。外部攻击面管理EASM具备强大的功能。它能够实时检测那些未受保护的终端设备，包括云端的API以及物理设备。此外，它还能识别来自IT合作伙伴的供应链风险，同时有助于更有效地管理“影子IT”风险。

实施严格的访问控制机制

在现代商业网络中，用户身份是保护系统免受威胁的关键弱点。攻击者通常通过网络钓鱼和身份盗窃等手段来获取对敏感数据的访问权限。因此，在授予用户访问权限之前，确保用户账户的安全性以及验证连接的真实性是非常重要的。

基于“最小权限”原则以及网络分段策略来实施访问控制。允许用户仅访问他们在业务活动中需要的资源，同时拒绝他们访问其他网络资源。采用多因素认证机制，并定期测试访问控制的有效性。

让所有相关方都参与到其中来。

正如我们之前提到的，CTEM流程中的规划与探索阶段需要企业各利益相关方之间的协作——包括高管、部门经理、安全人员以及外部合作伙伴。在系统上线之前，必须明确沟通渠道，并确定CTEM的预期成果。

相关方应帮助安全团队确定哪些风险属于高优先级。如果没有明确的评估标准，安全团队就会被大量的警报和监控数据所困扰。因此，最好保持简单明了，只关注那些真正重要的风险。

请创建一个全面的资产清单。

CTEM依赖于关于连接设备、云部署以及用户身份的数据。在监控开始之前，需要先创建一份清单，记录下那些被授权使用该系统的用户以及需要受到保护的资产。同时，还需要扫描那些由第三方运营的终端设备和隐藏的IT连接点。利用这份清单作为监控和威胁缓解工作的基础。

通过常规的渗透测试来验证CTEM设置的有效性。

请记住：CTEM解决方案需要确认风险优先级以及安全控制措施的有效性。定期进行渗透测试，以对风险进行分类并评估网络防御措施的效果。同时，要衡量威胁应对措施的成效，并利用测试数据来持续改进相关措施。

持续威胁管理的未来

随着企业开始采用人工智能技术和零信任策略，CTEM在未来几年里的重要性可能会进一步上升。

持续监控能够补充零信任模型的功能，因为它可以最大限度地提高网络的可见性，同时实现动态风险评估。随着身份识别成为网络安全领域的关键战场，这些功能将变得愈发重要。

CTEM也非常适合混合环境的使用。其监控功能可以覆盖云环境、远程环境以及本地环境。这使得安全团队能够更精细地控制所有网络资源的访问权限——这一点在以身份为基础的安全设置中非常重要。

CTE