So gelingen die ersten Schritte mit Continuous Threat Exposure Management (CTEM)

Es ist keine Überraschung, dass das KI-Risiko- und Sicherheitsmanagement für Gartner die Nummer eins der strategischen Technologietrends für 2024 ist. Aber der zweitplatzierte Trend ist Ihnen vielleicht weniger bekannt: Continuous Threat Exposure Management (CTEM). CTEM wurde von Gartner im Jahr 2022 definiert und stellt nicht nur ein weiteres Akronym dar, sondern beschreibt einen leistungsstarken Prozess, der Ihnen dabei helfen kann, Cyber-Hygiene und -Risiken in Ihrer gesamten IT-Infrastruktur kontinuierlich zu bewältigen. Angesichts der stetig wachsenden digitalen Angriffsflächen von Organisationen sowie des Interesses von Gesetzgebern in diesem Bereich, liegt der Reiz eines automatisierten und kontinuierlichen Risikomanagements auf der Hand.

Dieser Blogpost dient dazu, Ihnen einen Überblick über das Thema CTEM sowie ersten Ansätzen zur Umsetzung zu geben – egal ob Sie bereits ein wenig mit dem Thema vertraut sind oder sich erst mal ein Bild machen wollen. Dafür schlüsseln wir die fünf zentralen Phasen von CTEM auf und erläutern, warum das Konzept einen echten Mehrwert für Cybersecurity-Teams bei der Identifizierung und Behebung von Sicherheitsrisiken bietet. Um es mit den Worten des Gartner-Analysten zu sagen: „By 2026, organizations that prioritize their security investments through a CTEM program will be three times less likely to experience a breach“.

Was ist CTEM?

Gartner definiert CTEM als: „einen Ansatz mit fünf Phasen, bei dem die Netzwerke, Systeme und Assets eines Unternehmens kontinuierlich simulierten Angriffen ausgesetzt werden, um Schwachstellen und Lücken zu identifizieren“. Damit unterscheidet es sich von herkömmlichen Projekten zum Schwachstellenmanagement, die oft nicht ausreichen, um Unternehmen einen umfassenden Maßnahmenkatalog zu liefern. Solche Projekte neigen dazu, eine lange Liste von Schwachstellen mit generischen Anleitungen zur Behebung zu erstellen, was es für Unternehmen schwierig macht, die tatsächlichen Risiken, denen sie ausgesetzt sind, auch konkret anzugehen.

CVSS (Common Vulnerability Scoring System) kann zwar eine gewisse Priorisierung und Bewertung von Schwachstellen auf standardisierte Weise bieten, berücksichtigt aber nicht die potenziellen Auswirkungen auf die jeweilige Organisation. CTEM priorisiert Schwachstellen auf der Grundlage ihrer Relevanz für das Unternehmen und hilft so, konsistente und anwendbare Pläne zur Verbesserung der IT-Sicherheit zu erstellen.

Zusätzlich bietet CTEM den Cybersecurity-Teams ein umfassenderes Bild von ihrer externen Angriffsfläche und zeigt ihnen, wie sie Bedrohungen am besten in den Griff bekommen. Dabei geht es nicht nur um die Anwendung von Sicherheitsmaßnahmen, sondern auch um die Etablierung von kontinuierlichen Prozessen zur Erkennung und Beseitigung von Gefahren, basierend auf den aktuellsten Bedrohungsinformationen. Angesichts der Tatsache, dass kritische Risiken jederzeit auftauchen können, ist ein dauerhaftes Monitoring und Review unerlässlich für eine effektive CTEM-Strategie.

Die fünf CTEM-Phasen

CTEM beruht auf fünf wesentlichen Phasen: Scoping, Discovery, Priorisierung, Mobilisierung und Validierung. Eines können wir Ihnen jedoch versichern: Sie brauchen für CTEM nicht Ihre komplette Strategie überarbeiten! Die Phasen stellen eine Kategorisierung dar, die Ihnen hilft, die Dinge in überschaubare Abschnitte zu unterteilen und sich zunächst auf die geschäftskritischen Aspekte zu konzentrieren.

  • Scoping: Identifizieren Sie die Infrastruktur in Ihrem Unternehmen, die analysiert und geschützt werden muss.
  • Discovery: Listen Sie alle gefährdeten Assets innerhalb des definierten Bereichs auf.
  • Priorisierung: Bewerten Sie das mit den einzelnen Assets verbundene Risiko und die potenziellen Auswirkungen auf das Unternehmen.
  • Validierung: Beurteilen Sie, wie potenzielle Angreifer die einzelnen identifizierten Schwachstellen ausnutzen können, wie Monitoringsysteme reagieren und ob es Angreifern möglich ist weiter Fuß zu fassen.
  • Mobilisieren: Definieren Sie den Rahmen für umsetzbare Gegenmaßnahmen.

Aber wie sieht das in der Praxis aus, wenn eine Organisation eine umfangreiche Angriffsfläche hat? Im Folgenden werden wir anhand von Beispielen aus der Outpost24 Exposure Management Platform erläutern, wie jede dieser Phasen aussehen kann.

So unterstützt Outpost24 Sie bei der Umsetzung von CTEM in der Praxis

Man kann CTEM nicht einfach „kaufen“, aber es gibt eine Reihe von Lösungen in unserem Portfolio, die eine Implementierung eines CTEM-Ansatzes fördern.

1. Scoping mit External Attack Surface Management (EASM)

Viele Organisationen verfügen zwar über Prozesse zum Assetmanagement aber leider gibt es noch zu oft unbekannte oder vergessene Assets, die aus unterschiedlichen Gründen nicht darin aufgeführt sind. Dies kann beispielsweise eine neue Domain sein, die vom Marketing für eine bestimmte Kundenkampagne eingerichtet wurde, oder ein Testserver in der Cloud, der von Entwicklern einer bestimmten Abteilung genutzt wird.

Obwohl solche Assets einem bestimmten Geschäftszweck dienen, können sie dem IT-Team unbekannt sein und potenzielle Sicherheitslücken enthalten.

Die beste Möglichkeit, sich in der Scoping-Phase einen vollständigen Überblick über bekannte und unbekannte Assets zu verschaffen, ist das External Attack Surface Management (EASM). Die EASM-Lösung von Outpost24 identifiziert Assets innerhalb Ihrer gesamten Angriffsfläche und identifiziert automatisch und kontinuierlich damit verbundene Risiken. Der Einsatz von EASM zur Erkennung aller mit dem Unternehmen verbundenen Assets kann sogar dazu beitragen, Prozesse zu beleuchten, die zunächst nicht Gegenstand des CTEM-Ansatzes waren.

EASM vermittelt einen klaren und transparenten Überblick über Ihre Angriffsfläche und die darin vorhandenen Assets, die in Zukunft berücksichtigt werden müssen.

2. Discovery mithilfe von risikobasiertem Vulnerability Management (RBVM), Web Application Security und Password Auditor

Nachdem Sie alle bekannten und bislang unbekannten Assets identifiziert und zugeordnet haben, die in den Geltungsbereich der folgenden CTEM-Schritte fallen, geht es darum, die Sicherheitslücken in den einzelnen Assets zu ermitteln. Dabei müssen mehrere Faktoren berücksichtigt werden, um die damit verbundenen Risiken zuverlässig zu ermitteln.

  • Schwache oder kompromittierte Passwörter in Active Directory
  • Schwachstellen in internen und von außen erreichbaren Netzwerken und Anwendungen

Die Outpost24 Exposure Management Platform ist so konfiguriert, dass sie bei jedem CTEM-Schritt alle Netzwerke, Anwendungen, Passwörter und Cloud-Service-Provider, die in den Geltungsbereich fallen, kontinuierlich überwachen kann, um relevante Bedrohungen zu ermitteln und die Priorisierung von Gegenmaßnahmen zu vereinfachen.

Unsere Plattform bietet einen ganzheitlichen Blick auf die Schwachstellen Ihrer Systeme, Software und Passwörter auf einer einzigen Plattform. Dabei werden unsere RBVM-, Application Security– und Password Auditor-Lösungen genutzt, um Unternehmen in die Lage zu versetzen, Schwachstellen in ihren Assets und Systemen innerhalb des im Scoping definierten Bereiches zu identifizieren.

3. Priorisierung mit Bedrohungsinformationen aus Cyber Threat Intelligence

CTEM geht nicht davon aus, dass eine Organisation jede gefundene Schwachstelle beseitigen kann. Vielmehr ist es das Ziel die bestehenden Ressourcen so einzusetzen, dass sie sich auf genau die Risiken konzentrieren, die der Organisation am wahrscheinlichsten großen Schaden zufügen können. Das ist einfacher gesagt als getan, denn eine der größten Herausforderungen für Security-Teams ist es, zu wissen, wo sie genau mit der Remediation anfangen sollen.

Durch integrierte Threat Intelligence können nun Organisationen Gefahren in einem früheren Stadium der Cyber-Attack-Chain ermitteln. Beispielsweise werden gestohlene Zugangsdaten unmittelbar nach ihrer Entdeckung gemeldet oder gefundene Schwachstellen werden auf Grundlage von Threat Intelligence-basierten Risikobewertungen nach Prioritäten geordnet. So können sich Sicherheitsteams auf die kritischsten Schwachstellen konzentrieren und diese einfacher filtern.

  • Mögliche Threat-Actors
  • Gestohlene oder geleakte Zugangsdaten
  • Genutzte Tools und aktive Kampagnen
  • Bisherige Erfahrungen zu Angriffen basierend auf der Schwachstelle
  • Malware, mit der die Sicherheitslücke ausgenutzt wird

Bedrohungsinformationen unterstützen hier die Verantwortlichen dabei, sich ein vollständiges Bild über die einzelnen Bedrohungen zu machen und unmittelbare Gefahren zu erkennen.
Unser risikobasierte Score gibt einen guten Anhaltspunkt dafür, wie wahrscheinlich es ist, dass eine Schwachstelle in den nächsten 12 Monaten ausgenutzt wird. Verbunden mit dem Wissen ihrer Verantwortlichen, welche wirtschaftliche Konsequenzen ein Angriff auf jedes einzelne Asset hat, können Organisationen die Outpost24 Exposure Management Platform nutzen, um die Ressourcenzuweisung für die Behebung der kritischsten Schwachstellen durchzuführen.

4. Validierung mit praxisnahen Tests

Nachdem die wichtigsten Assets und Schwachstellen identifiziert wurden, ist es an der Zeit zu prüfen, ob wirklich eine Gefahr besteht, oder die identifizierten Schwachstellen für Angreifer eine Sackgasse darstellen. Zu diesem Zweck bietet die Outpost24 Exposure Management Platform eine Reihe von Application Security Testing-, Penetration Testing– und Red Teaming-Services an, um die identifizierten Schwachstellen zu testen, zu analysieren und die Wirksamkeit von vorhandenen Schutzmaßnahmen zu verifizieren.

5. Mobilisierung von Stakeholdern mit Einblicken in die Bedrohungslage der Organisation

Cybersecurity ist heute kaum noch umsetzbar, wenn nicht alle Beteiligten mitziehen. Dabei spielt Reporting eine entscheidende Rolle. Genauso wie beim CTEM-Ansatz hilft die Outpost24 Exposure Management Platform dabei, aussagekräftige Erkenntnisse über die gesamte Angriffsfläche eines Unternehmens zu gewinnen, einschließlich der Sicherheitslage der Infrastruktur, Anwendungen und Anwender. Ausgestattet mit einer nach Prioritäten geordneten und validierten Liste von Schwachstellen, die behoben werden müssen, sind Sicherheitsverantwortliche in der Lage, die jeweiligen Stakeholder zu mobilisieren und wichtige Buy-Ins zur Behebung der Schwachstellen zu erhalten.

Die handlungsorientierte und kontinuierliche Reports bieten einen Einblick in die Entwicklung der bestehenden und relevanten Gefahren für die Organisation über die Zeit hinweg und ermöglichen dadurch ein Tracking zur Wirksamkeit der einzelnen Sicherheitsmaßnahmen. Dies fördert die Zusammenarbeit zwischen den einzelnen Beteiligten und bietet die Grundlage für smarte Investitionsentscheidungen im Bereich der IT-Sicherheit.

Ist die Zeit reif für eine CTEM-basierte Sicherheitsstrategie?

Wir helfen Organisationen dabei, mithilfe der Outpost24 Exposure Management Platform, einen auf sie zugeschnittenen Continuous Threat Exposure Management (CTEM)-Ansatz umzusetzen oder wiederzubeleben. Unsere Experten beraten Sie gerne dazu, wie Sie die Phasen von Scoping bis hin zur Mobilisierung nahtlos in Ihre bestehende Strategie integrieren können.