Was ist Continuous Threat Exposure Management?

Die Bedrohungslandschaft, in der sich Ihr Unternehmen befindet, ist einem steten Wandel unterworfen. Neue Angriffsvektoren und Sicherheitslücken tauchen tagesaktuell auf und werden manchmal genauso schnell wieder irrelevant. Da stets zu 100 Prozent up to date zu bleiben, ist nahezu unmöglich – ganz zu schweigen von Zero-Days. Wie kann da Continuous Threat Exposure Management Abhilfe schaffen?

Das bedeutet nicht, dass man die Beobachtung dieser Landschaft aufgeben sollte. Im Gegenteil: Nur durch kontinuierliche Überwachung kann man die Sicherheit der eigenen IT-Infrastruktur fortlaufend optimieren. Und dies ist nicht so aufwendig, wie es klingt: Im sogenannten Continuous Threat Exposure Management (CTEM) stehen Ihnen ein Ansatz zur Verfügung, mit dessen Hilfe Sie die Überwachung der Bedrohungslandschaft wirksam und effizient gestalten können.

Da CTEM in Zeiten immer komplexer werdender Infrastrukturen und immer schneller wechselnder Bedrohungen unverzichtbar wird, haben die Analysten von Gartner Continuous Threat Exposure Management kürzlich als einen der „Gartner® Top Strategic Trends for 2024“ benannt. Gartner hat auch die Behauptung aufgestellt, dass Organisationen, die Ihre Cybersecurity-Investitionen danach ausrichten, eine signifikant verringerte Wahrscheinlichkeit haben, von einem Cyberangriff kompromittiert zu werden.

Continuous Threat Exposure Management erklärt

Bei Continuous Threat Exposure Management (Kurz: CTEM) geht es nicht nur um passives Monitoring. Vielmehr ist der CTEM-Ansatz proaktiv: Als strategischer Ansatz im Bereich der Cybersicherheit zielt CTEM darauf ab, Organisationen kontinuierlich vor Bedrohungen und Angriffen zu schützen. Neben der fortlaufenden Echtzeit-Überwachung der gesamten TI-Infrastruktur, um Bedrohungen und Schwachstellen sofort zu erkennen, umfasst CTEM auch die Nutzung aktueller Bedrohungsinformationen, die intelligente Risikobewertung und die Koordination von Abwehrmaßnahmen – und nicht zuletzt die ständige Anpassung des ganzen CTEM-Prozesses an die Analyseergebnisse im Sinne eines kontinuierlichen Verbesserungsprozesses.

Mögliche Schwachstellen und Angriffsvektoren werden so frühzeitig identifiziert und behoben, bevor sie zu einem Schaden für Ihr Unternehmen führen können.

CTEM in 5 Schritten

Continuous Threat Exposure Management lässt sich laut Gartner in fünf Phasen unterteilen:

Die fünf Phasen des Continuous Threat Exposure Management (CTEM)-Ansatzes

1. Scoping: Kartierung der Angriffsfläche

Der erste Schritt im CTEM-Prozess besteht darin, schrittweise relevante Bereiche der Angriffsfläche Ihres Unternehmens zu erfassen – also der potenziellen Eintrittspunkte für Angriffsvektoren und gefährdeter Assets. Das betrifft sämtliche Unternehmensstrukturen – einschließlich Geschäftsbereiche, Tochtergesellschaften oder Joint Ventures – und die von ihnen eingesetzten IT-Systeme. Die Kartierung erfolgt mit Bezug auf Risiken und potenzielle Konsequenzen erfolgreicher Angriffe, um die vorhandenen Ressourcen mit größtmöglichen Nutzen einsetzen zu können.

In diesem ersten Schritt wird die Grundlage für die weiteren Stadien des CTEM gelegt, indem die Angriffsfläche vollständig erhoben wird. Die Ergebnisse dieser Erhebung gehen dann nahtlos in die nächste Phase des CTEM über: Hier werden dann die konkreten Angriffspunkte innerhalb der erhobenen Angriffsfläche untersucht.

2. Discovery: Erhebung der Assets und ihrer Risikoprofile

Grundlage für systematisches CTEM in diesen Phasen ist das External Attack Surface Management (EASM) – es liefert die wichtigste Datenbasis. EASM ermittelt automatisiert sämtliche über das Internet erreichbare Angriffspunkte in Ihren Netzwerken (Assets wie Geräte, Anwendungen oder cloudbasierte Services) und bewertet ihr Risikopotenzial. Die Analyse auf bekannte Schwachstellen (Vulnerability Management) ist dabei nur ein Aspekt. Es werden sämtliche technischen Faktoren überwacht, die sicherheitsrelevant sind, auch etwa Passwörter, Verschlüsselung, Probleme im Identity and Access Management (IAM) wie etwa fehlendes Offboarding, Konfigurationen und weitere. Um ein vollständiges Bild der Bedrohungslage zu erhalten, werden zusätzlich Social-Media-Konten des Unternehmens, Online-Code-Repositories, integrierte Lieferkettensysteme und andere Strukturen berücksichtigt, die häufig nicht im Fokus der Betrachtungen liegen, wenn es um Schwachstellen der IT-Landschaft geht. Monitoring- und Cyber Threat Intelligence-Lösungen wie Threat Compass von Outpost24 können dabei hilfreich sein, den Überblick zu behalten.

Die Discovery als Erhebung von Risikoprofilen der Assets beginnt mit den Bereichen, die während des Scoping im vorigen Schritt identifiziert wurden. Häufig stellt sich jedoch heraus, dass während der Discovery noch weitere Assets und/oder Risiken dieser Assets sichtbar werden, so dass im Prinzip eine Rückkopplungsschleife zwischen den ersten beiden Schritten stattfindet. Ziel ist es, sichtbare und versteckte Assets, Schwachstellen, Fehlkonfigurationen und andere Risiken lückenlos zu identifizieren.

Besonderes Augenmerk sollte aber darauf gelegt werden, dass das Finden von Assets und Schwachstellen allein noch keine erhöhte Sicherheit nach sich zieht: die potenziellen Auswirkungen und Geschäftsrisiken müssen zwingend mitbetrachtet werden. Da hierbei eine überwältigende Menge von Daten und Erkenntnissen anfallen kann, kommt dem darauffolgenden Schritt, der Priorisierung (Prioritization), besondere Bedeutung zu.

3. Prioritization: Berücksichtigung von Dringlichkeit und Risiko

Das Ziel von CTEM kann es nicht sein, jedes einzelne Sicherheitsproblem zu beheben und lückenlose Sicherheit herzustellen, die es in der Realität ohnehin nicht geben kann.

Vielmehr müssen – um die vorhandenen Ressourcen des Unternehmens sinnvoll und effizient einzusetzen – die gefundenen Schwachstellen priorisiert werden, anhand vor allem der folgenden risikobestimmenden Merkmale:

  • Severity: Wie schwerwiegend ist die Schwachstelle in Bezug auf die IT-Infrastruktur?
  • Exploitability: Wie leicht kann sie von potenziellen Angreifern ausgenutzt werden? Wie bekannt ist sie, wie leicht zugänglich ist das System, in dem sie sich befindet, wie viele Ressourcen sind für einen erfolgreichen Exploit notwendig?
  • Impact: Wie sehr würde ein erfolgreicher Exploit die Geschäftstätigkeit des Unternehmens beeinträchtigen?
  • Availability of Compensating Controls: Gibt es im Unternehmen alternative Mechanismen, die den Exploit einer Schwachstelle verhindern oder dessen Auswirkungen begrenzen? Beispielsweise organisatorischer oder personeller Natur?

Zudem sollte auch betrachtet werden, ob und welche Restrisiken als akzeptabel definiert werden können.

Der Schlüssel zur Priorisierung liegt also darin, die wertvollsten Assets des Unternehmens zu identifizieren und ein Vorgehen zu entwickeln, der sich auf diese konzentriert. Aus diesem Grund ist gerade in diesem Schritt eine Zusammenarbeit zwischen IT-Security und anderen Bereichen des Unternehmens zwingend notwendig.

4. Validation: Prüfung der möglichen Angriffsvektoren und Reaktionen des Unternehmens

Im Schritt der Validation wird zunächst verifiziert, ob wichtige Schwachstellen tatsächlich durch Angreifer ausnutzbar sind. Hierzu werden alle potenziellen Angriffswege zum Asset betrachtet, nicht nur direkte Angriffsvektoren, sondern auch laterale Angriffe, die nach dem erstmaligen Eindringen in ein System möglich sind. Dafür werden gegebenenfalls Pentests und Angriffssimulationen (Red-Teaming) durchgeführt.

Zudem wird der vorhandene Notfallplan geprüft hinsichtlich seiner Tauglichkeit, das Unternehmen schnell und effektiv zu schützen. Insbesondere müssen alle relevanten Stakeholder wissen, welche Ereignisse die Ausführung des Notfallplans zur Folge haben sollen. Dies sollte so konkret wie möglich definiert werden, um zeitraubende Diskussionen im Ernstfall zu vermeiden. Red-Teaming dient auch für Notfallübungen: Wissen alle Beteiligten, was in welchem Fall zu tun ist, und können sie schnell genug reagieren?

5. Mobilization: Empowerment von Teams und Einzelpersonen

Viele Angriffsvektoren werden in Unternehmen mit moderner IT-Infrastruktur bereits von automatisierten Systemen erfolgreich abgewehrt. Aber es ist gefährlich, sich allein auf die Automatisierung zu verlassen. Diese kann lückenhaft oder nicht zeitgemäß sein – zudem gibt es seitens automatisierter Plattformen möglicherweise zwei oder mehr Lösungen für ein Problem, zwischen denen ausgewählt werden muss.

Gibt es hier Probleme, werden diese hoffentlich bei der Validierung sichtbar. Im Rahmen der Mobilisierung (Mobilization of people and processes) muss nun das Team der IT-Sicherheit befähigt werden, ohne große Hürden tätig zu werden, um Gefahren zu managen und zu beseitigen. Und auch Teams außerhalb der IT-Sicherheit sollten zumindest ein Grundverständnis für die Prozesse und die Notwendigkeit von CTEM haben. Insbesondere dort, wo team- und bereichsübergreifende Entscheidungs- oder Genehmigungsprozesse notwendig sind, muss gründliche Vorarbeit geleistet werden, damit im Ernstfall keine Zeit verloren geht. Im Zentrum der Mobilisierung stehen also erstens Menschen und deren Wissen um die Prozesse und zweitens die Mittel, mit denen sie diese Prozesse umsetzen können. Beide Komponenten sind zwingend notwendig, um Gefahren erfolgreich abzuwehren.

CTEM mit Outpost24

Wenn Sie CTEM zu einem integralen Bestandteil der Sicherheitsstrategie Ihres Unternehmens machen, hilft es ihnen, nicht nur auf Bedrohungen zu reagieren, sondern ihnen einen Schritt voraus zu sein. Durch die kontinuierliche Überwachung und Anpassung können Sie die Sicherheitslage Ihres Unternehmens verbessern und das Risiko von Sicherheitsvorfällen und deren Folgeschäden signifikant reduzieren.

Outpost24 unterstützt Sie mit der Threat Exposure Management Platform bei jedem Schritt des CTEM-Prozesses und stellt sicher, dass Ihre Ressourcen bestmöglich eingesetzt werden und Ihre Teams an den Schwachstellen und Bedrohungen arbeitet, die für Ihre Organisation am wichtigsten sind. Für eine unverbindliche erste Beratung zu den Themen EASM und CTEM nehmen Sie gern Kontakt zu uns auf.

About the Author

Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.