Wissenswertes zum Continuous Threat Exposure Management (CTEM) – Ein Framework für proaktive Sicherheit

Im Jahr 2022, inmitten einer Welle von Sicherheitsverletzungen, die auf bekannte Schwachstellen abzielten, führte Gartner das Konzept des Continuous Threat Exposure Management (CTEM) ein (Quelle: Gartner, Implement a Continuous Threat Exposure Management (CTEM) Program, Oktober 2023).Die fünf Schritte von CTEM können Unternehmen dabei unterstützen, ihre Risiken mithilfe eines strukturierten, iterativen Ansatzes zu verringern und ihren Sicherheitsstatus zu verbessern.

Seitdem haben Sicherheitsverantwortliche weltweit Projekte zur Einführung von CTEM initiiert. Konkret handelt es sich dabei um eine aktiv betriebene Umstellung vom Schwachstellenmanagement zum Exposure-Management. Infolgedessen verlagert sich der Schwerpunkt von der bloßen Erkennung häufiger Schwachstellen und Risiken (CVEs) hin zu einem breiteren Verständnis der Geschäftsrisiken, wobei ein umfassender Ansatz für das Schwachstellenmanagement im Vordergrund steht.

Ergänzend zur Lektüre dieses Blogbeitrags empfehlen wir Ihnen die Teilnahme an unserem CTEM Launch Event. Weitere Informationen zur Minderung Ihrer Risikoexposition durch Einführung eines CTEM finden Sie auch in unserem einschlägigen E-Book , das Sie gerne herunterladen und an andere Interessierte weiterleiten dürfen.

Warum Programme zum Schwachstellenmanagement zu kurz greifen

Herkömmliche Programme zum Schwachstellenmanagement werden der dynamischen und komplexen Bedrohungslage von heute nicht gerecht. Die meisten können weder spezifische Geschäftsanforderungen noch vorhandene Kontrollmechanismen berücksichtigen. Auch die Priorisierung der Risiken greift zu kurz, da es an transparenten bzw. anpassbaren Risikoberechnungen mangelt.

Für die Unzulänglichkeit herkömmlicher Ansätze gibt es mehrere Gründe:

1. Komplexe IT-Ökosysteme: SaaS-Lösungen, Dienste von Drittanbietern und verschiedene Cloud-Infrastrukturen haben die Liste der empfohlenen Korrekturen verlängert und so das Schwachstellenmanagement erschwert.

2. Eng gefasste Definitionen: Für einen umfassenden Ansatz ist es unabdingbar, die Definition von Schwachstellen um Fehlkonfigurationen und Codefehler zu erweitern.

3. Isolierte Toolsets: Unternehmen sind zur Risikoeinschätzung auf Daten zu IT-Assets, Usern, Verhalten und verschiedenen Systemen angewiesen. Diese Datensätze werden jedoch in disparaten Tools voneinander getrennt verwaltet.

Die Grundlagen von CTEM

CTEM stellt einen Ansatz zur Weiterentwicklung von VM-Programmen bereit. Laut Prognosen von Gartner können Unternehmen „durch Priorisierung von Sicherheitsinvestitionen in den Aufbau eines CTEM-Programms die Wahrscheinlichkeit eines Sicherheitsverstoßes bis 2026 um das Dreifache senken“. (Gartner, ebenda)

Der CTEM-Prozess

CTEM ist ein zyklischer Prozess, der fünf Schritte umfasst: Umfangsbestimmung, Risikoerkennung, Priorisierung, Validierung und Mobilisierung. Dieser wiederholbare Zyklus passt sich an Änderungen im Geschäftsumfeld oder der Bedrohungslage an und liefert aussagekräftige Erkenntnisse, die Sicherheits- und Infrastrukturverantwortliche bei der wirksamen Minderung von Risiken unterstützen.

1. Bei der Umfangsbestimmung wird eine geschäftliche Entscheidung darüber getroffen, welche IT-Assets das CTEM-Programm abdecken soll. Insbesondere in größeren Unternehmen ist die reale Angriffsfläche in der Regel weitaus größer als die Reichweite herkömmlicher Schwachstellenmanagement-Programme. Bei der Entscheidung, was in den Umfang aufgenommen werden soll, müssen die potenziellen geschäftlichen Auswirkungen sorgfältig abgewogen werden, einschließlich finanzieller Schäden, Behebungsaufwand, Verlust des Verbrauchervertrauens und Schäden für Geschäftspartner.

2. Die Risikoerkennung geht über CVEs hinaus und umfasst Fehlkonfigurationen von Assets und Sicherheitskontrollen sowie andere Schwachstellen, wie etwa gefälschte Assets. Das Userverhalten ist ein weiteres Beispiel – es ist entscheidend zu verstehen, welche Personen anfällig für Phishing-Angriffe sind. Eine genaue Abgrenzung basierend auf Geschäftsrisiken und potenziellen Auswirkungen ist wertvoller als die bloße Entdeckung weiterer Assets und Schwachstellen.

3. Die Priorisierung ist der wichtigste Aspekt eines effektiven CTEM-Programms. Dabei geht es darum, herauszufinden, welche Schwachstellen das größte Risiko für das Unternehmen darstellen. Das Common Vulnerability Scoring System (CVSS) war ein erster Versuch, Schwachstellen nach Risiko zu klassifizieren, hat jedoch Einschränkungen. Für eine effektive Priorisierung müssen Daten aus verschiedenen Quellen zusammengeführt und unternehmensspezifische Risikofaktoren sowie vorhandene Maßnahmen zur Risikominderung berücksichtigt werden.

4. Bei der Validierung werden Angriffstechniken simuliert oder emuliert, um zu verstehen, wie Angreifer offengelegte Schwachstellen ausnutzen könnten. In diesem Schritt wird die Wahrscheinlichkeit eines erfolgreichen Angriffs in der realen Welt beurteilt, der potenzielle Schaden geschätzt und die Wirksamkeit aktueller Reaktions- und Behebungsprozesse bewertet.

5. Die Mobilisierung umfasst die Reaktion auf die Erkenntnisse aus den vorherigen Schritten, wobei der Schwerpunkt auf der Behebung und Berichterstattung liegt. Automatisierung kann die Effizienz steigern, aber für eine wirksame Behebung ist oft menschliches Eingreifen erforderlich. Die Reduzierung von Reibungen in Risikominderungsprozessen durch eine Kombination aus menschlicher Kommunikation und Tools ist von entscheidender Bedeutung.

In unserem E-Book erfahren Sie mehr über die Herausforderungen und potenziellen Probleme bei jedem dieser fünf Schritte.

Aufbau eines effektiven CTEM-Programms mit Zscaler

Auf Grundlage von Dutzenden korrelierter Datenquellen ist eine umfassende Bewertung Ihrer Risikoexposition möglich. Durch menschliche Analyse mithilfe von Tabellenkalkulationen lässt sich diese Aufgabe jedoch nicht bewältigen.

Deswegen wendet Zscaler als erster Anbieter eine Datenstruktur an, die ein effektives CTEM ermöglicht. Mit der Zscaler Data Fabric for Security können Unternehmen Erkenntnisse aus mehr als 150 Sicherheitstools und Geschäftssystemen aggregieren und korrelieren, um Risiken besser zu verstehen und zu managen. Das Data Fabric harmonisiert, dedupliziert, korreliert und kontextualisiert Millionen von Datenpunkten, die Sicherheitserkenntnisse und Geschäftskontext umfassen, und speist diese in mehrere Zscaler-Lösungen ein.

Ergänzend zum Unified Vulnerability Management (UVM) führen wir im nächsten Monat unsere neue Lösung zum Asset Exposure Management ein, um die Bewertung und Priorisierung von IT-Assets und Gefährdungen zu unterstützen.

Unsere neue Lösung zum Asset Exposure Management unterstützt Sie bei folgenden wichtigen Aufgaben im Rahmen einer dynamischen Erkennung und Bewertung der Risikoexposition:

• Vollständige und präzise Bestandsaufnahme: Ermöglichen Sie die Bestandsauflösung über Dutzende von Quellsystemen hinweg, um eine ganzheitliche und präzise Bestandsaufnahme zu erstellen.
• Abdeckungslücken erkennen und schließen: Korrelieren Sie Asset-Details, um Fehlkonfigurationen und fehlende Kontrollen zu ermitteln und so die Compliance mit einschlägigen Vorschriften sicherzustellen.
• Risiken minimieren: Sie können Richtlinien zur Risikominimierung aktivieren, Workflows zuweisen und verfolgen und Ihre CMDB automatisch aktualisieren.

Unsere Lösung zum Unified Vulnerability Management-unterstützt Sie bei folgenden wichtigen Aufgaben im Rahmen einer dynamischen Erkennung und Bewertung der Risikoexposition:

• Priorisierung von Schwachstellen: Verstehen Sie, welche Gefährdungen im Kontext Ihrer individuellen Umgebung für Ihr Unternehmen das größte Risiko darstellen, unter Berücksichtigung der vorhandenen Kontrollmechanismen zur Risikominderung und aktueller Bedrohungsinformationen.
• Dynamisches userdefiniertes Reporting: Dynamische Dashboards und Berichte erfassen den Risikostatus und Sie können mit einem intuitiven, widgetbasierten Assistenten schnell Ihre eigenen erstellen, um jeden Datenpunkt zu veranschaulichen. Die Berichte sind immer genau, da die Daten immer auf dem neuesten Stand sind.
• Automatisierte Behebungsmaßnahmen: Optimieren Sie die Behebung von Problemen mit automatischer Ticketzuweisung und -verfolgung, die Sie an die Arbeitsweise Ihrer Teams anpassen können. Gruppieren Sie Arbeitselemente nach einer leicht anpassbaren Gruppierungslogik und schließen und öffnen Sie Tickets bei Bedarf automatisch erneut, um einen genauen Überblick über den Behebungsstatus zu behalten.

 Vorteile der Zero Trust Exchange zur Optimierung des CTEM

Zscaler-Kunden profitieren von der Optimierung der CTEM-Lösungen durch Informationen aus der Zscaler Zero Trust Exchange, der weltweit größten KI-gestützten Inline-Sicherheits-Cloud. Diese Integration verbessert die Risikopriorisierung und liefert Informationen zu Richtlinienempfehlungen. Dadurch entsteht eine intelligente Feedbackschleife, die Unternehmen in die Lage versetzt, Risiken kontinuierlich zu reduzieren.

Fazit

CTEM stellt einen bedeutenden Fortschritt im Schwachstellenmanagement dar und verlagert den Schwerpunkt von isolierten Schwachstellen auf ein ganzheitliches Risikomanagement. Durch die Nutzung der CTEM-Lösungen und der Zero Trust Exchange von Zscaler können Unternehmen ein robustes CTEM-Programm aufbauen, das sich an neue Bedrohungen und Geschäftsveränderungen anpasst und so letztendlich die Zukunft ihres Unternehmens sichert.

Um mehr über unsere neue Lösung zum Asset Exposure Management zu erfahren, empfehlen wir Ihnen die Teilnahme an unserem virtuellen Launch-Event. In unserem Lightboard-Video oder im Rahmen einer individuellen Produktdemo können Sie unsere UVM-Lösung in Aktion erleben. Ausführliche Informationen zu CTEM und den Vorteilen der Zscaler-Lösungen finden Sie in unserem einschlägigen E-Book.