Важное предупреждение: Google и Yahoo будут требовать DMARC с апреля 2024 года.
Подробнее
PowerDMARC

Что такое непрерывное управление воздействием угроз (Continuous Threat Exposure Management, CTEM)?

Юнес Тарада
CTEM
Время чтения: 5 мин

Continuous Threat Exposure Management (CTEM) - это новый подход к управлению киберугрозами.

Это интегрирует ситуационную осведомленность об угрозах и возможности автоматического реагирования, позволяя организациям реагировать на новые или развивающиеся киберугрозы. киберугрозы более эффективно и проактивно.

С практической точки зрения CTEM ориентирована на то, чтобы подвергать корпорации и организации угрозам, представляющим наиболее существенный риск для их информационной безопасности, посредством непрерывных процессов и частой оценки существующих мер защиты от угроз.

Что такое непрерывное управление воздействием угроз (CTEM)?

Непрерывное управление угрозами (Continuous Threat Exposure Management, CTEM) - это процесс идентификации, измерения и приоритизации рисков для критически важных активов. 

Понятие CTEM, структура, позволяющая предприятиям постоянно и последовательно оценивать уязвимость своих физических и цифровых активов, была представлена компанией Gartner в июле 2022 года.

Это важнейший компонент стратегии киберустойчивости.

Источник

CTEM помогает организациям проактивно управлять воздействием внутренних и внешних угроз путем выявления, оценки и минимизации рисков. Этот процесс включает в себя:

Преимущества внедрения программы CTEM в организации

Программы CTEM разработаны с учетом специфических потребностей компании и ее сотрудников. Эти программы могут быть адаптированы в зависимости от размера, отрасли и целей организации.

Ниже перечислены некоторые преимущества внедрения программы CTEM в организации:

Ускоренный рост сотрудников

Сотрудники, участвующие в программах CTEM, отмечают ускоренный рост своей карьеры. Это объясняется тем, что набор навыков развивается за счет применения передового опыта, полученного в ходе тренингов, что позволяет людям расти быстрее, чем в противном случае. В сочетании с внедрением идеального программного обеспечения для выплат сотрудникам компании могут привлекать и удерживать членов команды, предлагая им расширить свой опыт за счет приобретения навыков по программе CTEM. Такой всесторонний подход, правильно управляемый с помощью вышеупомянутых программных инструментов, полезен как для сотрудников, так и для развития организации.

Сокращение дефицита квалифицированных кадров

При внедрении программы CTEM снижается вероятность того, что у сотрудников возникнут пробелы в квалификации, которые могут привести к дорогостоящим ошибкам или снижению производительности труда. Это связано с тем, что такие программы помогают определить, какие навыки необходимы сотрудникам для продвижения по карьерной лестнице, и заполнить пробелы между тем, где они находятся сейчас, и тем, куда они хотят попасть.

Повышение инновационного потенциала

CTEM также способствуют повышению инновационного потенциала организаций, предоставляя новые идеи для будущих стратегий развития и возможности для сотрудничества между членами команды за пределами их функциональных областей знаний.

Повышение эффективности использования ресурсов

Вовлеченные и мотивированные сотрудники с большей вероятностью найдут способы повысить эффективность использования ресурсов. Это может привести к значительному снижению накладных расходов и повышению рентабельности.

Повышение производительности

Программа CTEM поможет вам повысить производительность труда за счет предоставления сотрудникам необходимых инструментов, обучения и ресурсов. Это поможет им выполнять свою работу лучше и быстрее, что в конечном итоге приведет к повышению производительности труда.

Пять этапов программы CTEM

Программа CTEM разработана как гибкая структура, которая может быть адаптирована и модифицирована в соответствии с потребностями каждой организации. 

"К 2026 году организации, отдающие приоритет инвестициям в безопасность на основе программы непрерывного управления воздействиями, будут в три раза реже страдать от взлома". Gartner

Однако существует пять основных этапов, которым следуют большинство программ CTEM:

Scoping

Первым шагом в любой программе CTEM является определение масштаба проекта. Это предполагает четкое определение проблемы, сбор информации о ней и разработку плана ее решения.

Определение масштаба может происходить на любом уровне детализации, от стратегического планирования высокого уровня до детальной инженерной проработки.

Преимущество четко определенного объема заключается в том, что он позволяет определить, как вести проект, чтобы все участники знали, что от них ожидается.

Discovery

На этапе открытия проекта начинается сбор всей информации, необходимой для его реализации, включая интервью с заинтересованными сторонами, проведение исследований, сбор и анализ данных и многое другое.

Вы все еще работаете в абстрактном масштабе и должны иметь дело с конкретными технологиями или подходами.

Вы просто пытаетесь лучше понять суть проблем, общаясь с людьми, которых они могут коснуться (как прямо, так и косвенно).

Расстановка приоритетов

На этом этапе основное внимание уделяется выявлению основных проблем. Это можно сделать путем опроса сотрудников или с помощью статистического анализа.

Выявив основные проблемы, необходимо определить, какой уровень улучшений потребуется для их решения.

Валидация

После того как вы определили основные проблемы, настало время их подтвердить.

На этом этапе необходимо провести несколько интервью с сотрудниками или организовать фокус-группы, чтобы узнать их мнение о том, оказывают ли эти проблемы негативное влияние на компанию.

Вы также должны посмотреть на данные об этих проблемах, такие как жалобы клиентов или текучесть кадров.

Мобилизация

После того как ваша команда определила основные проблемы и определила, какие улучшения необходимо произвести для их решения, пришло время мобилизоваться!

Это означает создание плана действий , в котором изложены конкретные шаги, которые должны быть предприняты для достижения улучшений.

Как организации могут измерить успех своей программы CTEM?

Организации могут оценивать успешность своей программы непрерывного управления угрозами и воздействиями (CTEM) с помощью различных технических метрик и показателей. 

Вот несколько высокотехничных способов измерения успеха программы CTEM:

  1. Среднее время обнаружения (MTTD): Рассчитайте среднее время обнаружения новых уязвимостей, угроз или воздействий в вашей среде. Более низкий показатель MTTD свидетельствует о более быстром обнаружении и более успешной программе CTEM.
  2. Среднее время реагирования (MTTR): Измерение среднего времени, необходимого для реагирования и устранения выявленных уязвимостей или угроз. Более низкий показатель MTTR свидетельствует об эффективности реагирования и устранения угроз.
  3. Время реагирования на инциденты: Отслеживание времени реагирования на инциденты безопасности, обнаруженные с помощью программы CTEM. Эта метрика позволяет оценить способность программы справляться с угрозами в режиме реального времени.
  4. Скорость устранения уязвимостей: Отслеживайте скорость устранения выявленных уязвимостей. Этот показатель может быть выражен в процентах и в идеале должен быть высоким, что свидетельствует о своевременном устранении уязвимостей.
  5. Снижение риска: Количественная оценка снижения риска, связанного с уязвимостями и воздействиями, с течением времени. Используйте системы оценки рисков для оценки общего состояния риска и измерения того, как оно улучшается благодаря деятельности CTEM.
  6. False Positive Rate: Рассчитывается процент предупреждений или обнаружений, которые являются ложными срабатываниями. Более низкий процент ложных срабатываний свидетельствует о том, что программа эффективно снижает уровень шума и концентрируется на реальных угрозах.
  7. Охват активов: Измерьте процент активов вашей организации (например, серверов, конечных точек, приложений), постоянно контролируемых программой CTEM. Высокий уровень охвата активов обеспечивает комплексную безопасность.

3 Проблемы на пути к достижению CTEM

Достижение целей программы непрерывного управления угрозами и воздействиями (CTEM) может сопровождаться рядом высокотехнологичных задач:

  1. Интеграция и корреляция данных: CTEM опирается на данные из различных источников, таких как потоки информации об угрозах, инвентаризация активов, анализ сетевого трафика и средства защиты. Интеграция и корреляция этих разнообразных наборов данных в реальном времени может оказаться технически сложной задачей. Точность, согласованность и своевременность данных имеют решающее значение для эффективного обнаружения угроз и реагирования на них.
  2. Сложность автоматизации и оркестровки: Для оперативного сбора, анализа и реагирования на угрозы и уязвимости CTEM в значительной степени зависит от автоматизации. Разработка и поддержка сложных рабочих процессов автоматизации, включая сценарии реагирования на инциденты и устранения их последствий, может оказаться технически сложной задачей. Обеспечение адаптации этих рабочих процессов к изменяющимся угрозам и средам является постоянной задачей.
  3. Масштабируемость и производительность: По мере роста организаций или усиления киберугроз программа CTEM должна масштабироваться для обработки растущего объема данных и событий безопасности. Для обеспечения оптимальной производительности программы даже при высоких нагрузках требуются передовые технические решения, включая масштабируемую инфраструктуру, распределенную обработку данных и эффективные алгоритмы.

Заключительные слова

Окончательный вывод? CTEM является жизнеспособным и эффективным средством, позволяющим снизить уровень безопасности приложений и сохранить контроль над ними на протяжении всего жизненного цикла разработки.

При управлении и снижении рисков для организации следует учитывать преимущества CTEM. Это поможет минимизировать вредоносные действия против вашей организации, сократить время, необходимое для оценки и реагирования на угрозы и уязвимости, а также уменьшить ресурсы и затраты, связанные с обеспечением безопасности.

Последние сообщения Юнеса Тарады (см. все)
Выход из мобильной версии