Современные команды кибербезопасности кардинально меняют подход к защите периметра, отходя от рассмотрения угроз и уязвимостей как изолированных элементов. Реальный риск возникает именно в точке пересечения уязвимости (того, что может пойти не так) и угрозы (того, кто может атаковать) в конкретной среде. В этом контексте перед специалистами встают ключевые вопросы: какие воздействия действительно важны, способны ли злоумышленники их использовать и насколько эффективна существующая защита. Целью этой трансформации является переход к унифицированному управлению угрозами и рисками, выходящему за рамки простого сканирования.
Аналитическое агентство Gartner определяет этот подход как Continuous Threat Exposure Management (CTEM) — непрерывное управление воздействием угроз. Это не отдельный программный продукт и не разовое сканирование, а полноценная операционная модель. Она представляет собой непрерывный цикл выявления, приоритизации и устранения эксплуатируемых уязвимостей по всей поверхности атаки. Структура CTEM состоит из пяти последовательных этапов: определение объема (Scoping), обнаружение (Discovery), приоритизация (Prioritization), валидация (Validation) и мобилизация (Mobilization).
Внедрение CTEM знаменует стратегический сдвиг в сторону управления рисками на основе реального воздействия. Индустрия безопасности долгое время страдала от «проблемы изобилия» инструментов, создающей разрозненные бункеры данных. CTEM решает эту проблему, объединяя различные подпроцессы, такие как оценка уязвимостей, управление ими, управление поверхностью атаки (ASM), а также тестирование и симуляцию. Конечная цель модели — дать командам возможность фиксировать и сообщать о потенциальном влиянии действий на снижение киберрисков, предпринимая меры против действительно эксплуатируемых брешей.
Важнейшую роль в этой модели играют данные разведки угроз. Согласно статистике за 2024 год, ежегодно сообщается о более чем 40 000 уязвимостей, однако реально эксплуатируется менее 10% из них. Ключевое различие заключается в фокусировке на том, что является военизированным и эксплуатируемым, в противовес теоретически возможному. Разведка угроз связывает уязвимости с тактиками, техниками и процедурами (TTPs) из активных кампаний злоумышленников и помогает определить приоритетные требования к разведке (PIRs), актуальные для конкретной организации.
Этап валидации в рамках CTEM должен выходить за пределы технологий и охватывать процессы и людей. Даже тонко настроенные инструменты, такие как EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management) или WAF (Web Application Firewall), окажутся недостаточными, если рабочие процессы и инструкции (плейбуки) неэффективны. Наблюдается тенденция к конвергенции симуляции взломов и атак (BAS), командно-штабных учений и автоматизированного пентестинга в единое направление — валидацию состязательного воздействия (Adversarial Exposure Validation — AEV).
Для успешной реализации стратегии необходимо управление сверху вниз, чтобы разрушить организационные барьеры. Процесс начинается с этапа определения объема, где задаются критические вопросы о главных бизнес-рисках и охвате сред (on-prem, облака, IT/OT, дочерние компании). Необходимо точно определить типы активов, включая «корону» организации, конечные точки и системы идентификации. Также на этом этапе оценивается, какие злоумышленники и методы атак релевантны для конкретной индустрии и технологического стека.
Критерии критического воздействия определяются на основе эксплуатируемости, влияния на бизнес, чувствительности данных и радиуса поражения (blast radius). При этом важно реально оценивать начальную способность к устранению проблем, учитывая наличие персонала, инструментов и SLA. Эксперты, такие как компания Filigran, предоставляющая ресурсы по управлению воздействием и разведке угроз, подчеркивают, что успех CTEM измеряется способностью доказательно ответить на три вопроса: что может нанести нам вред, как это произойдет и можем ли мы это остановить.
Изображение носит иллюстративный характер
Аналитическое агентство Gartner определяет этот подход как Continuous Threat Exposure Management (CTEM) — непрерывное управление воздействием угроз. Это не отдельный программный продукт и не разовое сканирование, а полноценная операционная модель. Она представляет собой непрерывный цикл выявления, приоритизации и устранения эксплуатируемых уязвимостей по всей поверхности атаки. Структура CTEM состоит из пяти последовательных этапов: определение объема (Scoping), обнаружение (Discovery), приоритизация (Prioritization), валидация (Validation) и мобилизация (Mobilization).
Внедрение CTEM знаменует стратегический сдвиг в сторону управления рисками на основе реального воздействия. Индустрия безопасности долгое время страдала от «проблемы изобилия» инструментов, создающей разрозненные бункеры данных. CTEM решает эту проблему, объединяя различные подпроцессы, такие как оценка уязвимостей, управление ими, управление поверхностью атаки (ASM), а также тестирование и симуляцию. Конечная цель модели — дать командам возможность фиксировать и сообщать о потенциальном влиянии действий на снижение киберрисков, предпринимая меры против действительно эксплуатируемых брешей.
Важнейшую роль в этой модели играют данные разведки угроз. Согласно статистике за 2024 год, ежегодно сообщается о более чем 40 000 уязвимостей, однако реально эксплуатируется менее 10% из них. Ключевое различие заключается в фокусировке на том, что является военизированным и эксплуатируемым, в противовес теоретически возможному. Разведка угроз связывает уязвимости с тактиками, техниками и процедурами (TTPs) из активных кампаний злоумышленников и помогает определить приоритетные требования к разведке (PIRs), актуальные для конкретной организации.
Этап валидации в рамках CTEM должен выходить за пределы технологий и охватывать процессы и людей. Даже тонко настроенные инструменты, такие как EDR (Endpoint Detection and Response), SIEM (Security Information and Event Management) или WAF (Web Application Firewall), окажутся недостаточными, если рабочие процессы и инструкции (плейбуки) неэффективны. Наблюдается тенденция к конвергенции симуляции взломов и атак (BAS), командно-штабных учений и автоматизированного пентестинга в единое направление — валидацию состязательного воздействия (Adversarial Exposure Validation — AEV).
Для успешной реализации стратегии необходимо управление сверху вниз, чтобы разрушить организационные барьеры. Процесс начинается с этапа определения объема, где задаются критические вопросы о главных бизнес-рисках и охвате сред (on-prem, облака, IT/OT, дочерние компании). Необходимо точно определить типы активов, включая «корону» организации, конечные точки и системы идентификации. Также на этом этапе оценивается, какие злоумышленники и методы атак релевантны для конкретной индустрии и технологического стека.
Критерии критического воздействия определяются на основе эксплуатируемости, влияния на бизнес, чувствительности данных и радиуса поражения (blast radius). При этом важно реально оценивать начальную способность к устранению проблем, учитывая наличие персонала, инструментов и SLA. Эксперты, такие как компания Filigran, предоставляющая ресурсы по управлению воздействием и разведке угроз, подчеркивают, что успех CTEM измеряется способностью доказательно ответить на три вопроса: что может нанести нам вред, как это произойдет и можем ли мы это остановить.
