Ein Leitfaden
CTEM – der große Bruder von Vulnerability Management?
„Continuous Threat Exposure Management“ (CTEM) wurde 2022 als Begriff von Gartner geprägt. Es handelt sich somit um eine relativ junge Disziplin in der Cybersecurity. Doch was ist CTEM? Welche Vorteile bietet es gegenüber klassischem Vulnerability Management? Und wo setzt man als Unternehmen an?
Das Wichtigste zuerst: CTEM ist ein umfassendes Programm und kein einzelnes Produkt. Es ist ein Framework, welches entwickelt wurde, um der sich kontinuierlich verändernden Bedrohungslandschaft bestmöglich gerecht zu werden. Dank CTEM können sich Cybersecurity-Teams einen Überblick über die gesamte Angriffsfläche der Organisation verschaffen und besser priorisieren, wo Aufwände und Ressourcen eingesetzt werden müssen. Ziel dabei ist, die Angriffsfläche zu minimieren und gleichzeitig die Reaktionsfähigkeit der Organisation zu verbessern – und das nicht nur stellenweise und zeitweilig, sondern übergreifend und fortlaufend.
Dafür verfolgt CTEM einen Ansatz, der aus fünf Phasen besteht und sich zyklisch wiederholt.
Die fünf Phasen des CTEMs
Phase 1 – Scoping:
Verständnis für die Angriffsfläche des Unternehmens entwickeln
In der ersten Phase geht es nicht nur um die reine Identifizierung von Assets, sondern auch darum, herauszufinden, wie wichtig diese jeweils für die Organisation sind. Dies erfordert eine enge Zusammenarbeit der Cybersecurity-Teams mit anderen Bereichen, zum Beispiel dem IT-Betrieb und der GRC-Funktion des Unternehmens. Das Ergebnis des Scoping ist essenziell, da es die Basis für alle nachfolgenden Phasen darstellt. Wichtig zu verstehen ist zudem, dass der Scope sich über die Zeit verändert.
Phase 2 – Discovery:
Bewertung von Assets hinsichtlich ihrer Anfälligkeit für Angriffe („Exposure“) und Eruierung von Angriffspfaden („Attack Paths“)
In der zweiten Phase geht es im Vergleich zum klassischen Vulnerability Management nicht nur um Schwachstellen, sondern auch um anfällige Konfigurationen und mangelhaftes Identity- und Access-Management. Für die Identifizierung von Exposures werden unter anderem Schwachstellenscanner und Security Configuration Assessments eingesetzt.
Denn Angreifer betrachten stets das Gesamtbild. Sie identifizieren nicht nur den potenziellen Einstiegspunkt, sondern untersuchen darüber hinaus, wie sie sich in der Umgebung weiterbewegen können, um ihr eigentliches Ziel zu erreichen. Deshalb ist es wichtig, potenzielle Angriffe Ende-zu-Ende zu beleuchten, indem ganze Angriffspfade von extern nach intern analysiert werden. Wichtig ist dabei, dass sich mit der Zeit die Anfälligkeit von Assets verändert. Die Discovery muss daher mit jedem CTEM-Zyklus neu durchlaufen werden.
Phase 3 – Prioritization:
Priorisierung der Exposures nach ihrem Risiko für das Unternehmen
Das Ziel von CTEM besteht nicht darin, jedes einzelne identifizierte Problem zu beheben, sondern die wahrscheinlichsten und gefährlichsten Bedrohungen zu priorisieren, die in der individuellen Umgebung des Unternehmens ausgenutzt werden könnten. In der dritten Phase werden daher für potenzielle Schwachstellen, die in der vorherigen Phase identifiziert wurden, Prioritäten festgelegt.
Dabei werden verschiedene Faktoren berücksichtigt, beispielsweise die Schwere der Schwachstellen, die Wahrscheinlichkeit ihrer Ausnutzung und der Wert der betroffenen Assets für die Geschäftsfunktionen des Unternehmens. Threat Intelligence ist ein wesentliches Hilfsmittel in dieser Phase. Es hilft dabei, Risiken zu bewerten und aktiv ausgenutzte Schwachstellen aufzuzeigen.
Phase 4 – Validation:
Validierung möglicher Angriffe und Angriffspfade, Testen der Reaktionsfähigkeit der Organisation
Diverse automatisierte Tools, wie „Breach and Attack Simulation“ oder manuelle Ansätze wie Red Teaming und Penetrationstests, können in der vierten Phase angewendet werden, um die Wahrscheinlichkeit erfolgreicher Angriffe für die zuvor identifizierten Bedrohungsszenarien zu ermitteln.
In vielen Fällen kann es sinnvoll sein, die „Validation“ vor die „Prioritization“ zu ziehen, oder beide Phasen parallel laufen zu lassen. Dies verhindert, dass ohnehin nicht ausnutzbare Exposures zwecklos analysiert werden.
Phase 5 – Mobilization:
Abschließende Behandlung validierter Exposures
Die Ergebnisse aus der vierten Phase werden schließlich genutzt, um die Priorisierung in der Reihenfolge der Behebung vorzunehmen. Für jede Exposure sollte klar und nachvollziehbar dargestellt werden, warum die entsprechende Priorität ausgewählt wurde. Auch ist es wichtig, klar herauszuarbeiten, wie eine Behebung der Schwachstelle zu realisieren ist und welche Alternativen es dabei für das Unternehmen gibt.
Die Durchführung der Behebungsmaßnahmen muss einer erneuten Validierung unterzogen werden, um sicherzustellen, dass die identifizierten Bedrohungen tatsächlich verhindert werden.
Vorteile von CTEM gegenüber klassischem Vulnerability Management
CTEM erweitert das Spektrum des klassischen Vulnerability Management, indem neben üblichen und bekannten Schwachstellen (CVEs) auch Konfigurationen, Identitäten und Verzeichnisdienste wie Active Directory berücksichtigt werden.
Außerdem ermöglicht CTEM im Vergleich zu bekannten Ansätzen im Vulnerability Management treffendere Priorisierungen, die Cybersecurity-Teams dazu befähigen, ihre Energie zielgerichtet einzusetzen. Schwachstellen werden nicht mehr vereinzelt betrachtet, sondern zu einem belastbaren Gesamtbild verarbeitet, dass eine klare Sicht in der Sicherheitsbewertung ermöglicht.
Attack Surface Management: Der erste Schritt für erfolgreiches CTEM
Die Etablierung eines effektiven CTEM setzt eine gut funktionierende Sicherheitsorganisation und einen hohen Reifegrad voraus. Aus der Perspektive vieler Unternehmen handelt es sich daher bei CTEM um eine sehr anspruchsvolle Disziplin.
Unternehmen, die CTEM umsetzen wollen, sollten sich zuerst auf „Attack Surface Management“ (ASM) fokussieren. ASM bezeichnet den Prozess der Identifizierung und Verwaltung von potenziellen Schwachstellen in der gesamten IT-Infrastruktur eines Unternehmens. Es umfasst sowohl interne Assets, als auch extern erreichbare Assets. ASM bewertet die Infrastruktur auf Schwachstellen und identifiziert Gefährdungen unabhängig davon, ob die Angriffe von innerhalb oder außerhalb des Unternehmens kommen.
Das „External Attack Surface Management“ (EASM), das als Teilbereich von ASM zu sehen ist, konzentriert sich hingegen rein auf die externe Angriffsfläche. Ein wirksames EASM identifiziert, bewertet und verwaltet die externe Angriffsfläche eines Unternehmens, indem es öffentlich erreichbare Assets findet und dokumentiert, die initiale Angriffspunkte darstellen könnten. Dazu zählen beispielsweise auch veraltete Software, Fehlkonfigurationen und offengelegte Zugangsdaten.
ASM und EASM zahlen insbesondere auf die ersten beiden Phasen von CTEM – Scoping und Discovery – ein. Beide Konzepte machen initiale Eintrittspunkte von Angreifern sichtbar und bewerten ihre Anfälligkeit für Bedrohungen.
Fazit
CTEM bietet ein Framework, das Unternehmen bei erfolgreicher Umsetzung dabei unterstützt, ihre Sicherheitslage kontinuierlich und effizient zu optimieren. Bei CTEM handelt es sich jedoch um eine anspruchsvolle Disziplin. Unternehmen, die CTEM umsetzen möchten, sollten daher zunächst ein funktionierendes ASM etablieren.
Insgesamt ist CTEM wie eine Art proaktivere und holistischere Version des Vulnerability Management zu verstehen, die Bedrohungen Ende-zu-Ende betrachtet und die wirklich wichtigen Optimierungsbedarfe hervorhebt.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Studie von Absolute Security
15 Prozent der PCs im Gesundheitswesen patzen beim Security-Test
Security Event Log von Siemens
Verbesserte Cybersicherheit für industrielle Antriebe
Eset Partnerkonferenz DACH
2025 wird für Eset das Jahr der Security-Services
Automatisierte Security-Lösung für MSPs
Elovade erweitert IT-Sicherheitsportfolio um Lywand-Lösung
