Các đội ngũ an ninh mạng ngày càng mong muốn vượt ra ngoài việc chỉ xem xét các threats và vulnerabilities một cách riêng lẻ. Vấn đề không chỉ là những gì có thể sai sót (vulnerabilities) hay ai có thể tấn công (threats), mà là nơi chúng giao thoa trong môi trường thực tế của bạn để tạo ra các exposure thực sự, có thể bị exploit.
Những exposure nào thực sự quan trọng? Kẻ tấn công có thể exploit chúng không? Các biện pháp phòng thủ của chúng ta có hiệu quả không?
Continuous Threat Exposure Management (CTEM) có thể cung cấp một cách tiếp cận hữu ích cho các đội ngũ an ninh mạng trong hành trình hướng tới quản lý threat/vulnerability hoặc exposure hợp nhất.
CTEM thực sự có nghĩa là gì?
CTEM, theo định nghĩa của Gartner, nhấn mạnh chu trình 'liên tục' trong việc xác định, ưu tiên và khắc phục các exploitable exposure trên attack surface của bạn, từ đó cải thiện tổng thể tư thế bảo mật. Đây không phải là một lần quét duy nhất và cho ra kết quả thông qua một công cụ; đó là một mô hình hoạt động được xây dựng dựa trên năm bước:
- Scoping – đánh giá các threats và vulnerabilities của bạn và xác định những gì quan trọng nhất: assets, processes và adversaries.
- Discovery – Lập bản đồ các exposure và attack paths trên toàn môi trường của bạn để dự đoán hành động của kẻ thù.
- Prioritization – Tập trung vào những gì kẻ tấn công có thể exploit một cách thực tế và những gì bạn cần sửa chữa.
- Validation – Kiểm tra các giả định bằng các controlled attack simulations an toàn.
- Mobilization – Thúc đẩy remediation và cải tiến process dựa trên bằng chứng.
Lợi ích thực sự của CTEM là gì?
CTEM chuyển trọng tâm sang quản lý exposure dựa trên rủi ro, tích hợp nhiều sub-processes và các công cụ như vulnerability assessment, vulnerability management, attack surface management, testing và simulation. CTEM hợp nhất exposure assessment và exposure validation, với mục tiêu cuối cùng là các đội ngũ bảo mật có thể ghi lại và báo cáo tác động tiềm tàng đến việc giảm cyber risk. Công nghệ hoặc các công cụ chưa bao giờ là vấn đề; trên thực tế, chúng ta đang có rất nhiều công cụ trong không gian cybersecurity. Đồng thời, với nhiều công cụ hơn, chúng ta đã tạo ra nhiều siloes hơn, và đây chính xác là điều mà CTEM đặt ra để thách thức – liệu chúng ta có thể hợp nhất quan điểm của mình về threats/vulnerabilities/attack surfaces và hành động chống lại các exploitable exposure thực sự để giảm tổng thể cyber risk không?
Vai trò của Threat Intelligence trong CTEM
Hàng nghìn vulnerabilities được báo cáo mỗi năm (con số này là hơn 40.000 vào năm 2024), nhưng ít hơn 10% thực sự bị exploit. Threat Intelligence có thể giúp bạn tập trung đáng kể vào những vấn đề quan trọng đối với tổ chức của bạn bằng cách kết nối vulnerabilities với các adversary tactics, techniques, and procedures (TTPs) được quan sát trong các chiến dịch đang hoạt động. Threat intelligence không còn là một yếu tố tốt-nên-có mà là một yếu tố cần-phải-có. Nó có thể giúp bạn xác định Priority Intelligence Requirements (PIRs): bối cảnh, threat landscape quan trọng nhất trong môi trường của bạn. Threat intelligence được ưu tiên này cho bạn biết những flaws nào đang bị weaponized, chống lại những mục tiêu nào và trong điều kiện nào, để bạn có thể tập trung remediation vào những gì có thể bị exploit trong môi trường của bạn, chứ không phải những gì có thể xảy ra về mặt lý thuyết.
Câu hỏi bạn nên đặt ra cho đội ngũ threat intelligence của mình là: Bạn có đang tối ưu hóa giá trị từ dữ liệu threat mà bạn đang thu thập hôm nay không? Đây là lĩnh vực cải tiến/thay đổi đầu tiên của bạn.
Giảm rủi ro dựa trên xác thực (Validation Driven Risk Reduction)
Threat intelligence được ưu tiên cần được theo sau bởi testing và validation để xem các security controls của bạn hoạt động như thế nào trước những exploitables và attack paths có khả năng xảy ra nhất, và nó có thể tác động đến tổ chức của bạn như thế nào. Một yếu tố quan trọng ở đây là chương trình security validation của bạn phải vượt ra ngoài công nghệ; nó cũng nên bao gồm processes và con người. Một EDR, SIEM hoặc WAF được tinh chỉnh hoàn hảo chỉ mang lại sự bảo vệ hạn chế nếu incident workflows của bạn không rõ ràng, playbooks đã lỗi thời hoặc escalation paths bị gián đoạn dưới áp lực. Đây là nơi chúng ta mong đợi sự hội tụ của breach & attack simulation, tabletop exercises, automated pen-testing, v.v., hướng tới Adversarial Exposure Validation (AEV).
Tránh các thuật ngữ cường điệu (Avoid the Buzzwords)
CTEM không phải là một sản phẩm; đó là một cách tiếp cận chiến lược sử dụng các metrics dựa trên kết quả để quản lý exposure. Việc triển khai nó cũng không thuộc về một đội ngũ/chức năng bảo mật duy nhất. Nó cần được thúc đẩy từ cấp cao nhất, phá vỡ các siloes và cải thiện security workflows giữa các đội ngũ. Bắt đầu với giai đoạn 'Scoping' để quyết định những gì cần đưa vào chương trình exposure management của bạn và nơi nào cần tập trung trước:
- Đâu là những business risks hàng đầu của chúng ta mà cybersecurity có thể trực tiếp tác động?
- Môi trường nào (on-prem, cloud, IT/OT, subsidiaries…) và các loại asset nào (crown jewels, endpoints, identity systems, data stores…) nằm trong scope?
- Bạn có cái nhìn chính xác về inventory này không?
- Những threat actors và attack methods nào liên quan nhất đến ngành và tech stack của chúng ta?
- Chúng ta sẽ tích hợp threat intel và incident data hiện có như thế nào để tinh chỉnh scope?
- Chúng ta sẽ định nghĩa 'critical exposure' như thế nào (dựa trên exploitability, business impact, data sensitivity, blast radius, v.v.)?
- Chúng ta có khả năng validate các công cụ, con người và processes ngày hôm nay không?
- Capacity ban đầu của chúng ta để khắc phục các vấn đề trong scope này là gì (con người, tooling, SLAs)?
Đây không phải là một danh sách đầy đủ, nhưng những câu hỏi này giúp xác định một scope CTEM thực tế, phù hợp với rủi ro có thể thực hiện và đo lường được, thay vì một nỗ lực quá rộng nhưng không thể quản lý.
Tóm lại:
CTEM hoạt động khi nó trả lời các câu hỏi quan trọng, bằng bằng chứng:
Điều gì có thể gây hại cho chúng ta? Nó sẽ xảy ra như thế nào? Chúng ta có thể ngăn chặn nó không?
Để biết thêm tài nguyên về exposure management, threat intelligence và validation practices, hãy truy cập Filigran.
