CTEM: Ưu Tiên Hóa và Xác Thực là Yếu Tố Cốt Lõi

Mặc dù đã đầu tư phối hợp về thời gian, công sức, lập kế hoạch và nguồn lực, ngay cả những hệ thống an ninh mạng hiện đại nhất vẫn tiếp tục thất bại. Mỗi ngày. Tại sao?

Không phải vì các đội ngũ an ninh không nhìn thấy đủ. Hoàn toàn ngược lại. Mỗi công cụ bảo mật đưa ra hàng ngàn phát hiện. Vá lỗi này. Chặn cái kia. Điều tra cái nọ. Đó là một cơn sóng thần các chấm đỏ mà ngay cả đội ngũ tinh nhuệ nhất trên thế giới cũng không thể xử lý hết.

Và đây là một sự thật khó chịu khác: Hầu hết chúng không quan trọng.

Khắc phục mọi thứ là điều không thể. Cố gắng làm vậy là một việc làm vô ích. Các đội ngũ thông minh không lãng phí thời gian quý báu để theo dõi các cảnh báo vô nghĩa. Họ hiểu rằng chìa khóa ẩn để bảo vệ tổ chức của mình là biết được những exposures nào thực sự đang gây rủi ro cho doanh nghiệp.

Đó là lý do tại sao Gartner giới thiệu khái niệm Continuous Threat Exposure Management (CTEM) và đặt prioritization (ưu tiên hóa) cùng validation (xác thực) làm trọng tâm. Nó không phải về việc có thêm nhiều bảng điều khiển hay biểu đồ đẹp mắt hơn. Mà là về việc thu hẹp trọng tâm và đối phó với một số ít exposures thực sự quan trọng, đồng thời chứng minh rằng các biện pháp phòng thủ của bạn sẽ thực sự hiệu quả khi và nơi chúng thực sự cần thiết.

Vấn Đề Với Quản Lý Lỗ Hổng Truyền Thống

Quản lý lỗ hổng (Vulnerability management) được xây dựng trên một tiền đề đơn giản: Tìm mọi điểm yếu, xếp hạng chúng, sau đó vá lỗi. Trên lý thuyết, điều đó nghe có vẻ hợp lý và có hệ thống. Và đã có lúc nó hoàn toàn có ý nghĩa. Tuy nhiên, ngày nay, đối mặt với một loạt các mối đe dọa liên tục và chưa từng có, đó là một vòng xoay mà ngay cả đội ngũ mạnh nhất cũng không thể theo kịp.

Mỗi năm, hơn 40.000 Common Vulnerabilities and Exposures (CVEs) được công bố. Các hệ thống chấm điểm như CVSS và EPSS tận tình đánh dấu 61% trong số đó là "critical" (nghiêm trọng). Đó không phải là prioritization, đó là sự hoảng loạn trên quy mô lớn. Những nhãn này không quan tâm liệu lỗi có bị ẩn sau ba lớp authentication, bị chặn bởi các controls hiện có, hay thực tế là không thể exploit được trong môi trường cụ thể của bạn. Đối với chúng, một mối đe dọa vẫn là một mối đe dọa.

Hình 1: Khối lượng lỗ hổng dự kiến

Vì vậy, các đội ngũ tự làm kiệt sức khi theo đuổi những mối đe dọa không thực. Họ tiêu tốn thời gian vào các vulnerabilities sẽ không bao giờ được sử dụng trong một cuộc attack, trong khi một số ít những mối đe dọa thực sự quan trọng lại bị bỏ qua, không được chú ý. Đó là màn kịch an ninh che đậy cho việc giảm thiểu rủi ro.

Trong thực tế, kịch bản rủi ro thực tế lại rất khác. Một khi bạn tính đến các controls an ninh hiện có, chỉ khoảng 10% các real world vulnerabilities (lỗ hổng trong thế giới thực) là thực sự critical. Điều này có nghĩa là 84% các cảnh báo được gọi là "critical" chỉ là sự khẩn cấp giả mạo, một lần nữa làm tiêu tốn thời gian, ngân sách và sự tập trung đáng lẽ phải dành cho các mối đe dọa thực sự.

Giới Thiệu Continuous Threat Exposure Management (CTEM)

Continuous Threat Exposure Management (CTEM) được phát triển để chấm dứt vòng lặp không ngừng. Thay vì khiến các đội ngũ bị choáng ngợp bởi những phát hiện "critical" mang tính lý thuyết, nó thay thế số lượng bằng sự rõ ràng thông qua hai bước thiết yếu.

• Prioritization (Ưu tiên hóa) xếp hạng các exposures dựa trên tác động kinh doanh thực tế, chứ không phải các điểm severity trừu tượng.
• Validation (Xác thực) kiểm tra áp lực các exposures đã được ưu tiên đó đối với môi trường cụ thể của bạn, khám phá những exposures nào mà attackers thực sự có thể exploit.

Một trong hai yếu tố thiếu vắng sẽ thất bại. Chỉ riêng prioritization là những phỏng đoán có căn cứ. Chỉ riêng validation lãng phí thời gian vào những giả thuyết và các vấn đề không đúng. Nhưng cùng nhau, chúng biến các giả định thành bằng chứng và các danh sách dài vô tận thành hành động tập trung, thực tế.

Hình 2: CTEM trong thực tế

Và phạm vi của nó vượt xa các CVEs. Như Gartner dự đoán, đến năm 2028, hơn một nửa số exposures sẽ xuất phát từ các điểm yếu phi kỹ thuật như các ứng dụng SaaS bị cấu hình sai, leaked credentials (thông tin đăng nhập bị rò rỉ) và lỗi do con người. May mắn thay, CTEM giải quyết vấn đề này một cách trực diện, áp dụng chuỗi hành động prioritize-then-validate (ưu tiên hóa sau đó xác thực) có kỷ luật tương tự cho mọi loại exposure.

Đó là lý do tại sao CTEM không chỉ là một framework. Đó là một sự phát triển cần thiết từ việc chạy theo các cảnh báo đến việc chứng minh rủi ro, và từ việc khắc phục mọi thứ đến việc khắc phục những gì quan trọng nhất.

Tự Động Hóa Validation Với Các Công Nghệ Adversarial Exposure Validation (AEV)

CTEM đòi hỏi validation, nhưng validation lại yêu cầu sự tinh tế và bối cảnh adversarial, mà các công nghệ Adversarial Exposure Validation (AEV) mang lại. Chúng giúp cắt giảm thêm các danh sách "priority" bị thổi phồng và chứng minh trong thực tế exposures nào sẽ thực sự mở cửa cho attackers.

Hai công nghệ thúc đẩy quá trình tự động hóa này là:

• Breach and Attack Simulation (BAS) liên tục và an toàn mô phỏng và mô phỏng các kỹ thuật adversarial như ransomware payloads, lateral movement và data exfiltration để xác minh liệu các security controls cụ thể của bạn có thực sự ngăn chặn được những gì chúng được cho là phải làm hay không. Đây không phải là một bài tập một lần mà là một thực hành liên tục, với các kịch bản được ánh xạ tới framework mối đe dọa MITRE ATT&CKⓇ để đảm bảo tính liên quan, nhất quán và bao quát.
• Automated Penetration Testing (Kiểm thử xâm nhập tự động) tiến xa hơn bằng cách xâu chuỗi các vulnerabilities và misconfigurations theo cách mà các real attackers thực hiện. Nó vượt trội trong việc phơi bày và exploiting các attack paths phức tạp bao gồm Kerberoasting trong Active Directory hoặc privilege escalation thông qua các identity systems được quản lý kém. Thay vì chỉ dựa vào một pentest hàng năm, Automated Pentesting cho phép các đội ngũ chạy các bài kiểm tra có ý nghĩa theo yêu cầu, thường xuyên khi cần.

Hình 3: Các trường hợp sử dụng BAS và Automated Penetration Testing

Cùng với nhau, BAS và Automated Pentesting cung cấp cho đội ngũ của bạn góc nhìn của attacker trên quy mô lớn. Chúng không chỉ tiết lộ những mối đe dọa trông có vẻ nguy hiểm, mà còn cho thấy những gì thực sự có thể exploit, detect và defend được trong môi trường của bạn.

Sự thay đổi này rất quan trọng đối với các hạ tầng động, nơi các endpoints liên tục được khởi tạo và ngừng hoạt động hàng ngày, credentials có thể bị rò rỉ qua các ứng dụng SaaS và các configurations thay đổi theo từng sprint. Trong các môi trường ngày càng năng động hiện nay, các đánh giá tĩnh không thể tránh khỏi việc bị tụt hậu. BAS và Automated Pentesting giữ cho validation liên tục, biến việc quản lý exposure từ lý thuyết thành bằng chứng thực tế.

Một Trường Hợp Thực Tế: Adversarial Exposure Validation (AEV) Trong Hành Động

Lấy Log4j làm ví dụ. Khi nó mới xuất hiện, mọi scanner đều báo động đỏ. Điểm CVSS cho nó là 10.0 (Critical), các mô hình EPSS gắn cờ khả năng exploit cao, và các asset inventories cho thấy nó rải rác khắp các môi trường.

Các phương pháp truyền thống khiến các đội ngũ an ninh có một cái nhìn phẳng, chỉ thị họ phải coi mọi trường hợp đều khẩn cấp như nhau. Kết quả? Nguồn lực nhanh chóng bị dàn trải, lãng phí thời gian đuổi theo các bản sao của cùng một vấn đề.

Adversarial Exposure Validation thay đổi câu chuyện. Bằng cách validating trong bối cảnh, các đội ngũ nhanh chóng nhận ra rằng không phải mọi instance của Log4j đều là một cuộc khủng hoảng. Một hệ thống có thể đã có các WAF rules hiệu quả, compensating controls hoặc segmentation làm giảm risk score của nó từ 10.0 xuống 5.2. Việc reprioritization đó chuyển nó từ trạng thái "phải bỏ hết mọi việc ngay lập tức" với còi báo động réo vang, sang "vá lỗi như một phần của các chu kỳ bình thường".

Trong khi đó, Adversarial Exposure Validation cũng có thể tiết lộ kịch bản ngược lại: một misconfiguration có vẻ ưu tiên thấp trong một ứng dụng SaaS có thể trực tiếp dẫn đến sensitive data exfiltration (rò rỉ dữ liệu nhạy cảm), nâng mức độ của nó từ "medium" lên "urgent."

Hình 4: Xác thực lỗ hổng Log4j để xác định điểm rủi ro thực sự của nó

Adversarial Exposure Validation mang lại giá trị thực cho các đội ngũ an ninh của bạn bằng cách đo lường:

• Control effectiveness (Hiệu quả kiểm soát): Chứng minh liệu một exploit attempt có bị chặn, logged (ghi nhật ký) hay ignored (bỏ qua).
• Detection and response (Phát hiện và phản ứng): Cho thấy liệu các đội SOC có đang nhìn thấy hoạt động này và các đội IR có đang ngăn chặn nó đủ nhanh hay không.
• Operational readiness (Sẵn sàng vận hành): Phơi bày các weak links (liên kết yếu) trong workflows, escalation paths (lộ trình leo thang) và containment procedures (quy trình ngăn chặn).

Trong thực tế, Adversarial Exposure Validation biến Log4j, hoặc bất kỳ vulnerability nào khác, từ một cơn ác mộng "critical ở mọi nơi" thành một bản đồ rủi ro chính xác. Nó cho CISOs và các đội ngũ an ninh biết không chỉ những mối đe dọa đang tồn tại, mà còn những mối đe dọa nào thực sự quan trọng đối với môi trường của họ ngày nay.

Tương Lai Của Validation: Hội Nghị Thượng Đỉnh Picus BAS 2025

Continuous Threat Exposure Management (CTEM) mang lại sự rõ ràng rất cần thiết từ hai động cơ hoạt động cùng nhau: prioritization để tập trung nỗ lực, và validation để chứng minh những gì quan trọng.

Các công nghệ Adversarial Exposure Validation (AEV) giúp hiện thực hóa tầm nhìn này. Bằng cách kết hợp Breach and Attack Simulation (BAS) và Automated Penetration Testing, chúng có thể cho các đội ngũ an ninh thấy góc nhìn của attacker trên quy mô lớn, làm nổi bật không chỉ những gì có thể xảy ra, mà còn những gì sẽ xảy ra nếu các lỗ hổng hiện có không được giải quyết.

Để xem các công nghệ Adversarial Exposure Validation (AEV) hoạt động như thế nào, hãy tham gia cùng Picus Security, SANS, Hacker Valley và các lãnh đạo an ninh nổi bật khác tại Hội Nghị Thượng Đỉnh Picus BAS 2025: Định Nghĩa Lại Attack Simulation thông qua AI. Hội nghị thượng đỉnh ảo này sẽ giới thiệu cách BAS và AI đang định hình tương lai của security validation, với những hiểu biết sâu sắc từ các analysts, practitioners và innovators đang thúc đẩy lĩnh vực này tiến lên.

[Đăng ký ngay hôm nay.]