一篇文章读懂“持续威胁暴露面管理CTEM”|ctem|持续威胁暴露面管理|网络安全

一、持续威胁暴露面管理 (CTEM) 理念的由来

主动安全防御的理念虽然由来已久，但面对日新月异、不断演化的网络攻击，许多安全专家逐渐对其效果产生疑虑。这是因为攻击者拥有充足的时间和资源来策划新颖的攻击策略，使得基于拦截的传统防御手段在实践中往往难以令人满意。

在这种背景下，Gartner研究机构提出了一种创新的主动式安全防御策略—持续威胁暴露管理（CTEM）。与传统的关注攻击事件本身不同，CTEM更注重分析攻击路径，它尝试站在攻击者的立场，深入探究攻击可能发生的潜在位置，以及攻击者可能采用的战术和技巧。由于企业组织经常因为对攻击面的有限可见性而遭受数据泄露，CTEM特别强调了实时发现、及时修复和有效缓解安全威胁的重要性。

二、持续威胁暴露面管理 (CTEM) 是什么？

CTEM（Continuous Threat Exposure Management）是一种集成的迭代方法，优先考虑潜在的处理方法，并不断完善安全态势改进。它强调对组织的安全脆弱性进行持续的识别、评估和管理，以对抗不断变化的网络威胁。CTEM的核心理念是通过持续监控和分析组织的攻击面（包括软件、硬件和网络系统等所有可能受到攻击的点），识别和解决安全漏洞，从而降低组织面临的安全风险。这种方法与传统的以防御为中心的安全策略不同，后者往往只在安全事件发生后才采取行动。CTEM要求组织不断地评估其安全状况，并主动寻找和修复潜在的安全威胁，而不是仅仅依赖于预防措施或在发生安全事件后的反应。

CTEM 不是特定的产品或服务，而是一个通过五个阶段减少网络安全风险的管理框架：

1.范围界定—根据 Gartner 的说法，“为了定义并随后完善 CTEM 计划的范围，安全团队首先需要了解对组织及业务伙伴来说什么是重要的，以及可能会产生哪些影响（例如需要中断线上生产系统）”严重到足以需要合作补救措施。”

2.发现—Gartner 表示，“范围界定完成后，开始发现资产及其风险状况的过程非常重要。应优先发现范围界定过程已确定的业务领域，尽管这不总是其核心驱动能力。暴露发现不仅仅包括漏洞：它可能包括资产和安全控制的错误配置，还包括其他弱点，例如伪造资产或对网络钓鱼测试的不良响应。”

3.优先级划分—在这个阶段，Gartner 表示，“暴露管理的目标不是尝试修复每个已识别的问题，也不是修复最常见的零日威胁，而是识别并解决最有可能被利用的威胁。组织无法处理通过预定义的基本严重性评分来确定风险优先级的传统方式，因为他们需要考虑漏洞利用普遍性、可用的控制措施、缓解选项和业务关键性，以反映对组织的潜在影响。

4.验证—根据 Gartner 的说法，此阶段“是组织验证潜在攻击者如何实际利用已识别的漏洞以及监控系统进行事件反应的过程的一部分。” Gartner 还指出，验证步骤的目标包括通过确认攻击者确实可以利用之前发现的和优先考虑的漏洞来确定可行的成功攻击。

5.全体动员—Gartner 表示，“为了确保成功，CISO必须承认并与所有利益相关者沟通，补救措施无法完全自动化执行。”报告进一步指出，动员工作的目标是通过减少审批、实施流程活动和缓解部署中的摩擦，确保团队将 CTEM 的结果付诸实施。它要求组织定义通信标准（信息要求）并记录交叉标准-团队审批工作流程。

Gartner发布2024年十大战略性技术趋势中“CTEM”排名

CTEM通过鼓励安全团队采用主动的风险管理心态，而非传统模型的被动心态，这将有效改变组织内部和外部攻击面管理模式。正是因为这一特点，Gartner将CTEM列为2024年十大战略性技术趋势中的第二名。根据Gartner的预测，到2026年，成功实施CTEM计划的组织所遭受的网络攻击威胁将会减少三分之二以上。

三、CTEM与CAASM的关系

CAASM（Cyber Asset Attack Surface Management）与CTEM紧密相关，是一种专注于资产管理和安全的策略。CAASM的目标是提供一个全面的视图，包括组织所有的数字和物理资产，以及这些资产的安全状态。这包括识别未管理或未监控的资产，这些资产可能为攻击者提供进入网络的途径。通过识别和管理这些资产，CAASM帮助组织减少其攻击面，从而降低安全风险。

CTEM和CAASM之间的关系可以视为补充和互助的。CTEM专注于识别和管理组织面临的威胁，而CAASM则提供了执行CTEM所需的资产信息和上下文。简而言之，CAASM帮助组织了解其拥有什么资产，这些资产的安全状态如何，而CTEM则利用这些信息来评估和改善组织的安全态势。通过结合使用这两种策略，组织能够更有效地管理其安全风险，实现更高水平的网络安全。

四、天防安全基于“CTEM”与“CAASM”打造全系列安全产品

天防安全作为物联网安全创新者，深耕视频监控网络安全赛道，采用基于持续威胁暴露面管理 (CTEM）和Gartner提出的CAASM网络资产攻击面及EASM外部攻击面管理的新技术理念，推出视频监控安全系列产品和解决方案。天防安全旗下“天防、天慧、天仓、天合、天通、天演、天鉴、天智、天印”等9大产品，从根本上解决“资产管理难、弱口令、非法外联和违规接入、IOT漏洞”等难题，实现从视频监控网络安全的问题发现、安全监测、风险评估、实时预警到全面处置的全生命周期管理。

五、《公安视频图像信息系统安全技术要求安全管理平台》（GA/T 1788.4-2021）标准与“CTEM”

《公安视频图像信息系统安全技术要求安全管理平台》（GA/T 1788.4-2021）是一份针对公安视频图像信息系统安全管理平台制定的安全技术标准。标准中涵盖了数据采集与接入、数据处理与存储、安全防护能力、系统管理和级联管理等功能模块，形成了一个全面而系统的安全防护体系。而CTEM则强调对资产的暴露面和威胁情报进行全面而深入的评估，以揭示潜在的安全风险。这种对资产安全的全方位关注，使得CTEM理念与GA/T 1788.4-2021标准在功能需求上形成了互补。此外从实施策略上看，GA/T 1788.4-2021标准强调对系统的安全事件的及时响应和处理。这种策略确保了安全管理平台的持续运行和有效性。而CTEM则注重从更广的角度看待现代攻击面，通过应用技术和业务上下文来更准确地识别网络安全风险，预测威胁情报。这种全局性的视角有助于发现那些可能被忽视的安全隐患，为安全管理平台提供更全面的安全保障。

《公安视频图像信息系统安全技术要求安全管理平台》（GA/T 1788.4-2021）与CTEM理念的核心目标是一致的，即识别、评估和减少数字与物理资产的安全风险，提高系统的安全防护能力。都强调对系统的全面安全防护和持续的风险评估。