Entwurf für den Erfolg: Wie man das CTEM-Rahmenwerk umsetzt

Die Angriffsfläche ist nicht mehr das, was sie einmal war, und es wird immer schwieriger, sie zu schützen. Wenn Sie sich fragen, wie Sie das CTEM-Rahmenwerk umsetzen können, bietet dieser Blog umsetzbare Einblicke, die Ihnen helfen, diese Herausforderung effektiv zu bewältigen.

Eine sich ständig erweiternde und weiterentwickelnde Angriffsfläche bedeutet, dass das Risiko für das Unternehmen in die Höhe geschossen ist und die derzeitigen Sicherheitsmaßnahmen Schwierigkeiten haben, es zu schützen. Wenn Sie auf diesen Artikel geklickt haben, ist die Wahrscheinlichkeit groß, dass Sie nach Lösungen suchen, um dieses Risiko zu managen.

Im Jahr 2022 wurde von Gartner ein neuer Rahmen geschaffen, um diesen Herausforderungen zu begegnen – das Continuous Threat Exposure Management (CTEM). Seitdem hat die Umsetzung dieses Rahmens in vielen Organisationen Priorität, da davon ausgegangen wird, dass er zu einer tiefgreifenden Verbesserung bei der Aufrechterhaltung eines hohen Maßes an Sicherheitsbereitschaft und Widerstandsfähigkeit führen wird.

CTEM ist ein Prozess, der eine kontinuierliche und umfassende Sichtbarkeit der Angriffsfläche und des dadurch entstehenden Risikos bietet, indem er testet, ob Sicherheitskontrollen die Gefährdung wirksam verhindern, und die Organisation dazu mobilisiert, die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen.

Die Einführung von CTEM kann schnell überwältigend werden, da es die Koordination vieler unterschiedlicher und sich verändernder Teile umfasst. Es erfordert die Zusammenführung digitaler Assets, Arbeitslasten, Netzwerke, Identitäten und Daten im gesamten Unternehmen. Um dies zu vereinfachen, haben wir das Rahmenwerk in seine Säulen unterteilt und bieten überschaubare Schritte an, die Sie durch diesen Prozess führen, um das Exposure Management zu vereinfachen. Durch die Ausrichtung von CTEM-Initiativen an IKT-Risikomanagement-Rahmenwerken und die Nutzung von Erkenntnissen aus der Angriffsflächenvalidierung können Unternehmen Schwachstellen proaktiv angehen und gleichzeitig die allgemeinen Sicherheitsstrategien verbessern.

Erweitern Sie die Sichtbarkeit der Angriffsfläche

Die Verwaltung von Assets ist ein wesentlicher Schritt, um die gesamte Umgebung zu erfassen und eine vollständige Bestandsaufnahme der digitalen Assets und ihrer relativen Sensibilität zu erhalten. Die Fähigkeit, das Gefährdungsprofil jedes einzelnen Assets zu verstehen, bleibt jedoch eine Herausforderung. Um zu verstehen, wie das CTEM-Rahmenwerk implementiert werden kann, ist es von entscheidender Bedeutung, die Sichtbarkeit Ihrer Angriffsfläche zu erweitern.

Organisationen, die CTEM anwenden, erhalten einen realistischeren Überblick über das Gefährdungsprofil jedes digitalen Assets. CTEM zwingt zu einer Denkweise, bei der man nicht versucht, ein umfassendes Inventar zu erstellen, sondern die Angriffsfläche wie ein Angreifer zu analysieren und jedes Asset im Hinblick auf seine Verfügbarkeit, Integrität und Vertraulichkeit zu bewerten.

Der Prozess beginnt mit einer schrittweisen Erfassung der Umgebung für digitale Assets. Wir empfehlen einen anfänglichen Umfang, der Folgendes umfasst:

1. Scoping des internen Netzwerks, hier befinden sich die kritischsten Teile Ihres Netzwerks, die bei einer Kompromittierung Angreifern Zugang zu Ihren „Kronjuwelen“ verschaffen.
2. Die externe Angriffsfläche, die in der Regel durch ein großes Ökosystem von Tools unterstützt wird, ist ebenfalls anfälliger für Angriffe, da böswillige Akteure ständig scannen und sondieren, um Schwachstellen in den Netzwerkperimetern zu finden.

In einem zweiten Schritt sollten Sie in Betracht ziehen, den Umfang um den Schutz vor digitalen Risiken zu erweitern, wodurch die Angriffsfläche und die SaaS-Tools besser sichtbar werden, was eine einfachere Kommunikation über Risiken ermöglicht, da SaaS-Lösungen zunehmend kritische Geschäftsdaten hosten.

Sobald der Umfang festgelegt ist, sollten Unternehmen ihre Risikoprofile bestimmen, indem sie Schwachstellen bei Assets mit hoher Priorität ermitteln. Dabei sollten auch Fehlkonfigurationen von Assets, insbesondere in Bezug auf Sicherheitskontrollen, und andere Schwachstellen, wie nicht verwaltete Assets oder kompromittierte Anmeldedaten, berücksichtigt werden. Weitere Informationen zum Asset-Management finden Sie in Gartners offizieller CTEM-Rahmenrichtlinie.

Verbessern Sie Ihr Schwachstellenmanagement

Schwachstellenmanagement (Vulnerability Management, VM) ist seit langem der Eckpfeiler der Cybersicherheitsstrategien vieler Organisationen und konzentriert sich auf die Identifizierung und Behebung bekannter CVEs. Bei der Implementierung des CTEM-Frameworks verlagert das Schwachstellenmanagement den Fokus auf die Priorisierung von Schwachstellen auf der Grundlage ihrer Ausnutzbarkeit und Kritikalität. Angesichts der zunehmenden Komplexität der IT-Umgebung und der verbesserten Fähigkeiten von Bedrohungsakteuren reicht VM allein jedoch nicht mehr aus, um die Cybersicherheit des Unternehmens aufrechtzuerhalten.

Dies wird besonders deutlich, wenn man die jährlich steigende Zahl der veröffentlichten CVEs berücksichtigt. Allein im letzten Jahr wurden 29.085 neue CVEs veröffentlicht, von denen nur 2–7 % jemals in freier Wildbahn ausgenutzt wurden. Dies macht es zu einem unrealistischen Ziel, die Patches zu perfektionieren, insbesondere da nicht patchbare Schwachstellen wie Fehlkonfigurationen, Active Directory-Probleme, nicht unterstützte Software von Drittanbietern, gestohlene und durchgesickerte Anmeldedaten und vieles mehr nicht berücksichtigt werden, die bis 2026 für 50 % der Unternehmensrisiken verantwortlich sein werden.

CTEM verlagert den Fokus auf die Priorisierung von Schwachstellen auf der Grundlage ihrer Ausnutzbarkeit und ihrer Risikoauswirkungen auf kritische Assets im Gegensatz zu CVSS-Scores, Chronologie oder Anbieter-Scores. Dadurch wird sichergestellt, dass die für die Kontinuität und die Ziele der Organisation sensibelsten digitalen Assets zuerst angegangen werden. In diesem OWASP-Leitfaden zum Schwachstellenmanagement finden Sie Strategien zur Risikominderung.

Validierung: CTEM von der Theorie zur bewährten Strategie

Die letzte Säule der CTEM-Strategie, die Validierung, ist der Mechanismus, der die Ausnutzung von Sicherheitslücken verhindern soll. Um die fortlaufende Wirksamkeit von Sicherheitskontrollen zu gewährleisten, muss die Validierung offensiv sein, indem sie die Methoden von Angreifern nachahmt. Die Validierung ist von entscheidender Bedeutung, wenn es darum geht, wie das CTEM-Rahmenwerk effektiv umgesetzt werden kann, da sie sicherstellt, dass Sicherheitskontrollen kontinuierlich anhand realer Angriffsmethoden getestet werden.

Es gibt vier Strategien, um Ihre Umgebung wie ein Angreifer zu testen, die jeweils die von Gegnern eingesetzten Techniken widerspiegeln:

1. Denken in Diagrammen – Während Verteidiger oft in Listen denken, sei es von Assets oder Schwachstellen, denken Angreifer in Diagrammen und bilden die Beziehungen und Pfade zwischen verschiedenen Komponenten des Netzwerks ab.
2. Automatisieren Sie Tests: Manuelle Penetrationstests sind ein kostspieliger Prozess, bei dem ein externer Pentester Ihre Sicherheitskontrollen einem Stresstest unterzieht. Unternehmen sind in ihrem Testumfang eingeschränkt. Im Gegensatz dazu nutzen Angreifer die Automatisierung, um Angriffe schnell, effizient und in großem Maßstab auszuführen.
3. Validieren Sie reale Angriffspfade: Angreifer konzentrieren sich nicht auf isolierte Schwachstellen, sondern betrachten den gesamten Angriffspfad. Eine effektive Validierung bedeutet, den gesamten Pfad zu testen, vom ersten Zugriff bis zur Auswirkung der Ausnutzung.
4. Kontinuierlich testen – Manuelle Pentests werden in der Regel in regelmäßigen Abständen durchgeführt, entweder ein- oder zweimal im Jahr. Durch Tests in „Sprints“ oder kurzen, iterativen Zyklen können sich die Verteidiger jedoch an die Geschwindigkeit der IT-Veränderungen anpassen und die gesamte Angriffsfläche schützen, indem sie auftretende Schwachstellen beheben.

Jetzt investieren – kontinuierlich Ergebnisse ernten

Bei all den verschiedenen Elementen von Menschen, Prozessen und Tools in einer CTEM-Strategie kann man leicht den Überblick verlieren. Beachten Sie jedoch Folgendes:

1) Sie fangen nicht bei Null an. Wenn Sie bereits über ein System für das Management von Assets und ein System für das Schwachstellenmanagement verfügen, geht es hier lediglich darum, deren Umfang zu erweitern. Stellen Sie sicher, dass Ihre Tools die gesamte Angriffsfläche Ihrer IT-Umgebung umfassend abdecken und kontinuierlich mit dem Tempo der Veränderungen aktualisiert werden.

2) Betrachten Sie dies als einen Prozess der kontinuierlichen Verfeinerung. Die Umsetzung des CTEM-Rahmens wird zu einem agilen Zyklus aus Entdeckung, Eindämmung und Validierung. Die Arbeit ist nie wirklich getan. Wenn Ihr Unternehmen wächst und reift, wächst auch Ihre IT-Infrastruktur.

3) Stellen Sie die Validierung in den Mittelpunkt Ihrer CTEM-Strategie. So können Sie sicher sein, dass Ihre Sicherheitsmaßnahmen im Ernstfall standhalten. Sie sollten jederzeit wissen, wo Sie stehen. Vielleicht ist alles in Ordnung, was großartig ist. Alternativ könnte eine Lücke identifiziert werden, aber jetzt können Sie diese Lücke mit einem präskriptiven Ansatz schließen, wobei Sie sich der Auswirkungen auf nachgelagerte Bereiche voll bewusst sind.

Erfahren Sie, wie Sie eine validierungsorientierte CTEM-Strategie mit Pentera umsetzen.

Quelle: Pentera-Blog

---

Ihr Kontakt zu uns:

Matan Katz, Regional Development

Hier direkt einen Termin buchen:

https://pentera.oramalthea.com/c/MatanKatz

Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera

Hanspeter Karl, Area Vice President DACH, Pentera

Pentera bei LinkedIn

---

Bild/Quelle: https://depositphotos.com/de/home.html