Wat elke CISO moet weten over CTEM, ofwel Continuous Threat Exposure Management

CTEM in het kort

• CTEM is een strategisch en flexibel framework voor het continu beoordelen en prioriteren van dreigingen die het grootste risico vormen voor uw organisatie.
• CTEM kan worden gezien als een modulaire aanpak die elementen van zowel vulnerability management als attack surface management kan omvatten. De invulling van CTEM zal variëren afhankelijk van de specifieke dreigingen waarmee een organisatie wordt geconfronteerd, de beschikbare middelen, en de algehele beveiligingsstrategie.
• CTEM biedt een uitgebreid overzicht van alle digitale assets en het bijhorende risico's. Dit vereenvoudigd het identificeren en aanpakken van kwetsbaarheden, zelfs binnen complexe en dynamische IT-omgevingen.
• CTEM voorziet organisaties van geavanceerde tools voor risicobeoordeling en prioritering. Deze tools helpen om de focus te leggen op de meest kritieke kwetsbaarheden, zodat inspanningen gericht worden op de gebieden die de grootste impact hebben.

Een complex digitaal ecosysteem

In een wereld waarin innovatie en digitale transformatie centraal staan, zijn organisaties continu bezig met het verbeteren van hun dienstverlening aan klanten met geavanceerde technologieën. Deze ontwikkelingen bieden niet alleen kansen voor groei en efficiëntie, maar vergroten ook het aanvalsoppervlak voor cybercriminelen, die steeds meer doelen met zwakkere verdediging voor het uitkiezen hebben.

Organisaties opereren vaak binnen een hybride IT-omgeving, inclusief on-premise systemen, operationele technologie & Internet of Things, clouddiensten, legacy-systemen en shadow-IT. Deze diversiteit maakt het uitdagend om een compleet en nauwkeurig beeld te krijgen van de beveiligingsstatus.

Het begrijpen van het digitale ecosysteem met haar dreigingen en kwetsbaarheden is complex. Organisaties gebruiken daarvoor tientallen tools die vaak niet onderling geïntegreerd zijn, wat het moeilijk maakt om een helder overzicht te behouden van de mate van beveiliging van de organisatie.

In 2022 gaf Gartner antwoord op deze uitdagingen middels Continuous Threat Exposure Management (CTEM). Volgens Gartner is het een van de top trends voor 2024 en zullen organisaties die hun beveiligingsinvesteringen baseren op CTEM tegen 2026 een vermindering van twee derde in het aantal succesvolle cyberaanvallen realiseren.

Het opzetten van een CTEM-programma

CTEM is een continu proces dat in de basis bestaat uit vijf fasen: Scoping, Discovery, Prioritization, Validation en Mobilization.

1. Scoping - Het bepalen van het speelveld van het programma

In deze fase wordt de basis voor het programma gelegd. Een nauwkeurig gedefinieerde scope maakt het mogelijk de verbeterinspanningen te richten op de meest cruciale gebieden van de organisatie.

Betrek belanghebbenden zoals IT- en beveiligingsteams, management, en gebruikers van kritieke systemen. Zo ontstaat een holistisch beeld van het digitale ecosysteem dat beschermd moet worden. Kijk hierbij naar waar het risico voor de organisatie ligt.

Voorbeeld: Ter illustratie het fictieve bedrijf Globex Corporation. Stakeholders identificeren dataopslag van klantdata, financiële data en intellectueel eigendom, als meest risicovol. De data bevindt zich onder andere in third-party applicaties, on-premisesystemen en in de cloud. Dit vormt het speelveld ofwel de CTEM-scope.

2. Discovery - Het identificeren van assets en kwetsbaarheden

In deze fase wordt een zo compleet mogelijk beeld verkregen van de aanvalsoppervlakken die kwaadwillenden kunnen uitbuiten. De focus ligt op het verkennen van het digitale speelveld, het potentieel identificeren van eerder onopgemerkte doelen en het analyseren van verschillen in de verdediging.

Een cruciaal onderdeel binnen deze fase is het classificeren geïdentificeerde kwetsbaarheden en het beoordelen van onbekende assets. Nieuwe assets vloeien terug in de scoping-fase, waarin wordt beoordeeld of ze onderdeel moeten zijn van dit programma.

Voorbeeld: Met behulp van hun beveiligingspartner zal Globex Corporation geavanceerde scantechnologieën en dataverzamelmethoden inzetten om informatie over hun assets te verzamelen. Ze ontdekken een aantal onbekende assets, kwetsbaarheden in systemen voor dataopslag en er blijken gebruikersaccounts van beheerders op het darkweb te worden aangeboden.

3. Prioritization - Het leggen van focus op de meest waarschijnlijke en schadelijke dreigingen

In deze fase wordt op basis van een diepgaande risicoanalyse de prioritering van kwetsbaarheden vastgesteld. Op basis van de informatie uit de discovery fase bepaal je welke doelen het meest kwetsbaar zijn. Elke kwetsbaarheid wordt geanalyseerd op basis van de potentiële impact, de kans op misbruik, het belang van assets en de complexiteit van mogelijke aanvallen. Kwetsbaarheden worden eveneens beoordeeld binnen de context van de bedrijfsomgeving. Er wordt rekening gehouden met specifieke bedrijfsprocessen, de IT-architectuur en bestaande beveiligingsmaatregelen.

Kwetsbaarheden die een directe bedreiging vormen voor essentiële bedrijfsfuncties of gevoelige gegevens, krijgen de hoogste prioriteit.

Voorbeeld: Globex Corporation verlaagd de prioriteit voor de kwetsbaarheden in de systemen voor dataopslag, rekening houdend met reeds bestaande netwerkbeperkingsmaatregelen. De misconfiguraties in de cloud krijgen hoge prioriteit vanwege de gemakkelijke exploitatiemogelijkheden. In verband met de hoge impact en kans op misbruik wordt er ook hoge prioriteit gegeven aan de aangeboden beheerdersaccounts op het darkweb.

4. Validation - Het verifiëren van de relevantie en nauwkeurigheid van geïdentificeerde risico's

Validation biedt een realistische inschatting van de exploitatiekansen en de potentiële impact van een aanval. Het kan gezien worden als een filter om de relevantie en nauwkeurigheid van de bevindingen te toetsen. Hierdoor worden middelen voor het mitigeren van geïdentificeerde beveiligingsrisico's efficiënter ingezet.

Dit omvat het verifiëren van de kwetsbaarheden of configuratiefouten. Waar mogelijk wordt getracht de kwetsbaarheden daadwerkelijk te misbruiken in een gecontroleerde omgeving. Op basis van de resultaten worden de bevindingen opnieuw beoordeeld en geprioriteerd. Dit zorgt ervoor dat de meest kritieke bevindingen voorrang krijgen bij Mobilization.

Voorbeeld: Globex Corporation simuleert aanvallen op de gevonden systeemkwetsbaarheden, configuratiefouten in de cloud en bevestigd de authenticiteit van de beheerdersaccounts. De resultaten bevestigen dat deze kwetsbaarheden kunnen leiden tot aanzienlijke datalekken en andere beveiligingsrisico’s, wat de hoge prioriteit rechtvaardigt.

5. Mobilization - Het nemen van actie om de risico's aan te pakken

In de laatste fase worden verdedigers geplaatst op de gebieden met de hoogste prioriteit. Deze fase zorgt ervoor dat alle betrokken partijen op de hoogte zijn van hun verantwoordelijkheden en dat er een plan klaarligt voor de uitvoering van de mitigatie.

Voorbeeld: Globex Corporation stelt een plan op voor een gefaseerde upgrade van de dataopslagsystemen om bedrijfsonderbrekingen te minimaliseren. Het veilig herinrichten en configureren van de cloud, het verbeteren van MFA-toegang, het informeren van de beheerders en het resetten van wachtwoorden.

Hoe mnemonic u kan helpen

mnemonic heeft al diverse organisaties geholpen met het succesvol opzetten van CTEM-programma's. Door expertise en ondersteuning te bieden in elke fase van het CTEM-programma, gecombineerd met ons unieke Argus CTEM-platform, krijgt u volledige zichtbaarheid en controle over de beveiliging van uw organisatie.

Wilt u meer informatie of in gesprek gaan over CTEM, neem dan contact op met mnemonic.

Door: Sander Rood, Strategisch adviseur bij mnemonic