Динамика роста киберрисков вынуждает компании менять подход к обеспечению ИБ с реактивного на проактивный. Gartner разработал под это целую концепцию — «непрерывное управление киберугрозами» (Continuous Threat Exposure Management, CTEM). Давайте разберёмся, что она собой представляет и так ли революционен её дух, как утверждает Gartner.
- Введение
- Шаг № 1. Масштаб (Scope)
- Шаг № 2. Идентификация (Discovery)
- Шаг № 3. Приоритизация (Prioritization)
- Шаг № 4. Валидация (Validation)
- Шаг № 5. Мобилизация (Mobilization)
- Революция или чистый маркетинг?
- Перспективы CTEM в России
- Выводы
Введение
В 2022 году агентство Gartner впервые заговорило о CTEM, сделав акцент на том, что это не класс продуктов или решений, а программа, концепция, стратегический подход, который должен стать базовым для компаний, стремящихся минимизировать риски и сократить количество ИБ-инцидентов в разы.
В 2023 году CTEM был внесен в топ трендов кибербезопасности Gartner со следующим комментарием: «Современные компании обладают огромным количеством потенциальных уязвимостей, настолько огромным, что для их “закрытия” требуется слишком много сил и ресурсов. Задача CISO — совершенствовать методы их оценки, чтобы понять реальный уровень защищённости от угроз. Для этого и нужна программа Continuous Threat Exposure Management (CTEM). Gartner прогнозирует, что к 2026 году организации, которые будут инвестировать в безопасность на основе результатов анализа в рамках реализации программы CTEM, сократят количество инцидентов на две трети».
Что же такое CTEM? Настолько ли революционна программа непрерывного управления противодействием угрозам, как её позиционирует Gartner?
Continuous Threat Exposure Management — это парадигма управления киберрисками, которая предусматривает проактивный и итеративный подход к выявлению и анализу источников опасности, а также к снижению уровня угроз ИБ благодаря непрерывному циклу конкретных шагов: идентификации площади атаки, обнаружения уязвимостей, их приоритизации, последующей валидации и подготовки плана реагирования на случай инцидента.
Тут два основополагающих момента — глубокая аналитика и цикличность. Другими словами, речь идёт о бесконечном процессе, связанном с поиском угроз и подготовкой плана реагирования.
Директору по ИБ (CISO) следует взглянуть на компанию глазами злоумышленника. Мы привыкли смотреть на инфраструктуру с позиции защищающегося и не в состоянии представить, что увидит хакер в нашей системе, какие действия он будет выполнять, до каких ресурсов сможет добраться. Рекомендация Gartner заключается в том, чтобы непрерывно оценивать защиту компании всеми доступными способами, в том числе имитируя атаки, и не ограничиваться теми данными об уязвимостях, которые уже есть в наличии.
Важно, что при оценке рисков, по наставлению Gartner, следует соотносить техническую уязвимость с бизнес-приоритетами. Выводы, полученные в ходе анализа, должны стать основой для разработки графика устранения уязвимостей. Получается, что определять последовательность закрытия брешей должны заинтересованные лица как со стороны технических подразделений, так и со стороны бизнеса.
Итак, как уже упоминалось, программа CTEM состоит из пяти шагов. Расскажем о них подробнее.
Шаг № 1. Масштаб (Scope)
Первый шаг программы CTEM включает в себя определение того, что именно войдёт в цикл. Поскольку любая организация имеет множество бизнес-подразделений (продажи, производство, бухгалтерия, кадры и т. д.), маловероятно, что попытка выполнить CTEM сразу для всей компании приведёт к успешным результатам. Небольшие предприятия могут выбрать сферу охвата в зависимости от функции подразделения (например, отдел продаж или финансовый отдел) или по типу инфраструктуры (например, локальная или облачная). Крупные организации могут счесть необходимым более глубокое разделение функций (например, кредитный конвейер, продажи на местах, управление контрактами и т. д.).
Определение масштаба важно, поскольку позволяет создать своего рода границы и тем самым сократить количество переменных. Кроме того, это сильно упрощает процесс классификации обнаруженных активов на относящиеся и не относящиеся к текущему циклу, причём правильная сегментация позволит идентифицировать активы, которые могут иметь косвенное отношение к текущему циклу, но представлять для него значительный риск в случае успешной атаки.
Процесс определения масштаба предусматривает поиск связей между техническими активами и бизнес-процессами, поэтому требует вовлечения участников как из технических подразделений, так и со стороны бизнеса. Последние определяют бизнес-контекст для установления границ цикла, первые же идентифицируют системы и платформы, которые предположительно являются функциональными компонентами этого контекста. Gartner рекомендует охватывать не только традиционные устройства, приложения и прикладные программы, но и менее очевидные элементы, такие как корпоративные аккаунты в социальных сетях, онлайн-репозитории кода и интегрированные системы цепочки поставок.
Шаг № 2. Идентификация (Discovery)
Этап идентификации требует глубокого понимания технических систем и активов и их риск-профилей в рамках текущего цикла CTEM. На этом этапе служба ИБ определяет площадь атаки с помощью следующих действий:
- Идентификация технических активов и систем.
- Построение связей между этими системами и бизнес-процессами.
- Сканирование на наличие уязвимостей.
- Выявление неправильных конфигураций систем и средств контроля.
- Мониторинг отклонений от установленных базовых показателей и стандартов безопасности.
Идентификация и оценка должны быть постоянным процессом для любой команды по обеспечению безопасности, с непрерывным мониторингом новых систем, платформ и т. д., а также оценкой уязвимостей и поиском отклонений.
Шаг № 3. Приоритизация (Prioritization)
На этапе приоритизации определяются срочность и важность устранения той или иной уязвимости. Решение принимается на основе данных о топологии системы, её конфигурации и значимости для критически важных бизнес-процессов.
Приоритизация должна базироваться не только на статистических показателях, но и на сочетании таких факторов, как серьёзность уязвимости, распространённость эксплойтов, наличие доступных средств защиты и контроля, варианты смягчения последствий и опасность последних для бизнеса. Необходимо также учитывать степень риска воздействия на активы с высокой стоимостью, доступность компенсирующих мер.
Крайне важно оценить вероятность эксплуатации той или иной уязвимости, особенно если речь идёт об общих ресурсах, поддерживающих работоспособность нескольких бизнес-процессов, поскольку факторы из других бизнес-контекстов могут влиять и на контекст текущий. Итоговый график восстановительных работ с установленными приоритетами должен быть нацелен в первую очередь на устранение воздействий с высокой степенью опасности последствий.
Шаг № 4. Валидация (Validation)
На этапе валидации проводятся оценка вероятности успеха атаки, анализ потенциальных «разрушений» и проверка реакции команды ИБ на действия злоумышленника в текущем цикле.
Тут, как правило, требуется провести набор технических исследований, направленных на определение уровня защищённости организации, таких как тестирование на проникновение, симуляция атак и моделирование нарушений, редтиминг и анализ траектории атаки. Затем команда ИБ должна связать результаты этих технических оценок с бизнес-рисками: вместе с представителями бизнеса ей предстоит принять решение, является ли риск допустимым или нет.
В контексте программы CTEM этап валидации формирует и уточняет план действий, необходимых для эффективного обеспечения безопасности и целесообразных с позиции компании.
Шаг № 5. Мобилизация (Mobilization)
На этапе мобилизации происходят назначение задач и распределение ресурсов для приведения в действие плана исправлений и устранения уязвимостей, определённого на этапе валидации.
Этот этап предусматривает оптимизацию процедур утверждения, внедрения и разработки стратегий смягчения последствий, для того чтобы облегчить процесс обеспечения безопасности организации.
Подобное достигается за счёт сотрудничества ИТ, ИБ и бизнеса. Первые определяют возможные стратегии восстановления и их влияние на инфраструктуру. Последние же изучают эту информацию и дают обратную связь: осуществимы ли эти предложения, не противоречат ли они бизнес-контексту. Такой подход требует установления чётких коммуникационных протоколов и формализованных процессов согласования между командами.
Итак, программу CTEM можно считать рабочей, если качественно и в полном объёме осуществляются следующие шаги:
- Определяется площадь атаки для каждого бизнес-подразделения и / или бизнес-процесса.
- Подтверждается возможность эксплуатации уязвимости.
- Определяются возможные пути исправления.
- Прогнозируется потенциальное воздействие риска эксплуатации уязвимости на бизнес.
- Прогнозируется потенциальное влияние способов исправления уязвимости на бизнес.
Революция или чистый маркетинг?
Как вы уже заметили, концепция CTEM включает в себя диагностику проблем (определение масштаба, идентификацию угроз, приоритизацию уязвимостей) и набор конкретных действий по их решению (валидация и исправление).
Делали ли мы это раньше? Делали. Собственно, компании, которые вышли за пределы «бумажной» безопасности, именно этим и занимались. Но! Подавляющее большинство занималось диагностикой проблем для каждой системы отдельно, не всегда выстраивая связи с бизнес-процессами. Более того, диагностика зачастую проводилась без использования инструментов автоматизации, позволяющих обеспечить регулярность и более широкий диапазон охвата. Такое вот лоскутное одеяло, за которое ещё и побороться надо: не факт, что твой сегмент будет следующим в плане проверок.
Gartner в CTEM увязал воедино процессы и решения, которые раньше рассматривал в отдельных классах, таких как Automated Pentest, Breach & Attack Simulation (BAS), Attack Surface Management (ASM), Vulnerability Management (VM) и пр. Потребовалось время для того, чтобы инструментарий достиг определённого уровня зрелости и смог давать дополнительный слой информации, на основе которого можно осуществлять приоритизацию уязвимостей и сужать их перечень до цифры, не вызывающей панику и желание сменить род деятельности. Сегодня уже вполне реально вычленить из «красного полотна» отчётов данные, которые позволяют выявить конкретные векторы атак, определить риски.
Впрочем, как показывает практика, даже не зная о CTEM, российские заказчики используют похожий сценарий, применяя автопентест для приоритизации уязвимостей: данные со сканера обогащаются дополнительной информацией, и департамент ИТ получает от команды ИБ не просто «простыню» отчёта, а документ, в котором указано, какие из критически значимых уязвимостей были проэксплуатированы во время автопентеста и что стало конечной точкой.
Проведение одних только автоматизированных проверок с помощью вышеупомянутых инструментов в отрыве от диагностики, описанной в шагах № 1, 2 и 3, наверняка не даст результата прогнозируемого Gartner, а именно — снижения количества инцидентов на две трети за три года. Тем не менее, продукты классов BAS и Automated Pentest позволяют приоткрыть «чёрный ящик» и увидеть то, что раньше было покрыто мраком.
Перспективы CTEM в России
Популяризация информации о Continuous Threat Exposure Management (CTEM) — это первый и очень важный шаг на пути к тому, чтобы компании начали «примерять» CTEM на себя.
До 2022 года «евангелистами» в сфере инноваций в России были мировые консалтинговые агентства, в частности «большая четвёрка». Они разрабатывали масштабные концепции для крупных предприятий, включали в них все последние тренды, причём на уровне процессов, не уходя в детализацию того, какими конкретными техническими средствами эти процессы должны обеспечиваться. Стратегии крупных предприятий перенимали средние, а затем те же постулаты начинали появляться в документах, которые для своих заказчиков писали системные интеграторы в рамках оказания консалтинговых услуг. Таким образом происходила популяризация того или иного концептуального подхода: сверху вниз.
С учётом того, что на данный момент практика «большой четвёрки» в России приостановлена, подобный вариант уже нельзя считать рабочим. Остаётся, пожалуй, «сарафанное радио» и конференции, статьи в СМИ, публикации на корпоративных сайтах.
Есть ещё один важный момент, который точно скажется на скорости «принятия» концепции CTEM. С 2022 года российский рынок погрузился в рутину замещения зарубежных средств ИБ. Удовлетворение базовых «потребностей» стало приоритетом, фокус внимания заняли приземлённые задачи. В итоге получилось как в целом с жизненными приоритетами человека: есть важное, но не срочное, что в перспективе должно принести много пользы и вывести на новый уровень развития, а есть срочное и «горящее», что не очень-то влияет на стратегию, зато отнимает все силы.
Выводы
Сколько ещё мы будем «тушить пожары», непонятно. Как долго мы будем разрабатывать собственные — отечественные — инструменты автоматизации, тоже неясно. На данный момент на рынке в промышленной эксплуатации есть только один российский BAS — CtrlHack. Ряд других инструментов — в разработке. Если «сверять часы» по Западу, нам потребуется несколько лет. Однако ж так хочется верить в супергероев! И среди отечественных вендоров, и среди заказчиков, чьё участие в процессе создания зрелого решения переоценить невозможно. Ведь именно обратная связь после «боевых» испытаний позволяет создателям дорабатывать свой продукт до нужной кондиции.
Ментально рынок вполне достиг того уровня зрелости, когда уже можно подняться над «земными» задачами и приложить силы к тому, чтобы на новом витке развития пересмотреть своё отношение к существующим процессам, добавив к количеству качество.
Приживётся CTEM на российской почве или нет, покажет время. Тем не менее на вопрос относительно революционности программы CTEM хочется ответить анекдотом: «Нарисовать как Малевич каждый может. Ты попробуй так продать…»
Авторы:
Максим Пятаков, сооснователь CtrlHack
Игорь Чудин, директор по кибербезопасности ITD Group
