Im Bereich der Cybersicherheit begegnen uns täglich zahlreiche Akronyme: CNAPP, CWPP, CIEM usw. In diesem Artikel werden wir uns mit einem ganz besonderen beschäftigen: CTEM, das für Continuous Threat Exposure Management steht. Obwohl das Konzept von CTEM nicht neu ist und erstmals im Juli 2022 veröffentlicht wurde, befinden wir uns derzeit an einem Punkt, an dem viele Unternehmen versuchen, die Pläne, die sie in den letzten Monaten ausgearbeitet haben, in die Tat umzusetzen. Bei dieser Umsetzung können unvorhergesehene Schwierigkeiten auftreten.
Was bedeutet Continuous Threat Exposure Management (CTEM)?
Continuous Threat Exposure Management stellt keine klassische Technologie dar, die von einem Anbieter erworben werden kann. Vielmehr handelt es sich um ein fortlaufendes, fünfstufiges Programm / Framework, das Unternehmen unterstützt, ihre Verwundbarkeit gegenüber Bedrohungen kontinuierlich zu überwachen, zu evaluieren und zu minimieren. Zusätzlich prüft es, ob die Prozesse zur Analyse und Behebung von Schwachstellen optimal funktionieren. Einem Bericht von Gartner® zufolge "besteht das Ziel von CTEM darin, einen konsistenten, umsetzbaren Plan zur Behebung und Verbesserung der Sicherheitslage zu erhalten, den die Führungskräfte verstehen und die Architekturteams umsetzen können." (Gartner, 21. Juli 2022, Implementierung eines Continuous Threat Exposure Management (CTEM) Programms)
Was sind die Ziele von CTEM?
Im Gartner-Bericht heißt es weiter: "Technologiezentrierte Angriffsflächen und Projekte zur Selbstbewertung von Schwachstellen erzeugen häufig „selten umgesetzte Berichte“ und lange Listen mit allgemeinen Abhilfemaßnahmen. Schwachstellenmanagementprogramme halten dabei kaum mit dem Gesamtvolumen der eigenen Organisation Schritt, was zu schnell wachsenden Angriffsflächen führt". (Gartner, 21. Juli 2022, Implement a Continuous Threat Exposure Management (CTEM) Program) Diese Aspekte, in Kombination mit einigen anderen wichtigen Faktoren wie der Herausforderung, die Sicherheitslage über die Zeit hinweg inmitten einer stetig wachsenden Angriffsfläche aufrechtzuerhalten, führen dazu, dass herkömmliche Ansätze zur umfassenden Sicherheitsgewährleistung zunehmend an Effektivität verlieren.
3 Herausforderungen auf dem Weg zur Erfüllung von CTEM
Klingt alles zu gut um wahr zu sein?
Die Einführung eines CTEM-Programms ist zweifellos eine ausgezeichnete Maßnahme. Dennoch gibt es natürlich einige Hürden bei der Umsetzung, die überwunden werden müssen, um eine erfolgreiche Implementierung zu gewährleisten. Die frühzeitige Berücksichtigung dieser Herausforderungen in der Implementierungsphase kann Zeit und Frustration sparen.
1. Nicht-Sicherheit und Sicherheit auf dieselbe Seite bringen
Es ist allgemein bekannt, dass IT-, Infrastruktur-, DevOps-, Anwendungs- und Sicherheitsteams nicht immer dieselbe Sprache sprechen. Diese Diskrepanz führt zu vielen Problemen und wird besonders schwierig, wenn es um die Implementierung neuer Programme oder Projekte handelt. Bei der Implementierung von CTEM kann dies dazu führen, dass unklar ist, welche Aufgaben den Nicht-Sicherheitsteams zukommen, und dass die Erwartungen an Service Level Agreements nicht übereinstimmen.
Die Schwierigkeit besteht darin, die Notwendigkeit vollständig zu vermitteln, vor allem wenn die Teams bereits mit vielen anderen Projekten beschäftigt sind. Für sie kann CTEM lediglich als ein weiteres Vorhaben erscheinen. Dieses fehlende Verständnis kann davon abhalten, die Einführung entsprechend zu priorisieren.
Mögliche Lösung - Von Anfang an sollten die Mitglieder der Nicht-Sicherheitsteams in die Gespräche einbezogen werden. Es genügt nicht, ihnen lediglich eine Liste von Aufgaben vorzulegen. Stattdessen sollten Sie sich mit ihnen zusammensetzen und die Ziele erläutern, die Sie anstreben. Dadurch erhalten alle Beteiligten ein umfassendes Verständnis davon, was erreicht werden soll.
2. Die Vogelperspektive einnehmen
Ein umfassendes CTEM-Programm umfasst verschiedene Bereiche, von der Cloud bis zum Active Directory, von Software-Schwachstellen bis zur Netzwerksicherheit und praktisch alles, was dazwischen liegt. Jeder dieser Bereiche ist in sich abgeschlossen, mit eigenen Verantwortlichen, Tools und einer Liste spezifischer Probleme, die gelöst werden müssen. Das Hauptziel von CTEM ist es, all diese Bereiche in einer ganzheitlichen Perspektive zu vereinen, in der jeder Bereich die anderen Bereiche informiert. In der Praxis bedeutet dies, dass alle Informationen zusammengeführt werden, um Prioritäten und Verantwortlichkeiten besser zu verstehen.
Dennoch ist es schwierig, ein grundlegendes Verständnis zu erlangen, da jeder Bereich spezifische Fachkenntnisse erfordert. Das Letzte, was man will, ist ein Programm, das zwar sorgfältig entwickelt und umgesetzt wurde, aber die Risiken der einzelnen Bereiche nicht adäquat erfasst - oder schlimmer noch, bestimmte Problembereiche völlig außer Acht lässt.
Mögliche Lösung - Benennung eines zentralen "Ansprechpartners", d.h. eines einzelnen Experten, der die Gesamtperspektive einnehmen kann und weiß, wie alle abgedeckten Bereiche zusammenhängen und sich gegenseitig beeinflussen. Diese Person muss nicht im Detail verstehen, wie jedes Werkzeug funktioniert oder welche spezifischen Sicherheitsprobleme in jeder Kategorie auftreten. Sie sollte jedoch in der Lage sein, das Gesamtbild zu erfassen, um sicherzustellen, dass alle Bereiche vollständig und genau berücksichtigt werden. Auf diese Weise wird sichergestellt, dass alle Experten mit fundiertem und differenziertem Fachwissen kontinuierlich an den verschiedenen Bereichen arbeiten.
3. Überwindung der Diagnoseflut
In Bezug auf die verschiedenen Bereiche, die von CTEM abgedeckt werden, ist ein weiterer wichtiger Punkt zu beachten: Jeder dieser Bereiche hat seine eigenen Werkzeuge und generiert seine eigenen Warnmeldungen. Ein primäres Ziel von CTEM ist daher die Konsolidierung aller Informationen aus diesen Werkzeugen. Ein bemerkenswertes Nebenprodukt ist jedoch ein beträchtliches Maß an Hintergrundrauschen.
Mögliche Lösung - Akzeptieren Sie, dass es fast unmöglich ist, alle Probleme sofort zu lösen. Das bedeutet, dass Sie klare Prioritäten setzen und so effizient wie möglich vorgehen müssen. Konzentrieren Sie sich auf die Bereiche und Schwachstellen, die am ehesten von Angreifern ausgenutzt werden und die größten Auswirkungen auf das Unternehmen haben. Ein schrittweises Vorgehen nach dem Motto "kriechen, laufen, rennen" kann hilfreich sein. Beginnen Sie mit kleinen Schritten, die sich auf einen begrenzten Bereich konzentrieren, und erweitern Sie diesen Bereich, während das Programm reift.
(Möchten Sie die Erfüllung des CTEM noch einfacher machen? Holen Sie sich diese Checkliste mit praktischen Tipps zur Straffung des CTEM hier).
Schlussfolgerung
Laut Gartner werden Unternehmen, welche ihre Sicherheitsinvestitionen auf der Grundlage eines Programms zum kontinuierlichen Expositionsmanagement priorisieren, bis 2026 dreimal seltener von einer Sicherheitsverletzung betroffen sein." (Gartner, 21. Juli 2022, Implement a Continuous Threat Exposure Management (CTEM) Program) Und das ist enorm. Ich hoffe, dass die Unternehmen durch die Beseitigung einiger potenzieller Probleme auf dem Weg dorthin in der Lage sein werden, CTEM nahtlos umzusetzen.
Florian Jörgens
Florian Jörgens ist Chief Information Security Officer. Neben dieser Tätigkeit ist er seit seinem Master-Abschluss 2015 unter anderem an diversen Hochschulen als Dozent, Autor und wissenschaftlicher Mitarbeiter tätig. Weiterhin hält er Fachvorträge rund um die Themen Informationssicherheit, Awareness und Cyber-Security. Florian Jörgens wurde im September 2020 vom CIO-Magazin mit dem Digital Leader Award in der Kategorie „Cyber-Security“ ausgezeichnet.