За оцінками Gartner системи безперервного управління загрозами є одним з перспективних напрямків ринку кібербезпеки. Постійна еволюція ландшафту загроз та виявлення нових вразливостей, широке використання зловмисниками штучного інтелекту вимагає стратегічної зміни підходу до управління загрозами. Тому майбутнє галузі за проактивною моделлю, що забезпечує оптимізоване використання ресурсів та зусиль, постійний контроль та розвиток систем захисту.
Саме системи Continuous Threat Exposure Management (CTEM) інтегрують два підходи до забезпечення цілісного управління ризиками. Вони спрощують процес виявлення і реагування на вразливості та пропонують структурований підхід до управління загрозами, що дозволяє організаціям швидко адаптуватися до мінливого середовища кібербезпеки. Важливою частиною CTEM є рішення для управління рівнем відкритості до загроз (exposure management). Поняття, що часто ототожнюють з іншим – управлінням вразливостями (vulnerability management). Співзвучність прямого перекладу та певна схожість функціоналу призводять до того, що ці два поняття часто використовуються як синоніми, хоча вони мають суттєві відмінності в фокусі та методах реалізації. Втім обидва ці підходи є важливими елементами комплексної програми кібербезпеки.

Що таке управлінням вразливостями (vulnerability management)?
Управління вразливостями – це систематичний процес ідентифікації, оцінки, пріоритизації та усунення вразливостей в інформаційних системах організації. Він є критично важливим, оскільки слабкі місця у програмному та апаратному забезпеченні або процедурах можуть бути використані кіберзлочинцями для отримання несанкціонованого доступу та нанесення шкоди.
Управління вразливостями починається з ретельного сканування та оцінки цифрових активів організації з метою виявлення потенційних вразливостей. Зазвичай для цього використовуються автоматизовані інструменти, які виявляють застаріле програмне забезпечення, помилки конфігурації або непатчені системи – всі ці фактори можуть слугувати точками входу для зловмисників.
Після виявлення вразливостей системи управління оцінюють пов'язані ризики. Ця оцінка враховує такі фактори, як серйозність вразливості, потенційний вплив на організацію в разі використання зловмисниками та ймовірність виникнення атаки. На основі цієї оцінки вразливості пріоритизуються з метою першочергового усунення критичних.
Далі настає етап усунення вразливостей. Це процес впровадження заходів безпеки для усунення або зменшення потенційної шкоди. Він може включати застосування патчів, оновлення програмного забезпечення, переналаштування систем або підвищення рівня контролю безпеки. У деяких випадках можуть бути впроваджені компенсаційні заходи, якщо термінове усунення вразливостей неможливе.
Управління вразливостями не може бути одноразовим заходом. Це постійний цикл, що вимагає регулярних оновлень і переглядів. Поява нових вразливостей та еволюція існуючих роблять безперервний моніторинг необхідним елементом vulnerability management, адже ситуація змінюється буквально щохвилини.
Варто зазначити, що ефективне управління вразливостями потребує чіткої комунікації між IT-командами, керівництвом та іншими зацікавленими сторонами, щоб усі розуміли як ризики, так і вжиті заходи. Загалом, управління вразливостями є важливою складовою програм кібербезпеки, що допомагає організаціям значно знизити ризик кібератак і зміцнити безпеку.
Що таке управління рівнем відкритості до загроз (exposure management)?
Управління рівнем відкритості до загроз – це стратегічний процес ідентифікації, оцінки та зменшення рівня відкритості активів організації до кіберзагроз. Пропонуючи ширший підхід, ніж управління вразливостями, що зосереджується на конкретних слабкостях у системах, управління рівнем відкритості виявляє та зменшує ризики пов‘язані з зовнішнім доступом до активів організації, що виникають внаслідок вразливості конфігурацій, взаємозв’язків та інших слабких місць.
Exposure management починається з каталогізації всіх цифрових активів, включаючи апаратне та програмне забезпечення, дані та мережеві компоненти. Цей облік допомагає командам безпеки виявити потенційно слабкі місця організації, що потребують особливої уваги та захисту.
Далі рішення управління рівнем відкритості постійно контролює ці активи, щоб оцінити, наскільки вони вразливі до зовнішніх загроз. Це включає в себе розуміння поверхні атаки – всіх точок, через які зловмисник може отримати доступ. Наприклад, інтернет-сервіси, відкриті порти та загальнодоступні бази даних є частинами поверхні атаки організації.
Після ідентифікації вразливостей exposure management допомагає організаціям вжити заходів для їх зменшення. Це може включати переналаштування систем, впровадження контролю доступу або сегментацію мережі для зменшення потенційних негативних наслідків атаки. У деяких випадках це також може передбачати видалення або ізоляцію активів, які не є критично важливими для функціонування, але створюють ризик для безпеки. Звісно, управління рівнем відкритості потребує постійного перегляду та коригування в міру еволюції цифрового середовища організації – з впровадженням нових технологій, зміною бізнес-процесів та адаптацією до специфічних загроз в галузі.
Таким чином, управління вразливостями (vulnerability management) та управління рівнем відкритості (exposure management) є різними, але взаємопов’язаними та важливими частинами безпеки. Отже, виникає запитання, коли слід зосередитися на кожному з цих аспектів?
Як випливає з наведеної нижче таблиці, управління вразливостями є вирішальним для усунення внутрішніх слабкостей, тоді як управління рівнем відкритості до загроз забезпечує більш комплексний підхід, оцінюючи всю поверхню атаки та відповідним чином пріоритизуючи ризики.

Роль CTEM у цьому контексті
Багато рішень кібербезпеки намагаються виконати одне чи кілька завдань в рамках будь-якої програми управління рівнем відкритості до загроз. З моменту свого запровадження у 2022 році, система Continuous Threat Exposure Management (CTEM) від Gartner стала золотим стандартом, який надає необхідні можливості для ефективного управління рівнем відкритості до загроз.
CTEM сама по собі не є рішенням. Ця методика включає п’ять етапів (визначення обсягу, виявлення, перевірка, пріоритизація та мобілізація). Комплексний та безперервний підхід CTEM дозволяє організаціям оптимально здійснювати управління рівнем відкритості до загроз, ідентифікуючи та усуваючи потенційно проблемні області до того, як зловмисники зможуть ними скористатися. Згідно з оцінками Gartner, «До 2026 року організації, які пріоритизують свої інвестиції в безпеку на основі програми безперервного управління рівнем відкритості до загроз, досягнуть зменшення кількості витоків на дві третини». CTEM допомагає організаціям розвивати проактивний, ризикорієнтований та адаптований підхід до зменшення ризиків, у повній відповідності потребам бізнесу.
Таким чином, ефективно поєднуючи управління вразливостями та управління рівнем відкритості до загроз, організації можуть суттєво покращити свою кібербезпекову стратегію. Управління вразливостями спрямоване на усунення внутрішніх слабкостей, тоді як управління рівнем відкритості фокусується на зовнішніх загрозах. Разом вони забезпечують комплексний підхід до виявлення, оцінювання та зменшення ризиків у всій IT-інфраструктурі. Успішна стратегія вимагає чіткого розуміння відмінностей між цими двома рішеннями, а також здатності пріоритизувати й розподіляти ресурси відповідно.
**
Підготовлено за матеріалами Батя Штайнхерц (Batya Steinherz), XM Cyber
Комп’ютерний розум: генеративний штучний інтелект у рішеннях AWS