نجاح باهر: تنفيذ عملية CTEM وفق الخطة الموضوعة

متابعه مكسي نيوز 

….سطح الهجوم لم يعد كما كان من قبل وأصبح من الصعب حمايته.

إن سطح الهجوم المتوسع والمتطور باستمرار يعني أن المخاطر التي تتعرض لها الأعمال قد ارتفعت بشكل كبير وأن الإجراءات الأمنية الحالية تكافح من أجل الحفاظ عليها محمية.

إذا نقرت على هذه المقالة، فمن المحتمل أنك تبحث عن حلول لإدارة هذه المخاطر.

وفي عام 2022، قامت مؤسسة Gartner بصياغة إطار عمل جديد لمعالجة هذه التحديات – إدارة التعرض المستمر للتهديدات (CTEM).

منذ ذلك الحين، أصبح وضع هذا الإطار موضع التنفيذ أولوية عبر العديد من المنظمات من أجل التحسين العميق الذي من المتوقع أن يحققه نحو الحفاظ على مستوى عالٍ من الاستعداد الأمني ​​والمرونة.

“بحلول عام 2026، ستكون المؤسسات التي تعطي الأولوية لاستثماراتها الأمنية بناءً على برنامج إدارة التعرض المستمر أقل عرضة للاختراق بثلاث مرات.” جارتنر، “كيفية إدارة تهديدات الأمن السيبراني، وليس الحلقات”، 21 أغسطس 2023

يوفر CTEM رؤية مستمرة وشاملة لسطح الهجوم والتعرضات الموجودة فيه، واختبار ما إذا كانت الضوابط الأمنية تمنع بشكل فعال الاستغلال المحتمل للتعرضات، ثم تبسيط التعبئة نحو معالجة نقاط الضعف المحددة.

يمكن أن يصبح اعتماد CTEM أمرًا ساحقًا بسرعة لأنه يتضمن تنسيق العديد من الأجزاء المتباينة والمتحركة.

تجميع الأصول الرقمية وأعباء العمل والشبكات والهويات والبيانات عبر المؤسسة. ولذلك، لتبسيط ذلك، قمنا بتقسيم إطار العمل إلى ركائزه، وتوفير خطوات يمكن التحكم فيها والتي ترشدك خلال هذه العملية لجعل إدارة التعرض – قابلة للإدارة.

الركيزة رقم 1: قم بتوسيع نطاق رؤيتك لسطح الهجوم

تعد إدارة الأصول خطوة أساسية في تحديد نطاق البيئة بأكملها، والحصول على جرد كامل للأصول الرقمية وحساسيتها النسبية، إلا أن القدرة على فهم ملف تعريف التعرض لكل أصل تظل تحديًا.

تحصل المنظمات التي تتبنى CTEM على رؤية أكثر واقعية لملف تعريف التعرض لكل أصل رقمي.

يفرض CTEM عقلية المهاجم، حيث بدلاً من محاولة الحصول على جرد شامل، يكون الهدف هو تحليل سطح الهجوم كما يفعل المهاجم، وتقييم كل أصل من حيث توفره وسلامته وسريته.

تبدأ العملية من خلال تحديد نطاق بيئة الأصول الرقمية على مراحل. نوصي بنطاق أولي يتضمن إما:

1. تحديد نطاق الشبكة الداخلية، هذا هو المكان الذي توجد فيه الأجزاء الأكثر أهمية في شبكتك والتي في حالة اختراقها، تمنح المهاجمين إمكانية الوصول إلى “جواهر التاج” الخاصة بك.

2. إن سطح الهجوم الخارجي، والذي يتم دعمه عادةً بواسطة نظام بيئي كبير من الأدوات، هو أيضًا أكثر عرضة للهجوم، حيث تقوم الجهات الفاعلة الخبيثة بالمسح والبحث باستمرار للعثور على شقوق في محيط الشبكة.

في المرحلة الثانية، فكر في توسيع النطاق ليشمل الحماية من المخاطر الرقمية، مما يضيف رؤية أكبر لسطح الهجوم وأدوات SaaS، مما يفسح المجال لاتصال أسهل حول المخاطر، حيث تميل حلول SaaS إلى استضافة بيانات الأعمال الهامة بشكل متزايد.

بمجرد تحديد النطاق، يجب على المؤسسات تحديد ملفات تعريف المخاطر الخاصة بها من خلال اكتشاف التعرضات للأصول ذات الأولوية العالية.

ويجب أن تتضمن أيضًا التكوين الخاطئ للأصول، خاصة فيما يتعلق بالضوابط الأمنية، ونقاط الضعف الأخرى، مثل الأصول غير المُدارة أو بيانات الاعتماد المخترقة.

الركيزة رقم 2: رفع مستوى إدارة نقاط الضعف لديك

لطالما كانت إدارة الثغرات الأمنية (VM) بمثابة حجر الزاوية في استراتيجيات الأمن السيبراني للعديد من المؤسسات، مع التركيز على تحديد وتصحيح التهديدات الخطيرة المعروفة. ومع ذلك، مع التعقيد المتزايد لبيئة تكنولوجيا المعلومات والقدرات المعززة للجهات الفاعلة في مجال التهديد، لم تعد الأجهزة الافتراضية وحدها كافية للحفاظ على وضع الأمن السيبراني للمؤسسة.

ويتجلى هذا بشكل خاص عند الأخذ في الاعتبار العدد المتزايد من مكافحة التطرف العنيف المنشورة كل عام.

في العام الماضي وحده، كان هناك 29,085 مواجهة للتطرف العنيف وفقط 2-7% تم استغلالها من أي وقت مضى في البرية.

مخطط للنجاح: تنفيذ عملية CTEMوهذا يجعل تحقيق التصحيح المثالي هدفًا غير واقعي، خاصة وأن هذا لا يأخذ في الاعتبار الثغرات الأمنية غير القابلة للتصحيح مثل التكوينات الخاطئة، ومشكلات Active Directory، وبرامج الطرف الثالث غير المدعومة، وبيانات الاعتماد المسروقة والمتسربة، وغير ذلك الكثير، والتي ستمثل أكثر من 50% من تعرضات المؤسسات بحلول عام 2026.

يحول CTEM التركيز إلى تحديد أولويات التعرضات بناءً على إمكانية استغلالها وتأثيرها على المخاطر على الأصول المهمة بدلاً من نتائج CVSS أو التسلسل الزمني أو تصنيف البائعين.

وهذا يضمن معالجة الأصول الرقمية الأكثر حساسية لاستمرارية المنظمة وأهدافها أولاً.

ولذلك يعتمد تحديد الأولويات على الثغرات الأمنية التي يمكن استغلالها بسهولة وتوفر في الوقت نفسه إمكانية الوصول إلى الأصول الرقمية الحساسة.

يؤدي الجمع بين الاثنين إلى إعطاء الأولوية لهذه التعرضات، والتي تمثل عادةً جزءًا من جميع حالات التعرض المكتشفة.

التحقق من صحة الركيزة رقم 3 يحول CTEM من النظرية إلى استراتيجية مثبتة

الركيزة الأخيرة لاستراتيجية CTEM، التحقق، هي آلية منع استغلال الثغرات الأمنية.

لضمان الفعالية المستمرة للضوابط الأمنية، يجب أن يكون التحقق هجوميًا بطبيعته، من خلال محاكاة أساليب المهاجم.

هناك أربع إستراتيجيات لاختبار بيئتك كمهاجم، تعكس كل منها التقنيات التي يستخدمها الخصوم:

1. فكر في الرسوم البيانية – بينما يفكر المدافعون في كثير من الأحيان في القوائم، سواء كانت الأصول أو نقاط الضعف، يفكر المهاجمون في الرسوم البيانية، ويرسمون العلاقات والمسارات بين المكونات المختلفة للشبكة.
2. أتمتة الاختبارات – يعد اختبار الاختراق اليدوي عملية مكلفة تتضمن قيام طرف ثالث باختبار ضوابط الأمان الخاصة بك.
3. المنظمات محدودة في النطاق الذي يمكنها اختباره. وفي المقابل، يستفيد المهاجمون من الأتمتة لتنفيذ الهجمات بسرعة وكفاءة وعلى نطاق واسع.
4. التحقق من صحة مسارات الهجوم الحقيقية – لا يركز المهاجمون على نقاط الضعف المعزولة؛ إنهم يفكرون في مسار الهجوم بأكمله.
5. ويعني التحقق الفعال اختبار المسار بأكمله، بدءًا من الوصول الأولي وحتى التأثير المستغل.
6. اختبار بشكل مستمر – عادةً ما يتم إجراء الاختبار اليدوي بشكل دوري، إما مرة أو مرتين سنويًا، ولكن الاختبار في “سباقات السرعة” أو الدورات المتكررة القصيرة، يسمح للمدافعين بالتكيف مع سرعة تغير تكنولوجيا المعلومات، وحماية سطح الهجوم بالكامل من خلال معالجة حالات التعرض عند ظهورها.

CTEM: استثمر الآن – احصد النتائج باستمرار

مع وجود جميع العناصر المختلفة للأشخاص والعمليات والأدوات في استراتيجية CTEM، فمن السهل أن تصاب بالارتباك. ومع ذلك، ضع في اعتبارك بعض الأشياء:

1. 1. أنت لا تبدأ من الصفر. لديك بالفعل إدارة الأصول الخاصة بك وأنظمة إدارة الثغرات الأمنية الخاصة بك، والتركيز هنا هو ببساطة توسيع نطاقها.
   2. تأكد من أن أدواتك تغطي بشكل شامل سطح الهجوم الكامل لبيئة تكنولوجيا المعلومات الخاصة بك ويتم تحديثها باستمرار مع وتيرة التغيير.
   3. اعتبر هذا بمثابة عملية صقل مستمر. يصبح تنفيذ إطار عمل CTEM بمثابة دورة سريعة من الاكتشاف والتخفيف والتحقق من الصحة.
   4. لم يتم إنجاز المهمة حقًا. مع نمو مؤسستك ونضجها، كذلك تنمو البنية التحتية لتكنولوجيا المعلومات لديك.

1. ضع التحقق من الصحة في قلب إستراتيجية CTEM الخاصة بك. ويمنحك هذا الثقة لتعرف أن عملياتك الأمنية ستصمد عند اختبارها.
2. في أي وقت، يجب أن تعرف أين تقف.
3. ربما يتم التحقق من كل شيء، وهو أمر عظيم. وبدلاً من ذلك، يمكن تحديد فجوة، ولكن الآن يمكنك سد هذه الفجوة باتباع نهج توجيهي، مع إدراك تام لما سيكون عليه التأثير النهائي.

يتعلم أكثر حول كيفية تنفيذ استراتيجية CTEM للتحقق أولاً مع Pentera.