Что такое CTEM и Vulnerability Management?
Vulnerability Management (VM) – это процесс идентификации, оценки, приоритизации и устранения уязвимостей в IT-инфраструктуре. Этот подход базируется на регулярном сканировании активов с помощью специализированных инструментов (например, Qualys, Tenable Nessus, Rapid7) и устранении найденных уязвимостей посредством патчей или конфигурационных изменений.
Continuous Threat Exposure Management (CTEM) – это более современный и комплексный подход к кибербезопасности, который учитывает не только уязвимости, но и реальную вероятность их эксплуатации. CTEM использует методики моделирования атак, автоматизированные инструменты (BAS – Breach & Attack Simulation, EASM – External Attack Surface Management) и активное тестирование безопасности для оценки реального уровня угроз.
История: эволюция от VM к CTEM
VM как процесс появился в начале 2000-х годов, когда компании начали осознавать важность управления уязвимостями. В этот период стали популярными сканеры уязвимостей, которые позволяли находить слабые места в системах и предлагать патчи. Однако со временем стало очевидно, что одного лишь исправления уязвимостей недостаточно.
С ростом облачных технологий, IoT, теневых ИТ и сложных кибератак классический VM стал неэффективен. В 2022 году компания Gartner представила концепцию CTEM, подчеркивая необходимость постоянного управления поверхностью атак и моделирования реальных угроз. В отличие от VM, CTEM анализирует не только открытые уязвимости, но и конфигурационные ошибки, несанкционированные сервисы и потенциальные векторы атак, которые могут быть использованы злоумышленниками.
Сравнение CTEM и Vulnerability Management
Критерий Vulnerability Management CTEM (Continuous Threat Exposure Management) Фокус Уязвимости (CVE), их обнаружение и исправление Управление всей поверхностью атак, включая не только CVE, но и конфигурационные проблемы, теневые ИТ, эксплуатируемые пути Подход Реактивный – выявление и устранение известных уязвимостей Проактивный – постоянное тестирование, моделирование атак, имитация действий хакеров Инструменты Сканеры уязвимостей (Qualys, Nessus, Rapid7) BAS (Breach & Attack Simulation), ASM (Attack Surface Management), EASM (External ASM), CTI (Threat Intelligence) Частота проверки Периодические (раз в неделю, месяц, квартал) Непрерывный мониторинг и анализ Приоритетность Оценка CVSS, критичность патчей Оценка реального риска, учитывая активность угроз в дикой природе Охват Внутренние активы, серверы, ПО Вся поверхность атак, включая облака, IoT, SaaS, неуправляемые ресурсы Связь с Red Team Редко пересекаются, разные команды Интеграция с Red Team, Purple Team, постоянные тестирования безопасности Оценка эффективности Закрытые уязвимости, установка патчей Реальное снижение уровня риска и уменьшение потенциальных векторов атак Цель Минимизация известных уязвимостей Максимальное снижение вероятности реального взлома
| Критерий | Vulnerability Management | CTEM (Continuous Threat Exposure Management) |
|---|---|---|
| Фокус | Уязвимости (CVE), их обнаружение и исправление | Управление всей поверхностью атак, включая не только CVE, но и конфигурационные проблемы, теневые ИТ, эксплуатируемые пути |
| Подход | Реактивный – выявление и устранение известных уязвимостей | Проактивный – постоянное тестирование, моделирование атак, имитация действий хакеров |
| Инструменты | Сканеры уязвимостей (Qualys, Nessus, Rapid7) | BAS (Breach & Attack Simulation), ASM (Attack Surface Management), EASM (External ASM), CTI (Threat Intelligence) |
| Частота проверки | Периодические (раз в неделю, месяц, квартал) | Непрерывный мониторинг и анализ |
| Приоритетность | Оценка CVSS, критичность патчей | Оценка реального риска, учитывая активность угроз в дикой природе |
| Охват | Внутренние активы, серверы, ПО | Вся поверхность атак, включая облака, IoT, SaaS, неуправляемые ресурсы |
| Связь с Red Team | Редко пересекаются, разные команды | Интеграция с Red Team, Purple Team, постоянные тестирования безопасности |
| Оценка эффективности | Закрытые уязвимости, установка патчей | Реальное снижение уровня риска и уменьшение потенциальных векторов атак |
| Цель | Минимизация известных уязвимостей | Максимальное снижение вероятности реального взлома |
CTEM выходит за рамки классического Vulnerability Management, ориентируясь на постоянную оценку реальных рисков и эволюцию угроз.
Что должен делать безопасник в 2025 году?
- Не ограничиваться только VM. Управление уязвимостями важно, но этого недостаточно. Хакеры используют не только CVE, но и ошибки конфигурации, социальную инженерию, утечки учетных данных.
- Внедрять CTEM. Начните с инструментов NDR(Network Detection and Response), ASM (Attack Surface Management) и BAS (Breach & Attack Simulation), чтобы лучше понимать реальные угрозы в сети.
- Постоянный мониторинг. Кибератаки развиваются ежедневно, поэтому нужны динамические стратегии защиты, а не статические списки уязвимостей.
- Работать с Red Team и Purple Team. Интеграция тестирования на проникновение и моделирования атак в общую стратегию безопасности поможет выявлять слабые места до того, как их найдут хакеры.
- Использовать Threat Intelligence. Анализируйте актуальные угрозы, учитывая реальные атаки в дикой природе, а не только отчеты о новых уязвимостях.
- Использовать Network Detection and Response (NDR). В постоянном режиме выявляйте Shadow IT, небезопасные настройки протоколов LDAP/LDAPS, HTTP/HTTPS, пароли в открытом виде, аномалии в сети. Анализируйте уже идущие по сети угрозы, учитывая знания о реальных атаках в мире, а не только отчеты об уязвимостях. И блокируйте автоматически, чтобы минимизировать человеческий фактор.
Вывод
В 2025 году кибербезопасность потребует более глубокого и динамичного подхода, чем просто управление уязвимостями. CTEM – это не замена VM, а его логическое развитие. Компании, которые продолжают использовать только классический VM, рискуют упустить реальные угрозы. Переход к CTEM позволяет проактивно снижать риски и строить более надежную защиту от современных кибератак.
Пора перейти от простого закрытия уязвимостей к постоянному управлению киберрисками!