Wollen Sie wissen, was 2024 im Bereich der Sicherheitsoperationen neu und bedeutend ist? Gartners kürzlich veröffentlichter Hype Cycle für Sicherheitsoperationen geht wichtige Schritte, um den Bereich des Continuous Threat Exposure Managements (CTEM) zu organisieren und weiterzuentwickeln. In diesem Jahr wurden drei Kategorien in diesen Bereich aufgenommen: Threat Exposure Management, Exposure Assessment Platforms (EAP) und Adversarial Exposure Validation (AEV).
Diese neuen Kategorien sollen Struktur in die sich stetig wandelnde Landschaft der Technologien zur Verwaltung von Sicherheitslücken bringen. Pentera, das als Beispielanbieter in der neu definierten AEV-Kategorie genannt wird, spielt eine zentrale Rolle bei der Einführung von CTEM, mit einem Fokus auf Sicherheitsvalidierung. Hier ist unsere Einschätzung der CTEM-bezogenen Produktkategorien und ihrer Bedeutung für Sicherheitsverantwortliche in Unternehmen.
Die Branche reift heran
CTEM, ein Konzept, das von Gartner 2022 eingeführt wurde, bietet einen strukturierten Ansatz zur kontinuierlichen Bewertung, Priorisierung, Validierung und Behebung von Sicherheitslücken in der Angriffsfläche eines Unternehmens. Dadurch können Unternehmen auf die kritischsten Risiken schnell reagieren. Der Rahmen, den CTEM bietet, hilft, die ständig wachsende Angriffsfläche überschaubar zu machen.
Die kürzliche Neustrukturierung der Kategorien zielt darauf ab, Unternehmen dabei zu helfen, die Sicherheitsanbieter zu identifizieren, die am besten geeignet sind, CTEM umzusetzen.
Threat Exposure Management umfasst das gesamte Set an Technologien und Prozessen, die zur Verwaltung von Bedrohungsexpositionen im Rahmen eines CTEM-Programms verwendet werden. Es beinhaltet die beiden neuen CTEM-bezogenen Kategorien, die im Folgenden beschrieben werden.
Vulnerability Assessment und Vulnerability Prioritization wurden in einer neuen Kategorie, den Exposure Assessment Platforms (EAP), zusammengefasst. EAPs zielen darauf ab, das Vulnerability Management zu optimieren und die betriebliche Effizienz zu steigern, was wohl der Grund ist, warum Gartner dieser Kategorie eine hohe Nutzenbewertung gegeben hat.
Gleichzeitig vereint Adversarial Exposure Validation (AEV) Breach and Attack Simulation (BAS) mit automatisierten Pentests und Red Teaming zu einer neu geschaffenen Funktion, die darauf abzielt, kontinuierliche, automatisierte Nachweise von Sicherheitslücken zu liefern. AEV wird ein starkes Marktwachstum prognostiziert, da es die Cyber-Resilienz aus der Perspektive eines Angreifers validiert und die IT-Verteidigung des Unternehmens mit realen Angriffstechniken herausfordert.
Was bieten EAPs?
EAPs bieten verschiedene Vorteile, unter anderem machen sie weniger abhängig von CVSS-Scores zur Priorisierung von Schwachstellen. Der CVSS-Score ist nur ein Indikator und sagt nichts darüber aus, wie ausnutzbar eine Schwachstelle im Kontext Ihrer spezifischen Umgebung und Bedrohungslage ist. Die Daten, die innerhalb eines EAP-Setups bereitgestellt werden, sind viel kontextbezogener, mit Bedrohungsinformationen und Informationen zur Kritikalität von Assets. Dies fördert handlungsorientierte Einblicke anstelle einer Überflutung mit Datenpunkten.
Diese zusätzliche Kontextualisierung bedeutet auch, dass Schwachstellen in Bezug auf das Risiko für das Unternehmen gekennzeichnet werden können. Muss ein schlecht konfiguriertes Gerät, das niemand nutzt und das nicht mit etwas Wichtigem verbunden ist, wirklich gepatcht werden? EAPs helfen, den Fokus auf die Behebung von Schwachstellen zu richten, die nicht nur ausnutzbar sind, sondern tatsächlich zu geschäftskritischen Assets führen können.
Der Wert von AEV
Während EAPs Scans und Datenquellen nutzen, um den Kontext von Sicherheitslücken zu liefern, beschränken sie sich auf theoretische Datenanalysen ohne tatsächlichen Nachweis ausnutzbarer Angriffspfade. Genau hier setzt AEV an: Es bestätigt Sicherheitslücken aus der Perspektive eines Angreifers. AEV führt Angriffe durch, um zu sehen, welche Sicherheitslücken in Ihrer spezifischen Umgebung tatsächlich ausnutzbar sind und wie weit ein Angreifer kommen könnte, wenn sie ausgenutzt würden.
Kurz gesagt, AEV bringt Bedrohungen aus der Theorie in die Praxis.
Zusätzlich erleichtert es die Arbeit eines Red Teams erheblich. Red Teams benötigen spezielle Talente und Werkzeuge, die schwer zu entwickeln und zu erwerben sind. Mit einem automatisierten AEV-Produkt können viele Aufgaben eines Red Teams erledigt werden, was den Einstieg erleichtert und eine solide Grundlage für den weiteren Aufbau bietet.
AEV hilft auch, eine große Angriffsfläche überschaubarer zu machen. Durch automatisierte Testläufe, die routinemäßig, konsistent und an mehreren Standorten durchgeführt werden können, wird die Arbeitsbelastung des Sicherheitspersonals reduziert, sodass sich Red Teams nur auf die wichtigsten Bereiche konzentrieren müssen.
Herausforderungen und Chancen
Es gibt jedoch einige Herausforderungen, die Unternehmen überwinden müssen, um das volle Potenzial ihrer Threat Exposure Management-Initiativen auszuschöpfen.
Bei EAPs ist es wichtig, über Compliance und CVSS-Scores hinauszudenken. Es erfordert einen Bewusstseinswandel, weg von der Auffassung, Bewertungen seien lediglich abhakbare Aktivitäten. In diesem begrenzten Kontext werden Schwachstellen als isolierte Bedrohungen aufgeführt, und man läuft Gefahr, den Unterschied zwischen dem Wissen um Schwachstellen und der Priorisierung nach ihrer Ausnutzbarkeit und ihrem potenziellen Schaden zu übersehen.
Auf der AEV-Seite besteht eine Herausforderung darin, die richtige Technologie zu finden, die alle Bereiche abdeckt. Viele Anbieter bieten Angriffssimulationen und/oder automatisierte Penetrationstests an, aber diese Funktionen werden oft als separate Aufgaben angesehen. Sicherheitsteams, die sowohl die Wirksamkeit ihrer Sicherheitskontrollen als auch die tatsächliche Ausnutzbarkeit von Sicherheitslücken validieren möchten, könnten sich dafür entscheiden, mehrere Produkte separat zu implementieren.
Der proaktive Ansatz gewinnt an Bedeutung
Die Weiterentwicklung des CTEM-Frameworks seit seiner Einführung vor zwei Jahren zeigt, dass das Bewusstsein für die Notwendigkeit einer proaktiven Risikominderungsstrategie wächst. Die neue Kategorisierung im Hype Cycle spiegelt die zunehmende Reife der Produkte in diesem Bereich wider und unterstützt die Operationalisierung von CTEM.
Für die AEV-Kategorie empfehlen wir, eine Lösung zu wählen, die BAS- und Pentesting-Funktionen nahtlos integriert, da dies bei den meisten Tools nicht selbstverständlich ist. Suchen Sie nach agentenlosen Technologien, die Angreifertechniken genau nachbilden und gleichzeitig den betrieblichen Aufwand minimieren. Diese einzigartige Kombination stellt sicher, dass Sicherheitsteams ihre Sicherheitslage kontinuierlich und mit realer Relevanz validieren können.
Erfahren Sie mehr darüber, wie Pentera als essenzielles Element einer CTEM-Strategie genutzt wird, die Unternehmen befähigt, eine robuste und dynamische Sicherheitslage aufrechtzuerhalten, die kontinuierlich gegen die neuesten Bedrohungen validiert wird.