Die fünf Phasen des CTEM

Die fünf Phasen des Continuous Threat Exposure Managements.

Die fünf Phasen des Continuous Threat Exposure Managements. (Bild: Schwarz Digits/Gartner)

In der ersten Phase – Scoping – geht es darum, einen Überblick über die Angriffsfläche und die Relevanz der Unternehmensressourcen zu gewinnen. Beides kann sich im Lauf der Zeit immer wieder ändern. Beim Scoping werden wichtige Angriffsflächen identifiziert. Dafür müssen verschiedene Entscheidungsträger einbezogen werden, zum Beispiel aus IT, Rechtsabteilung, GRC, Entwicklung, Forschung, Produktmanagement und Business Operations.

In der Discovery-Phase wird jede Unternehmensressource auf potenzielle Gefährdungen und das damit einhergehende Risiko hin untersucht. Hier geht es nicht nur um einzelne Schwachstellen, sondern unter anderem auch um Risiken im Zusammenhang mit Active Directory, Nutzeridentitäten und Konfigurationen. Darüber hinaus wird geprüft, wie Schwachstellen im Verbund als Angriffspfade zu relevanten Ressourcen genutzt werden könnten. 

Im nächsten Priorisierungs-Schritt werden die verschiedenen Schwachstellen auf ihr erwiesenes Gefährdungspotenzial in der „echten Welt“ hin analysiert, genauso wie die Relevanz der direkt betroffenen Assets. Dieser Schritt ist enorm wichtig, stehen große Organisationen doch immer wieder vor der Herausforderung, dass sämtliche Schwachstellen rein zahlenmäßig schon nicht zu beheben sind. Die Gründe sind einfach: Zum einen gibt es sehr viele davon und zum anderen verändern sich Unternehmensumgebungen laufend. Ressourcen, Nutzer, Softwarelösungen, Konfigurationseinstellungen usw. kommen und gehen. Bei der Priorisierung wurde früher nur auf Schwachstellen geschaut. Andere Arten von Gefährdungen, etwa im Hinblick auf Nutzeridentitäten und Fehlkonfigurationen, wurden ignoriert – und erst recht wurde nicht ermittelt, wie sich Schwachstellen zu potenziellen Angriffspfaden zusammenfügen. Bei CTEM hingegen wird geprüft, welche Gegenmaßnahmen das größte Potenzial haben, möglichst viel Risiko für kritische Assets abzubauen.

In der Validierungsphase wird dann genau untersucht, wie Angriffe stattfinden können – und mit welcher Wahrscheinlichkeit. Dabei können verschiedene Tools zum Einsatz kommen. In einigen Fällen erfolgt die Validierung, um eine Priorisierung, wie in Schritt 3 beschrieben, zu ermöglichen. In anderen ist die Validierung eher ein fortlaufender Prüfmechanismus für Sicherheitskontrollen oder automatisierte Pentests.

Im letzten Schritt, der Mobilisierung, wird das gesamte Framework aktiviert. Hier gilt es sicherzustellen, dass sich alle Beteiligten einig und über ihre jeweiligen Rollen und Verantwortlichkeiten im Programmkontext bewusst sind. Für einen optimalen Ablauf ist es gut, sowohl das Sicherheitsteam als auch die an Schutzmaßnahmen beteiligten IT-Teams über den Wert der getroffenen Maßnahmen (das heißt die Risikominderung) aufzuklären. Zudem ist es wichtig, die Verbesserungen der Sicherheitslage im weiteren Verlauf verständlich zu dokumentieren.

 

2 / 3

Ähnliche Beiträge