CTEM in Practice: Prioritization, Validation, and Outcomes That Matter

บทความนี้อธิบายถึง Continuous Threat Exposure Management (CTEM) ซึ่งเป็นแนวทางต่อเนื่องที่ช่วยให้ทีมรักษาความปลอดภัยทางไซเบอร์สามารถระบุ จัดลำดับความสำคัญ และตรวจสอบความเสี่ยงที่สามารถถูกโจมตีได้ โดยใช้ข้อมูลภัยคุกคามและการทดสอบ CTEM เปลี่ยนจากการมองหาภัยคุกคามและช่องโหว่แยกกัน ไปสู่การจัดการความเสี่ยงตามการเปิดเผยข้อมูลที่แท้จริง โดยมีเป้าหมายเพื่อลดความเสี่ยงทางไซเบอร์โดยรวมผ่านวงจร 5 ขั้นตอน: การกำหนดขอบเขต การค้นพบ การจัดลำดับความสำคัญ การตรวจสอบ และการระดมกำลัง

Severity: ข้อมูลทั่วไปด้านกลยุทธ์ความปลอดภัย

System Impact:

• สภาพแวดล้อมโดยรวมขององค์กร (On-premise, Cloud, IT/OT, บริษัทในเครือ)
• สินทรัพย์ (Crown Jewels, Endpoints, Identity Systems, Data Stores)
• ระบบควบคุมความปลอดภัย (EDR, SIEM, WAF)
• กระบวนการและบุคคลในทีมรักษาความปลอดภัย

Technical Attack Steps:

1. Scoping (การกำหนดขอบเขต): ประเมินภัยคุกคามและช่องโหว่ ระบุสินทรัพย์ กระบวนการ และผู้ไม่หวังดีที่สำคัญที่สุด
2. Discovery (การค้นพบ): สร้างแผนที่การเปิดเผยและเส้นทางการโจมตีทั่วทั้งสภาพแวดล้อมเพื่อคาดการณ์การกระทำของผู้ไม่หวังดี
3. Prioritization (การจัดลำดับความสำคัญ): มุ่งเน้นไปที่สิ่งที่ผู้โจมตีสามารถใช้ประโยชน์ได้จริง และสิ่งที่ต้องแก้ไข
4. Validation (การตรวจสอบ): ทดสอบสมมติฐานด้วยการจำลองการโจมตีที่ปลอดภัยและมีการควบคุม
5. Mobilization (การระดมกำลัง): ขับเคลื่อนการแก้ไขและปรับปรุงกระบวนการตามหลักฐาน

Recommendations:

Short Term:

• เริ่มต้นด้วยขั้นตอน ‘Scoping’ เพื่อระบุความเสี่ยงทางธุรกิจสูงสุดที่ความปลอดภัยทางไซเบอร์สามารถส่งผลกระทบได้โดยตรง
• กำหนดขอบเขตของสภาพแวดล้อม (On-prem, Cloud, IT/OT) และประเภทสินทรัพย์ (Crown Jewels, Endpoints, Identity Systems, Data Stores) ที่จะรวมในโปรแกรมการจัดการการเปิดเผย
• ตรวจสอบว่ามีข้อมูลบัญชีรายการสินทรัพย์ (inventory) ที่ถูกต้องแม่นยำหรือไม่
• ระบุผู้คุกคามและวิธีการโจมตีที่เกี่ยวข้องกับอุตสาหกรรมและเทคโนโลยีที่องค์กรใช้
• บูรณาการข้อมูลภัยคุกคามและข้อมูลเหตุการณ์ปัจจุบันเพื่อปรับปรุงขอบเขตให้ละเอียดขึ้น
• กำหนดคำจำกัดความของ ‘การเปิดเผยที่สำคัญ’ โดยพิจารณาจากความสามารถในการโจมตี ผลกระทบทางธุรกิจ ความละเอียดอ่อนของข้อมูล และขอบเขตความเสียหาย
• ประเมินขีดความสามารถเริ่มต้นในการแก้ไขปัญหาภายในขอบเขตที่กำหนด (บุคลากร, เครื่องมือ, SLA)
• ใช้ Threat Intelligence เพื่อระบุช่องโหว่ที่ถูกใช้โจมตีจริง และเชื่อมโยงกับ TTPs ของผู้โจมตี
• ตรวจสอบและปรับปรุงโปรแกรมการตรวจสอบความปลอดภัยให้ครอบคลุมเทคโนโลยี กระบวนการ และบุคลากร

Long Term:

• ดำเนินการตามวงจร CTEM อย่างต่อเนื่องเพื่อปรับปรุงสถานะความปลอดภัยโดยรวม
• บูรณาการกระบวนการและเครื่องมือย่อยต่างๆ เช่น การประเมินช่องโหว่ การจัดการช่องโหว่ การจัดการพื้นผิวการโจมตี การทดสอบ และการจำลองเข้าด้วยกัน
• เพิ่มประสิทธิภาพจากการใช้ข้อมูลภัยคุกคามที่รวบรวมไว้
• พัฒนาโปรแกรมการตรวจสอบความปลอดภัยให้ครอบคลุมถึงกระบวนการและบุคลากร นอกเหนือจากเทคโนโลยี
• มุ่งเน้นการตรวจสอบการเปิดเผยแบบ Adversarial Exposure Validation (AEV) ซึ่งรวมถึงการจำลองการโจมตีและการฝึกซ้อมบนโต๊ะ
• ผลักดันการแก้ไขและปรับปรุงกระบวนการบนพื้นฐานของหลักฐานที่ชัดเจน
• ส่งเสริมให้ CTEM เป็นแนวทางเชิงกลยุทธ์ที่ขับเคลื่อนจากระดับบนสุด เพื่อลดการทำงานแบบไซโลและปรับปรุงเวิร์กโฟลว์ด้านความปลอดภัยทั่วทั้งทีม

Source: https://thehackernews.com/2026/01/ctem-in-practice-prioritization.html