CTEM: как управлять реальной поверхностью киберрисков, а не списком уязвимостей

От подсчета уязвимостей к управлению экспозицией

В последние годы инструменты поиска уязвимостей стали доступнее и разнообразнее. Автоматизированные сканеры, базы CVE (Common Vulnerabilities and Exposures) и внешние источники позволяют получать большой массив технических находок по инфраструктуре за один цикл проверки.

При этом в профессиональных обсуждениях все чаще поднимается вопрос не столько о количестве выявленных уязвимостей, сколько о том, какие из них действительно имеют значение в конкретной среде. Реальные атаки редко сводятся к одному дефекту и, как правило, опираются на сочетание факторов — доступность сервисов, настройки, права доступа и связи между системами.

На этом фоне обсуждается подход Continuous Threat Exposure Management (CTEM), предложенный аналитиками Gartner как способ по-другому выстроить работу с рисками. В центре внимания здесь не перечень уязвимостей и не формальные показатели их закрытия, а «экспозиция» — состояния инфраструктуры, которые потенциально могут быть использованы в атаке. CTEM предлагает рассматривать безопасность как непрерывный процесс: от выбора приоритетных зон защиты до проверки того, что принятые меры действительно работают в реальных условиях.

Что такое CTEM и чем он отличается от привычных подходов

Continuous Threat Exposure Management (CTEM) обычно описывают не как отдельный инструмент и не как замену существующих средств защиты, а как операционную модель работы с киберрисками. В центре этого подхода — внимание не к списку уязвимостей, а к экспозиции, то есть к состояниям инфраструктуры, которые потенциально могут быть использованы в атаке.

В классических подходах уязвимость, как правило, понимается как конкретный технический дефект — ошибка в программном обеспечении или компоненте. В логике CTEM экспозиция может включать сочетание факторов: уязвимости, настройки среды, доступность сервисов, права учетных записей и связи между системами. Даже при отсутствии формально критичных CVE такая комбинация в отдельных случаях может создавать рабочий путь атаки.

Поэтому в рамках CTEM фокус смещается с вопроса «что у нас уязвимо» к вопросу «что из этого может быть использовано в конкретных условиях и к каким последствиям это может привести». Такой подход предполагает выбор приоритетов с учетом ограниченных ресурсов и попытку сосредоточиться на тех рисках, которые потенциально имеют наибольшее значение.

В материалах Gartner CTEM описывается как непрерывный цикл из нескольких этапов — от определения приоритетных зон защиты до проверки того, что принятые меры действительно работают в реальной среде. Важная особенность этого подхода — необходимость подтверждать выводы на практике, а не ограничиваться формальным закрытием проблем в отчетах.

В результате CTEM можно рассматривать как способ связать разрозненные практики — управление уязвимостями, конфигурациями, учетными записями, анализ угроз и тестирование защиты — в единый процесс, ориентированный не на количество выполненных действий, а на понимание и снижение потенциальной экспозиции.

Пять этапов CTEM: как работает цикл управления экспозицией

CTEM обычно описывается как непрерывный цикл из пяти взаимосвязанных этапов. Смысл здесь не столько в самом перечне шагов, сколько в их последовательности: каждый этап уточняет предыдущий, а цикл повторяется по мере изменения инфраструктуры и условий эксплуатации.

Scoping задает рамки работы с экспозицией. На этом этапе определяется, какие сервисы, данные или учетные записи имеет смысл рассматривать в первую очередь. Речь, как правило, не идет о попытке охватить всю инфраструктуру целиком, а скорее о выборе ограниченного набора зон, где возможные последствия выглядят наиболее чувствительными.

Discovery связано с выявлением активов и состояний в пределах выбранных границ. В контексте CTEM обнаружение обычно выходит за рамки поиска CVE и может включать настройки, права доступа, внешнюю поверхность атаки, SaaS-конфигурации и связи между системами. Важным считается не столько количество находок, сколько их актуальность и привязка к конкретным сервисам.

Prioritization позволяет упорядочить выявленные проблемы. Приоритизация может учитывать вероятность эксплуатации, доступность компонента, значимость затрагиваемых сервисов и наличие компенсирующих мер. Это помогает отделить теоретические риски от тех, которые потенциально могут быть значимыми в текущих условиях.

Validation предполагает проверку этих выводов на практике. На этом этапе оценивается, может ли выявленная экспозиция быть использована в реальной атаке, и как в такой ситуации срабатывают защитные меры и процессы реагирования. Такой подход помогает уточнить приоритеты и выявить расхождения между формальными настройками и фактическим поведением среды.

Mobilization связано с переводом выводов в конкретные действия. Здесь определяется, какие изменения возможны с учетом бизнес-ограничений, кто отвечает за их реализацию и как отслеживается результат. Без этого этапа CTEM рискует остаться аналитическим упражнением без заметного практического эффекта.

В совокупности этот цикл позволяет не просто находить проблемы, а целенаправленно изменять конфигурации, доступы и связи между системами таким образом, чтобы сократить число реально эксплуатируемых сценариев атак.

CTEM и управление уязвимостями: в чем разница

CTEM иногда рассматривают как расширение или развитие управления уязвимостями, однако эти подходы решают разные задачи. Классический «vulnerability management», как правило, сосредоточен на выявлении известных технических дефектов и их устранении в рамках заданных сроков и регламентов.

В логике CTEM внимание смещается с самой уязвимости на экспозицию — возможность ее практического использования в конкретной инфраструктуре. Приоритет при этом может зависеть не только от формальной критичности, но и от доступности сервиса, прав доступа, связей между системами и наличия компенсирующих мер. В таких условиях формально серьезная уязвимость может иметь ограниченное значение, тогда как менее заметная проблема — оказаться более существенной.

Кроме того, CTEM обычно охватывает факторы, которые не всегда входят в контур управления уязвимостями: учетные записи, конфигурации, внешнюю поверхность атаки и доверенные интеграции. Важной особенностью подхода считается и необходимость проверки предположений — попытка подтвердить, что принятые меры действительно снижают риск в эксплуатации, а не только отражаются в отчетах. В этом смысле CTEM можно рассматривать не как замену управления уязвимостями, а как дополнение, которое помогает связать технические находки с возможными сценариями атак и оценкой их практического значения.

В рамках CTEM внимание, как правило, уделяется тем типам экспозиций, которые слабо вписываются в логику «обнаружили уязвимость — устранили». Речь идет о состояниях и связях в инфраструктуре, которые сами по себе не всегда выглядят как отдельная проблема, но могут играть роль в сценариях атак.

Какие экспозиции CTEM помогает увидеть в первую очередь

В рамках CTEM внимание, как правило, уделяется тем типам экспозиций, которые слабо вписываются в логику «обнаружили уязвимость — устранили». Речь идет о состояниях и связях в инфраструктуре, которые сами по себе не всегда выглядят как отдельная проблема, но могут играть роль в сценариях атак.

Учетные записи и секреты.
Учетные данные, токены и сервисные аккаунты в CTEM рассматриваются не изолированно, а в контексте последствий: к каким системам они дают доступ, какие действия позволяют выполнять и какие механизмы защиты ограничивают или не ограничивают их использование.

Ошибки конфигурации и дрейф настроек.
Открытые сервисы, избыточные права и небезопасные настройки в облачных и SaaS-средах часто не связаны с конкретной уязвимостью и не устраняются обновлением. В CTEM такие состояния могут рассматриваться как устойчивая экспозиция, значимость которой оценивается с учетом доступности и контекста.

Внешняя поверхность атаки.
Домены, поддомены, тестовые и забытые сервисы, а также ресурсы, визуально похожие на основные, нередко остаются вне основного контура защиты. В CTEM они могут рассматриваться как потенциальные точки входа, особенно если связаны с аутентификацией или критичными бизнес-процессами.

Доступы третьих сторон и интеграции.
Интеграции с SaaS-сервисами, подрядчики, федеративная аутентификация и API-доступы расширяют поверхность атаки за пределы прямого контроля организации. В CTEM такие связи оцениваются с точки зрения фактического уровня доступа и возможных последствий, а не только формального наличия договора или настройки.

Практический смысл CTEM: какие вопросы он помогает закрыть

Ценность CTEM не в новой терминологии, а в том, что он помогает понять, какие проблемы действительно имеют значение в конкретной инфраструктуре.

Подход позволяет отделить формальные находки от тех ситуаций, которые в реальных условиях могут привести к инциденту, и увидеть, где одно изменение — например, в конфигурации или правах доступа — снижает сразу несколько рисков.

Кроме того, CTEM помогает выявить расхождения между формальной защищенностью и практикой, когда меры безопасности существуют «на бумаге», но слабо влияют на реальные сценарии атак.

В итоге разговор о безопасности смещается от количества уязвимостей к тому, какие сценарии атаки закрыты, какие остаются возможными и какие риски принимаются осознанно.