top of page
blog_banner-1980x300.png

【Sevco CTEM 深度解析】打造持續性威脅暴露管理架構,補足弱點管理與滲透測試的不足

  • 作家相片: Estrella Wei
    Estrella Wei
  • 8月8日
  • 讀畢需時 9 分鐘

已更新:9月10日


作者:Sevco Security 團隊 | 編譯:AIShield 編輯部 | 發稿日期:2025 年 8 月 8 日


前言:為何需要持續性威脅暴露管理(CTEM)?


ctem-program-architecture
圖片出自:AIShield

隨著企業 IT 環境日益複雜,資安團隊正面臨著巨大挑戰:攻擊面(attack surface)上的資安暴露點(cyber exposures)持續擴大,使得企業更容易遭受攻擊。傳統上,資安人員大多將心力集中在修補軟體漏洞(CVEs),但現今的威脅已遠不止於此。資安暴露點的範圍已從傳統的 CVE,擴大到包括資安工具或代理程式未部署、錯誤的系統設定、老舊過時的系統(EOL)、影子 IT、雲端服務配置不當,以及程式碼弱點等。面對如此多元的威脅,傳統的弱點管理計畫顯得力有未逮,需要一套更全面、更強大的機制來應對。


持續性威脅暴露管理CTEM)計畫應運而生,為資安團隊提供一個革命性的新方向。它能幫助企業以更全面、更持續的方式管理所有弱點和風險。本文將深入探討 CTEM 的核心原則、運作流程、以及實際執行時可能遇到的挑戰,提供一套可供參考的架構,幫助各團隊建立自己的 CTEM 計畫。


一個成功的 CTEM 計畫,需要整合多種資安解決方案。Gartner 將這類頂尖的解決方案統稱為暴露評估平台(Exposure Assessment Platform, EAP)。顧名思義,我們都很喜歡用縮寫,而 EAP 能將許多功能整合到單一平台,透過與現有工具的整合或內建原生功能,打造一個「單一管理介面(Single Pane of Glass)」。藉此,資安團隊能在此集中管理、採取行動並評估 CTEM 計畫的成效。我們將在後續內容中詳細介紹這些工具。



CTEM 與其他方法的比較


CTEM 的核心流程是:識別、評估、排序、驗證,然後修復企業所有攻擊面的資安暴露點。市面上雖然有其他類似方法,但它們在目標和功能上都有顯著的差異與不足:


  • 弱點管理(Vulnerability Management)/ RBVM(風險式弱點管理):這種方法主要透過掃描或部署代理程式,來發現資產上的軟體弱點,並運用靜態分析來排序與修補。雖然它可以有效處理大量的資產與弱點,但主要侷限於發現和修補 CVEs,無法涵蓋設定錯誤、影子 IT、老舊系統等更廣泛的暴露點。此外,其風險排序往往只考量技術層面的嚴重性,導致許多企業的弱點積壓越來越多,卻難以真正理解這些弱點對企業帶來的真實風險。

  • 紅隊演練(Red Team exercises):這類演練成本高昂,且屬於一次性、手動的測試,目的在於模擬駭客如何利用暴露點突破防線,藉此評估當下企業的防禦能力。它能確認在特定時間點,攻擊者是否能成功發動攻擊,但無法全面性地發現所有潛在風險。

  • 滲透測試(Penetration Testing):與紅隊演練類似,滲透測試透過一套有系統的測試方法,來評估環境風險,其結果只能反映測試當下的狀況。由於滲透測試可能造成系統中斷,因此許多關鍵資產往往不會納入測試範圍。

  • 雲端資安態勢管理(Cloud Security Posture Management,CSPM):這類工具主要針對雲端環境的設定錯誤和合規性風險提供可視性。然而,它無法涵蓋遠端工作者、地端資產,也可能忽略多個雲端供應商之間的交互作用,因此可能無法揭示跨環境的完整攻擊路徑。


持續性威脅暴露管理(CTEM)
CTEM 的核心流程(圖片出自:AIShield)

相較之下,CTEM 則能補足上述方法的不足,它更具包容性、全面性、持續性與真實性


  • 涵蓋所有資產:一個有效的 CTEM 計畫能涵蓋雲端、地端與遠端資產,並根據企業自身的營運情境來評估哪些資產最為關鍵。

  • 持續且全面:CTEM 的精神就是持續不間斷地偵測所有類型的暴露點,從傳統的 CVEs,到設定錯誤、資安工具部署缺口、老舊系統等等。

  • 靈活的風險排序:優秀的 CTEM 計畫會綜合多重因素來排序風險,不僅考量技術嚴重性,還會納入資產關鍵性與可利用性,藉此找出風險最高的暴露點,並透過最少量的修補工作來消除最多的攻擊路徑。

  • 有效的修補:CTEM 不僅排序風險,還會找出最有效的修補方案。舉例來說,部署一個能同時修復多個嚴重 CVEs 的更新檔,會比只針對單一嚴重 CVE 進行修補來得更有效率。


總結來說,CTEM 計畫能持續監控企業環境中的暴露點,並結合漏洞的可利用性與該資產在企業中的業務情境(例如支援的業務流程、使用者權限、包含的資料等)來評估其獨特的風險,最終確保能快速、有效地修補最高風險的暴露點。



持續性威脅暴露管理(CTEM)五大生命週期圖
CTEM 的五大生命週期(圖片出自:AIShield)

CTEM 的五大生命週期


一個成功的 CTEM 計畫會經歷以下五個獨立階段


1. 範疇界定(Scoping)


此階段主要定義組織希望處理的風險與範圍,將 CTEM 流程與業務目標、風險狀況相互對齊。此階段會運用到以下工具:


  • 攻擊面管理(Attack Surface Management,ASM):識別並描繪企業內外部的攻擊面。

  • 外部攻擊面管理(External Attack Surface Management,EASM):專注於外部可接觸的資產,防範外部威脅。

  • 資產攻擊面管理(Cyber Asset Attack Surface Management,CAASM):提供所有資產的統一可視性,為後續評估界定範圍。

  • 輔助工具:例如 SaaS 資安態勢管理(SSPM)數位風險防護(DRP),能針對雲端與數位資產提供額外的風險識別。


2. 探索(Discovery)


探索是 CTEM 的基礎,它能全面盤點企業資產、弱點和控制措施的部署狀況,並將這些資訊整合為一份完整的暴露點清單,範圍遠超過傳統的 CVEs。現代的暴露評估平台(EAP)能匯總多方資料來源,提供資產弱點的整體樣貌。


此階段的重點工作包含:


  • 全面盤點裝置、使用者帳號、軟體、雲端資產、應用程式,以及資安控制措施的部署狀況。

  • 運用弱點評估工具,針對完整的資產清單進行 CVE 掃描。

  • 將所有資安工具的資訊整合到單一介面,打破資料孤島,提升決策效率。

  • 描繪裝置、弱點與使用者之間的關聯性,為每個暴露點增添關鍵的業務情境,從而看見環環相扣的風險。


3. 排序(Prioritization)


此階段會根據弱點的潛在影響與可利用性來進行風險排序,提供標準化、具備情境考量的優先順序,讓資安團隊能精準掌握高風險弱點,並將修補心力集中在最關鍵之處。


排序的核心考量因素:


  • 嚴重性:對機密性、完整性、可用性的影響程度。

  • 威脅等級:是否存在已知的漏洞利用(Exploit)和活躍的攻擊趨勢。

  • 可利用性:在當前環境中,弱點被利用的難易程度。

  • 業務衝擊:暴露點一旦被攻擊,可能造成的財務或營運後果。


一個完整的資產清單是此階段的基石。舉例來說,Sevco 的平台就整合了所有資產的詳細資訊,包含:


  • 存在性:裝置、使用者、軟體、弱點與控制措施的精確清單。

  • 狀態:資產屬性的即時資料,包含資安工具的健康狀況和防護能力。

  • 業務情境:資產關鍵性、使用者存取權限與營運重要性的情報。

  • 緩解控制措施:了解現有資安控制措施的部署狀況,以評估其是否能緩解特定風險。


這種全面的視角能確保風險排序不只考量技術層面的嚴重性,還能納入獨特的業務衝擊。資安團隊的人力有限,這一步能確保他們將資源投入到最有價值、風險最高的暴露點。事實上,光是這一個步驟,就可以寫成一篇完整的白皮書,而我們也確實這麼做了:我們寫了一篇深入探討弱點排序細節的文章。


4. 驗證(Validation)


驗證階段是為了確認已排序的暴露點是否真的構成威脅。透過實際的攻擊模擬,此階段能確認哪些弱點在真實世界中可能被利用。支援此階段的技術包含:


  • 攻擊路徑描繪(Attack Path Mapping):識別並分析攻擊者潛在的入侵路徑。

  • 入侵與攻擊模擬(Breach and Attack Simulation,BAS):測試資安防護措施在模擬攻擊下的有效性。

  • 自動化滲透測試與紅隊演練:透過自動化的攻擊手法,識別可被利用的弱點。


驗證能過濾掉理論上的風險,讓資安團隊專注於真正需要處理的威脅,進而降低營運負擔。


在 Sevco,我們也常談到另一種「驗證」— 修復驗證(Remediation Validation),這部分將在下一個步驟詳細介紹。


5. 動員(Mobilization)


動員階段會將已驗證的暴露點分派給適當的修復團隊。關鍵步驟包含:


  • 根據風險分數指派工作。

  • 運用工單系統(ticketing system)儀表板(dashboard)實現工作流程自動化。

  • 提供現成的緩解策略,簡化修復工作。


例如,Sevco 的平台能整合工單系統,自動建立修復工單,並驗證修補是否真正有效。這裡的有效性,指的不是工單被關閉,而是確認更新檔是否確實部署、設定錯誤的 EDR 代理程式是否修復,或是老舊系統是否真正下線。這能確保修復工作不僅高效,更能確實降低環境中的風險。



持續性威脅暴露管理(CTEM):現代資安防禦的基礎核心
圖片出自:AIShield

CTEM 的實務執行建議


要成功部署 CTEM 計畫,需要遵循以下經過驗證的最佳實踐:


  • 建立完整的資產清單:這是所有有效 CTEM 計畫的基礎。確保所有資產(包含其位置、設定與業務重要性)的紀錄都準確且即時更新。

  • 整合 CTEM 到現有資安流程:將暴露評估與排序嵌入日常資安作業中,形成一個無縫接軌、主動積極的威脅管理方法。

  • 透過實戰模擬驗證威脅:利用入侵與攻擊模擬等攻擊手法,確認已識別的弱點是否可被利用,確保資源投向真實的風險。

  • 以業務影響為優先考量:將修復工作與企業目標對齊,專注於對關鍵資產和核心業務功能構成最高風險的弱點。

  • 盡可能自動化:將資產探索、弱點掃描、工單建立等任務自動化,提高效率並減少人工操作。

  • 促進團隊間的合作:讓 IT、資安和業務部門等所有利害關係人參與其中,確保各方在優先順序上達成共識,並有效實施修復策略。

  • 持續更新與演進:將 CTEM 視為一個持續性流程,隨著不斷演變的威脅情勢而調整,確保防禦措施能有效應對新的弱點與攻擊手法。



CTEM 計畫可能失敗的原因


儘管暴露管理能全面性地管理資安風險,但企業在實施過程中仍可能遇到挑戰。我們在此點出一些常見問題,希望能幫助企業事先規劃,從而有效避開這些阻礙:


  • 不完整的資產清單:若沒有一份準確、即時更新的資產清單,風險排序與修復工作就可能遺漏關鍵環節。

  • 缺乏驗證:若跳過驗證階段,可能會浪費資源在理論上的風險,同時忽略了真正需要處理的威脅。

  • 工具整合不良:工具與平台之間的斷裂,會形成資料孤島,降低 CTEM 計畫的可視性與效率。

  • 未獲得利害關係人的支持:若缺乏高階主管和 IT 團隊等關鍵人物的支持,CTEM 計畫將難以與業務目標對齊,也無法取得必要的資源。

  • 龐大的資料量:如果未能善用自動化與進階分析技術來處理大量的暴露點資料,資安團隊可能將不堪重負,導致回應速度變慢。

  • 修復流程不清晰:若沒有明確的動員流程,團隊可能會延遲處理已驗證的暴露點,讓弱點長時間未被修復。


只要能克服這些潛在的挑戰,企業就能最大化持續性威脅暴露管理計畫的成效,建立更具韌性的資安防禦體系。。



結論


持續性威脅暴露管理代表了資安的未來趨勢,它提供了一套全面且持續的方法來管理弱點和風險。透過遵循「範疇界定、探索、排序、驗證、動員」這五個結構化的生命週期,企業可以建構出強韌的資安防禦。而一份可靠的資產清單,更是整個流程的基石,它能確保在面對不斷演變的威脅情勢時,資安管理工作仍具備可視性與高效性。




🔍資安名詞小辭典(本篇術語快速解釋)


攻擊面管理(Attack Surface Management, ASM)

這是一種持續性的探索、分析、修復與監控所有數位資產(不論是地端、雲端或遠端)的流程,以降低企業整體被駭客攻擊的風險。



外部攻擊面管理(External Attack Surface Management, EASM)

ASM 的一種,專注於從駭客視角來監控和防禦企業面向網際網路的資產,例如網站、伺服器或雲端服務。


資產攻擊面管理(Cyber Asset Attack Surface Management, CAASM)

ASM 的另一種,透過整合企業內部現有的資安工具,提供所有資產(裝置、使用者、應用程式等)的完整清單與可視性。


入侵與攻擊模擬(Breach and Attack Simulation, BAS)

這是一種自動化的資安工具,透過持續模擬真實世界的駭客攻擊手法,來驗證企業的資安防護措施是否有效。


影子 IT(Shadow IT)

指企業員工未經 IT 部門核准,私下使用的硬體或軟體服務,例如個人使用的雲端儲存空間、未經授權的應用程式等,這些都可能成為資安漏洞。


CVE(Common Vulnerabilities and Exposures)

這是一個公開的資安弱點清單,每個已知的軟體弱點都會被賦予一個獨特的編號,以便於追蹤和管理。




想了解 Sevco 如何改變你的暴露管理思維嗎?立即申請試用:contact@aishield.com.tw

體驗全新資安防禦!




本文翻譯自 Sevco Security 原文:“Continuous Threat Exposure Management:The Foundation of Modern Cybersecurity


bottom of page