One minute
CTEM
Overview
เมื่อวันพฤหัสฯ ที่ผ่านมา ได้ไปร่วมงาน OT-ISAC Roundtable Bangkok โดยทางทีม OT-ISAC จากสิงคโปร์ ร่วมกับ สกมช. มาพูดเรื่อง Continuous Threat Exposure Management (CTEM)
CTEM เป็นคอนเซปต์/เฟรมเวิร์กที่พัฒนาโดย Gartner โดยมีเป้าหมายเพื่อช่วยให้องค์กรสามารถค้นพบและจัดลำดับความสำคัญของความเสี่ยงด้านไซเบอร์ที่ต้องจัดการ ประกอบด้วย 5 ขั้นตอน ที่ทำวนเป็นรอบๆ วนไปเรื่อยๆ ตามนี้
(Source: Gartner) 5 Steps in the Cycle of Continuous Threat Exposure Management
1. Scoping
เริ่มโดยการพิจารณา “attack surface” ขององค์กร โดยต้องดูให้ครอบคลุมมากกว่าแค่การสแกน vulnerability ตัวอย่างเช่น traditional devices, applications, social media account, online code repository, supply chain ฯลฯ ซึ่งในขั้นตอนนี้น่าจะต้องการข้อมูลจากทุกส่วนเกี่ยวข้องในองค์กร
ถ้าไม่รู้จะเริ่มต้นยังไง Gartner แนะนำให้เริ่มจาก external attack surface กับ SaaS security posture
2. Discovery
เริ่มจากการระบุ assets ที่เกี่ยวข้องตาม scope ในข้อ 1 จากนั้นพยายามระบุ exposure หรือความเสี่ยงที่เกิดจาก vulnerability, misconfiguration, supply chain, และความเสี่ยงอื่นๆ
3. Prioritization
เป้าหมายของ CTEM ไม่ใช่การจัดการความเสี่ยงทั้งหมด แต่ให้จัดการความเสี่ยงที่สำคัญกว่าก่อน โดยเน้นที่การจัดการ exposure ของ “crown jewel asset” โดยปัจจัยที่ Gartner แนะนำในการพิจารณาคือ urgency, security, compensating controls, residual attack surface, และ risk tolerance ขององค์กร
จากนั้นก็จัดทำแผนเพื่อจัดการความเสี่ยงโดยไล่ตามลำดับความสำคัญที่เราเรียงได้
4. Validation
ขั้นตอนนี้ทำหน้าที่สองอย่าง อย่างแรกคือพิสูจน์ว่าความเสี่ยงที่เราระบุไว้ในข้อ 2 มันเป็นความเสี่ยง/exposure ที่ถูก exploit ได้จริง เพื่อให้ส่วนที่เกี่ยวข้องเห็นความจำเป็นในการดำเนินการจัดการความเสี่ยง
อย่างที่สองคือเอาไว้ทดสอบ/monitor ว่าการดำเนินการตามแผนในข้อ 3 สามารถจัดการ exposure/ความเสี่ยง นั้นๆ ได้จริง
5. Mobilization
คือการดำเนินการตามแผนที่วางไว้ สิ่งสำคัญคือการสื่อสารแผนให้ส่วนที่เกี่ยวข้องทั้งหมดรับทราบ (security team, IT team, business stakeholders, ฯลฯ) และเข้าใจบทบาทของตัวเอง ว่าต้องทำอะไรบ้าง
Summary
ผลลัพธ์ที่คาดหวังคือ attack surface ในส่วนที่เราค้นพบควรจะลดลงหรือหายไป โดยอาจมีการจัดทำรายงาน หรืออาจจะเป็น dashboard / trend / KPI เพื่อให้เห็นผลของการลดความเสี่ยง/exposure จากการดำเนินการของทีมงาน
References
ctem gartner framework cybersecurity
177 Words
2024-07-29 15:41 (Last updated: 2024-07-29 19:40)
c491f32 @ 2024-07-29