ההבדל הבולט ביותר בין CTEM לבין ניהול פגיעויות הוא אילו פגיעויות נכללות– וכיצד הן מאומתות.
תוכניות CTEM מגדירות מה ייכלל בתחום הסקירה בהתאם להשפעה העסקית. הן קובעות מה צריך להעריך ולבחון על סמך שאלות כמו: "איך הנכס הזה עלול לגרום להפרעה אם ייפרץ?" ולאחר מכן מוודאות האם הפגיעויות אכן מהוות סיכון ממשי
תוכניות לניהול פגיעויות לרוב מגדירות את תחום הסקירה בצורה כללית הרבה יותר – הן מתחילות בזיהוי פגיעויות בנכסים, ורק לאחר מכן מנסות לקשר ביניהן לבין סיכונים עסקיים. צוותים לניהול פגיעויות שואלים את עצמם: "כמה CVEs יש לנו בסביבה?" הם מאתרים CVEs לפי גרסאות, אך אינם מוכיחים שניתן לנצל אותן בפועל.
השינוי הזה באופן שבו CTEM מגדיר את תחום הסקירה, יחד עם היכולת להוכיח שפגיעויות אכן ניתנות לניצול, ובשילוב עם ההבדלים הנוספים שיפורטו בהמשך—מובילים להפחתת סיכונים טובה יותר לעומת שיטות ניהול הפגיעויות המסורתיות.
בשורה התחתונה: שימוש בגישת CTEM לצמצום סיכוני סייבר הוא פתרון יעיל ויציב יותר לאורך זמן לעומת ניהול פגיעויות מסורתי.
מעבר לרשימת הנכסים: הגדרת תחום רחבה ומציאותית יותר
כפי שצוין קודם, גישת CTEM מציעה הסתכלות רחבה ומציאותית יותר על מה שנחשב כ"בתחום" ומה שבאמת מהווה סיכון – בהשוואה לניהול פגיעויות מסורתי.
תוכניות לניהול פגיעויות לרוב מתמקדות בנכסים שנמצאים בתוך הרשת הארגונית או כאלה שמוכרים למנהלי הרשת.
הסריקות והבדיקות מוגבלות בדרך כלל לאתרים, אפליקציות ושרתים שמופיעים ברשימת הנכסים – כלומר כאלה שהארגון מנהל או לפחות מודע אליהם. אך הגישה הזו מתעלמת מהסיכונים העכשווים של עולם ה-IT.
המציאות היא שרוב הרשתות הארגוניות גדולות הרבה יותר ממה שבעלי הנכסים עצמם יודעים.
נתונים שדלפו, אפליקציות "Shadow IT" (שלא אושרו ע"י הארגון), שירותי SaaS, ומקורות סיכון אחרים שנמצאים מחוץ ל"חומות" הארגון – כל אלה לרוב אינם מזוהים ולכן גם אינם מטופלים במסגרת תוכניות ניהול הפגיעויות המסורתיות.
דווקא אותם נכסים שאינם מנוהלים הם הגורם לאחוז הולך וגדל של תקריות אבטחת מידע.
על פי דו"ח הפריצות האחרון של IBM, כ-35% מהפריצות בשנה האחרונה כללו "shadow data" – כלומר מאגרי מידע שהארגון לא היה מודע לקיומם. עוד מציין הדו"ח שפריצות שמתחילות בתקיפה של סיכונים שהארגון כלל לא ידע עליהם – לוקחות הכי הרבה זמן לאיתור ולתיקון.
לכן, בזמן שניהול פגיעויות מסורתי מתמקד בעיקר ב:
• שרתים
• תחנות עבודה ומכשירים מוכרים
• מכונות וירטואליות (בענן או מקומית)
CTEM מרחיב את הכיסוי גם ל:
• זהויות ופרטי גישה
• אפליקציות SaaS (מוכרות ולא מוכרות)
• תשתיות ענן
• מאגרי קוד
• ועוד
אימות סיכונים באמצעות בדיקה בפועל
בניגוד לניהול פגיעויות מסורתי, גישת CTEM משתמשת בבדיקות פעילות (Active Testing) כדי לאמת סיכונים – ומוסיפה שכבת סינון נוספת ומשמעותית.
גם בסביבה יחסית פשוטה שבה יש כמה מאות מכשירים בלבד, עלולות להתקיים בו-זמנית אלפי פגיעויות (CVEs). מכשירים מתיישנים, נעלמים, מאבדים תמיכה בעדכוני אבטחה – והרשימה רק מתארכת. אם צוות IT היה פותח קריאה לכל CVE ידוע או אפשרי – לא היה לו זמן להתעסק בשום דבר אחר.
לכן, הפתרון היחיד שבאמת אפשרי בטווח הארוך עבור צוותי האבטחה הוא להתעלם מחלק גדול מהסיכונים שהם מזהים. אבל השאלה החשובה היא: מאילו באמת בטוח להתעלם?
ההערכות משתנות, אבל בכל שנה רק פחות מ-1% מה-CVEs מנוצלים בפועל על ידי תוקפים. ובכל סביבה ספציפית, האחוז הזה אפילו נמוך יותר. לרוב, מה שהופך פגיעות למסוכנת הוא לא הדירוג שלה, אלא ההקשר – לדוגמה, למה הנכס הפגיע מחובר.
יש כלים שמנסים לעקוף את האתגר הזה באמצעות מתן ציון סיכון עצמאי לכל פגיעות. אבל גם אם פגיעות נראית פחות מסוכנת על פניו, היא עדיין יכולה להוות איום משמעותי. למשל: פגיעות עם ציון גבוה במכשיר שלא מחובר כלל לאינטרנט שונה מאוד מפגיעות עם ציון בינוני במכשיר שמקבל תעבורה נכנסת מהאינטרנט באופן קבוע.
הדרך היחידה לדעת אילו סיכונים באמת מסוכנים ואילו אפשר להניח בצד – היא לבדוק אותם בפועל. וזה בדיוק מה ש-CTEM עושה. תוכניות CTEM מאמתות סיכונים על ידי סימולציה של תקיפות אמיתיות – באותן שיטות שתוקפים אמיתיים היו משתמשים בהן באותו הקשר.
רוב הארגונים שמיישמים CTEM עושים זאת באמצעות אוטומציה של תהליך הבדיקה – על גבי פלטפורמות ייעודיות. למשל, חברת הרכב Porsche משתמשת בטכנולוגיית הניטור האקטיבי של פלטפורמת Element Security כדי לאמת בזמן אמת את קיומן של פגיעויות בסביבת ה-IT שלה.
כתוצאה מכך, החברה, כמו ארגונים אחרים שמשתמשים ב-CTEM של Element Security – יכולה להבין כיצד הנכסים שלה שפונים לאינטרנט יגיבו למתקפות ממוקדות. זה מאפשר לה להתמקד בטיפול נקודתי באותם סיכונים שצפויים באמת להשפיע על רמת החשיפה שלה.
טיפול בסיכונים באמצעות שלב ההנעה (Mobilization)
צוות ניהול פגיעויות עשוי לאתר סיכונים – אבל מי בעצם אחראי לטפל בהם? להניע את בעלי הנכסים לפעולה ולעקוב אחר ביצוע התיקונים בפועל זו משימה מאתגרת במיוחד.
גישת CTEM מתמודדת מראש עם האתגר הזה במסגרת שלב ההנעה (Mobilization) שבו כבר נקבע מי אחראי לתיקון כל סיכון. הסיכון העסקי שזוהה מטופל על ידי בעלי התפקידים האחראים על אותו תחום – למשל DevOps או צוותי IT.
שלב ההנעה ב-CTEM עוסק בגיוס (mobilization) של כל בעלי העניין הרלוונטיים – כדי שיטפלו בפועל בסיכונים שאותרו בשלבים הקודמים של תהליך CTEM.
אמנם אפשר לנסות לעשות זאת גם בגישת ניהול פגיעויות רגילה, אבל צוותי ההנעה ב-CTEM נהנים מגישה שונה: הם משתמשים בנתונים עדכניים ורציפים שמתקבלים משאר שלבי CTEM (כמו אילו סיכונים הכי חשובים לטפל בהם עכשיו), וכך יכולים לפעול בצורה ממוקדת מאוד.
היתרון המשמעותי של CTEM הוא שהוא מספק משוב ברור על איך הסיכונים מנוהלים בפועל – וזה מקל על שילוב ההנהלה ובעלי עניין נוספים בתהליך קבלת ההחלטות ובמעקב אחר הביצועים.
| מאפיין/היבט | CTEM | ניהול פגיעויות מסורתי |
|---|---|---|
| בסיס הגדרת התחום |
מונחה השפעה עסקית. התחום נקבע לפי האופן שבו נכסים עלולים לשבש את פעילות העסק אם ייפרצו. |
מונחה לפי כמות פגיעויות. מזהה קודם את הפגיעויות ומתמקד במספר ה-CVEs הקיימים. |
| היקף הכיסוי | זהויות ופרטי גישה.
אפליקציות SaaS (מוכרות ולא מוכרות). תשתיות ענן. מאגרי קוד. כיסוי רחב שמעבר לנכסים מסורתיים. |
שרתים.
תחנות עבודה ומכשירים מוכרים. מכונות וירטואליות (ענן או מקומי). מוגבל לנכסים ברשימת הנכסים. |
| אופן זיהוי הסיכונים | אימות סיכונים באמצעות בדיקות.
בדיקת סיכונים מול וקטורי תקיפה אמיתיים כדי לאמת אם הם מסוכנים בפועל. |
זיהוי פגיעויות.
מתמקד באיתור ותיעוד CVEs, ללא אימות ראשוני של הסיכון בפועל. |
| טיפול בסיכונים לא מנוהלים | כולל מקורות חיצוניים כמו Shadow IT ואפליקציות SaaS שלא מוכרות. | מתמקד בנכסים מוכרים בתוך הרשת הארגונית, לרוב מתעלם מסיכונים לא מנוהלים. |
| דירוג וסדר עדיפויות | בדיקות קונטקסטואליות.
מעריך את הסיכון לפי רמת הניצול האפשרי וההקשר הסביבתי. |
דירוגים סטטיים.
מבוסס על ציונים מוכנים מראש (למשל VPR), ללא התאמה להקשר הארגוני. |
| תהליך תיקון הסיכונים | הנעה מתוכננת.
מגדיר מראש מי אחראי לטיפול בכל סיכון ומשלב בעלי עניין כבר מההתחלה. |
הקצאה תגובתית.
האחריות לתיקון נותרת אצל בעלי הנכסים, וקשה לנהל זאת ביעילות. |
| גישה טכנולוגית | פלטפורמות CTEM.
משתמש בטסטים אוטומטיים ובמערכות כמו Element Security כדי לאמת סיכונים בפועל. |
סורקי פגיעויות.
מזהים CVEs אך חסרים יכולת אימות אוטומטית ומעמיקה. |