😎 Безопасники часто защищают не то, что нужно.
😎 Безопасники часто защищают не то, что нужно. Купили SIEM. Купили сканер уязвимостей. Сканер нашёл 847 проблем. Передали список в ИТ. Через неделю список снова полон. Через месяц — те же 847 проблем, только новых. Знакомо? Во время начального проникновения атакующие смотрят на инфраструктуру снаружи. Если мы смотрим на инфраструктуру изнутри, то это принципиально разные проекции. Пока безопасник закрывает уязвимости оценивая баллы CVSS, злоумышленник ищет не «высокий балл», а путь к данным, которые реально стоят денег. Сервер с CVSS 9.8 в изолированной подсети его не интересует. А вот кривая интеграция с подрядчиком на периметре — очень даже. Три вещи, которые мешают достичь зрелой ИБ: 1⃣ Приоритизация без контекста. Чинить то, что кричит громче всего — не то же самое, что чинить то, что важно для бизнеса. У большинства компаний часто нет списка активов, потеря которых остановит работу. 2⃣ Галочки вместо проверки. Патч поставили — молодцы. Проверили, что угроза реально закрыта? Почти никогда. Система остаётся уязвимой, просто красиво задокументированной. 3⃣ ИТ без мотивации. Администраторы получают список задач, смысл которых им никто не объяснил. Без автоматизации, без контекста, без понимания такие задачи админы просто игнорируют. Сегодня даю хороший способ честно проверить себя по всем этим пунктам. Инструктор SANS Джонатан Ристо собрал матрицу зрелости — CTEMMM. Ответьте честно на вопросы про ваши процессы. Файл прикреплён к посту. Спойлер: большинство обнаружат себя на первом уровне из пяти. В индустрии всё, о чём я написал выше, объединили в концепцию CTEM — Continuous Threat Exposure Management. Это расширение привычного Vulnerability Management, которое добавляет в область видимости то, что раньше игнорировали: ошибки конфигурации, проблемы с идентификацией и доступом (IAM), теневые ИТ-ресурсы и риски через подрядчиков. По сути — взгляд на вашу инфраструктуру глазами атакующего, а не глазами аудитора. CTEM часто путают с EASM (External Attack Surface Management) — анализом периметра снаружи. Но EASM это один инструмент внутри CTEM, а не замена. Об этом напишу отдельно. Я уже публиковал сравнение CTEM vs VM. Важные практически детали ищите на ctem.org Скачали? Ставьте огоньки, если вопросы в файле заставили вас задуматься! А вы когда-нибудь сами откладывали установку патча, потому что понимали — ничего не сломается? Денис Батранков в LinkedIn, Youtube, RuTube и TG #CTEM #Кибербезопасность #Экспертам #ВажнаяТема