Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Security Management Glossar

CTEM - Continuous Threat Exposure Management

Continuous Threat Exposure Management (CTEM) ist ein von Gartner 2022 definiertes Programm zur kontinuierlichen, priorisierten Reduktion der Angriffsfläche. CTEM umfasst 5 Phasen: Scoping, Discovery, Prioritization, Validation und Mobilization. Es kombiniert Vulnerability Management, Threat Intelligence, Attack Surface Management und Breach & Attack Simulation zu einem integrierten Ansatz.

Continuous Threat Exposure Management (CTEM) adressiert ein fundamentales Problem: Unternehmen haben tausende von Schwachstellen, begrenzte Ressourcen für Remediation, und keine systematische Methode zur Priorisierung. CTEM ist das Framework um diese Priorisierung datengetrieben und kontinuierlich durchzuführen - basierend auf tatsächlichem Angreifer-Verhalten, nicht nur CVSS-Scores.

CTEM vs. traditionellem Schwachstellenmanagement

Problem mit traditionellem Schwachstellenmanagement:

Traditionell:
  → Quartalsmäßiger Nessus-Scan
  → Output: 5.000+ Findings
  → Priorisierung: nach CVSS Score (10.0 zuerst!)
  → Problem: CVSS 10.0 Schwachstelle in isoliertem System vs.
              CVSS 6.5 Schwachstelle die Angreifer heute aktiv ausnutzen!
  → EPSS (Exploit Prediction Scoring System) zeigt: nur 4% aller CVEs werden
    je aktiv ausgenutzt - welche 4%?
  → Ergebnis: Team arbeitet CVSS-Hitliste ab, aber schlimmste Risiken unadressiert

CTEM-Ansatz:
  → Kontinuierlich (nicht quartalsweise!)
  → Priorisierung: was kann ein Angreifer heute tatsächlich ausnutzen?
  → Validierung: Angriffssimulation bestätigt ob Schwachstelle wirklich ausnutzbar
  → Mobilization: Remediation mit richtigem Team, richtiger Priorität, gemessen
  → Ergebnis: Angriffsfläche kontinuierlich und messbar reduziert

Die 5 CTEM-Phasen

CTEM Framework (Gartner):

Phase 1: Scoping (Was ist in Scope?)
  → Welche Assets werden bewertet?
  → Priorität: was ist für Angreifer attraktiv?
  → Eingabe: Threat Intelligence (welche Angreifer zielen auf uns?)
  → Entscheidung: Internet-facing Systeme zuerst, dann interne Assets
  → Ergebnis: Bewertungsumfang definiert und von Management genehmigt

Phase 2: Discovery (Was haben wir?)
  → Asset Discovery: alle Systeme, auch unbekannte (Shadow IT!)
  → Externe Angriffsfläche: was ist vom Internet erreichbar?
  → Interne Angriffsfläche: Lateral-Movement-Pfade, AD-Schwachstellen
  → Tool-Stack: ASM (Attack Surface Management), Vulnerability Scanner
  → Häufige Überraschung: Systeme die niemand kannte (Shadow IT!)

Phase 3: Prioritization (Was ist am dringlichsten?)
  → NICHT nur CVSS! Kontext-basierte Priorisierung:
    1. Ausnutzbarkeit: gibt es aktive Exploits? (EPSS hoch?)
    2. Erreichbarkeit: kann Angreifer die Schwachstelle von Internet erreichen?
    3. Business Impact: was passiert wenn diese Schwachstelle ausgenutzt wird?
    4. Umgehung von Kontrollen: scheitert EDR daran?
  → Attack Path Analyse: welche Schwachstelle führt zu kritischen Assets?
  → Ergebnis: Top-20 priorisierte Schwachstellen mit klarer Begründung

Phase 4: Validation (Ist es wirklich ausnutzbar?)
  → Angriffssimulation: Breach and Attack Simulation (BAS)
  → Penetrationstest: manuelle Verifikation für komplexe Szenarien
  → Purple Team: Angriffs- und Verteidigungstest kombiniert
  → Frage: kann unser EDR den Exploit erkennen? Blockiert die Firewall?
  → Ergebnis: confirmed ausnutzbare Schwachstellen + Detection Gaps

Phase 5: Mobilization (Wer behebt es wie?)
  → Richtige Remediation-Anleitung an richtiges Team (nicht nur "patch asap")
  → SLA-Tracking: kritisch in 48h, hoch in 2 Wochen, mittel in 30 Tage
  → Measure: wurde die Schwachstelle behoben? (Re-Scan nach Patch)
  → Reporting an Management: Trend sichtbar (Exposure reduziert sich!)
  → Ergebnis: Schließung von Schwachstellen mit Nachweis

Tool-Ökosystem für CTEM

Tools pro CTEM-Phase:

Discovery:
  Externe Angriffsfläche:
    → Censys (passiver Internet-Scan, zeigt was öffentlich sichtbar ist)
    → Shodan (IoT, Server, Dienste im Internet)
    → IONIX (ehemals Cyberpion): automatisches ASM
    → Wiz CNAPP: Cloud-Asset-Discovery + Risikoanalyse

  Interne Angriffsfläche:
    → BloodHound: AD-Angriffspfade (Domain Admin erreichbar in X Hops?)
    → Qualys CSAM: vollständiges Asset Inventory
    → Tenable.io: Schwachstellen-Discovery + Asset Tracking

Prioritization:
  → Tenable One: Risk-basierte Priorisierung
  → Qualys TruRisk: kontextbasierter Risk Score
  → Rapid7 InsightVM: Exposure Analytics
  → EPSS-Integration: nvd.nist.gov/vuln/search (EPSS-Score einsehen)

Validation:
  → Cymulate, SafeBreach, AttackIQ (BAS-Plattformen)
  → Pentera: automatisierter Penetrationstest
  → Atomic Red Team (Open Source): manuelle Simulation einzelner Techniken

Mobilization:
  → ServiceNow Vulnerability Response: Workflow + Ticketing
  → Jira + Vuln-Import: für Engineering-Teams
  → SOAR (Splunk, Sentinel): automatische Ticket-Erstellung bei kritischen Findings

CTEM Messung:
  → Mean Time to Remediate (MTTR): wie schnell werden Schwachstellen behoben?
  → Exposure Score: Trend nach oben oder unten?
  → Coverage: % der Assets in CTEM-Programm
  → Validation Score: % der Techniken die detectiert werden
  → Executive Dashboard: 3 KPIs die Management versteht

AWARE7 Leistungen zum Thema

Penetrationstest ISO 27001 Beratung

Ausführlicher Wiki-Artikel

Attack Surface Management: Externe Angriffsfläche kennen und reduzieren

Schwachstellenmanagement: Der vollständige Leitfaden

13 min Lesezeit

Threat Intelligence: Angreifer verstehen bevor sie angreifen

11 min Lesezeit

Verwandte Begriffe

Attack Surface Management (ASM) - Angriffsflächen-Management BAS - Breach and Attack Simulation Penetrationstest Risikomanagement (IT-Sicherheit) Vulnerability Assessment - Systematische Schwachstellenbewertung
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung