В условиях стремительного развития цифровых технологий и растущих угроз кибербезопасности концепция управления непрерывным уровнем угроз, или Continuous Threat Exposure Management (CTEM), приобретает всё большую значимость. Несмотря на высокий интерес и множество публикаций, связанные с CTEM разговоры часто остаются на уровне теории, далекие от реальных практик. Однако именно сейчас, когда кибератаки становятся все более изощренными и частыми, обсуждение между хайпом и реальностью становится как никогда важным. На форуме Xposure Summit 2025 и в одноименном подкасте специалисты в сфере кибербезопасности открыли диалог, который стоит услышать каждому, кто отвечает за защиту информационных систем в своих организациях.CTEM не просто новая модная технология или подход.
Это комплекс стратегий и мер, направленных на постоянное выявление, анализ и снижение угроз, исходящих из внутренней и внешней среды компании. В отличие от традиционного управления уязвимостями, где основной акцент делается на патчинг и устранение уязвимостей, CTEM фокусируется на эффективности существующих средств защиты. Иными словами, это не просто закрытие дыр, а проверка того, насколько сегодня ваш «щит» способен выдержать настоящую атаку.Опыт таких экспертов, как Алекс Делэй, КИБ IDB Bank, Бен Мид, директор отдела кибербезопасности Avidity Biosciences, и Майкл Францесс из Wyndham Hotels and Resorts, показывает, что внедрение CTEM – процесс далеко непростой. Основываясь на их практике, можно выделить ключевые аспекты, которые необходимо учитывать любому специалисту, стремящемуся перейти от теории к реальному управлению угрозами.
Первое и, пожалуй, самое важное — полноценный, актуальный инвентарь активов. Понимание, какие устройства, учетные записи и приложения существуют в компании, дает основу для последующего анализа уязвимостей и оценки рисков. Многие организации сталкиваются с проблемой устаревших учетных записей, учетных данных с избыточными правами и незадействованных систем. Это — открытые дверцы для злоумышленников. Регулярное, частое обновление и проверка данных об активах становятся ключом к удержанию ситуации под контролем.
Вопрос частоты проверки также играет основополагающую роль. В отличие от традиционных подходов, где анализ мог проводиться с интервалами в месяцы, CTEM требует значительно более частого мониторинга. Для внутренних активов оптимальным считается еженедельное подтверждение безопасности, для внешних, подверженных прямому воздействию извне — даже ежедневное. Такая динамичность позволяет минимизировать окно уязвимости и мгновенно реагировать на изменения в инфраструктуре и активностях злоумышленников.Еще один важный компонент, выделенный в дискуссии экспертов, — это использование угрозовой разведки как основы для тестирования систем безопасности.
Понимание тактик, техник и процедур (TTP) реальных злоумышленников позволяет моделировать атаки, максимально приближенные к реальным сценариям. Это кардинально отличается от обычного пассивного патчинга уязвимостей, где исправляется лишь выявленная информация о слабых местах. Такой подход позволяет проверить, насколько установленные контрмеры действительно эффективны, а не просто логируются или маскируют проблему.Особое внимание уделяется грамотной передаче информации о киберрисках руководству и совету директоров. В условиях ужесточающегося регулирования и растущих требований инвесторов, говорить на языке технических оценок и баллов CVSS недостаточно.
Необходимо переводить результаты мониторинга угроз и экспозиции в понятные бизнесу термины: какой уровень риска сейчас, как он меняется с течением времени, какие критические участки требуют немедленного внимания. Ключевое здесь — формирование прозрачной и ответственной отчетности, которая не просто демонстрирует выполненные задачи, а помогает принимать стратегические решения по управлению рисками.Метрики успеха в CTEM выходят за рамки простого подсчета обнаруженных и устраненных уязвимостей. Бен Мид отметил, что успешность стоит измерять количеством закрытых эксплуатируемых путей атаки. Такой акцент позволяет фиксировать действительно опасные проблемы, а не отвлекаться на множество малозначимых данных.
Кроме того, использование практических упражнений — например, «столовых» симуляций атак — помогает руководству лучше понять реальные последствия инцидентов и необходимость тех или иных мер защиты.Воплощение CTEM в жизнь требует также умения отделять шум от полезной информации. Мир кибербезопасности переполнен инструментами, данными и предупреждениями. Задача специалистов — сосредоточиться на том, что действительно эксплуатируемо и представляет угрозу. Это позволяет избежать перегрузки команд излишними и неактуальными задачами, повышая эффективность общей защиты.
В конечном итоге, разговор между профессионалами, который состоялся на Xposure Summit 2025, показал, что успех CTEM — это результат последовательной работы, четких процессов и адаптации под особенности конкретной организации. Никакой универсальной таблетки нет, но есть проверенные практики, которые можно масштабировать и успешно внедрять.В современном мире, где атаки совершенствуются едва ли не каждую секунду, управление непрерывной угрозой становится не просто желательной, а необходимой частью кибербезопасностной стратегии. Те, кто сумеют перейти по мосту между хайпом и реальностью CTEM, затратят ресурсы на построение действительно надежной защиты. Это позволит не просто избежать множества инцидентов, но и получить конкурентное преимущество за счет повышения доверия клиентов и партнеров.
Разговор о CTEM, который мы услышали от ведущих специалистов, напоминает, что кибербезопасность — это постоянное движение и адаптация. Важно не только понимать теорию, но и применять ее на практике, не боясь сложностей. Именно такого рода диалог стимулирует отрасль к развитию, открывает новые горизонты и помогает создавать безопасное цифровое будущее для бизнеса любой величины и отрасли.
![A podcast about how the software industry got this way [audio]](/images/9DAD5119-B9CF-4DD6-80E7-09F81F86C400)
