原标题：知识点滴 | 持续威胁暴露管理

持续威胁暴露管理概念（Continuous Threat Exposure Management，CTEM）由知名IT研究机构Gartner提出，并入选该机构2024十大战略技术趋势。CTEM将会从2024年起，逐步开启持续化资产、威胁、漏洞管理，进而推动安全验证整合，实现威胁与暴露闭环管理，拉升安全价值。

CTEM暴露管理的内涵

CTEM采用了五步闭环框架，分别为定范围、发现、优先级、验证、行动。理解CTEM内涵，需要区分与两大框架的关系，即美国国家标准与技术研究院NIST的CSF（网络安全框架），以及2018年发布的CARTA（持续自适应风险与信任评估）。

NIST CSF是一种基于风险的顶层治理框架，通常治理框架会强调跨标准的兼容性和适配，以保证一致性和适用范围，如NIST CSF会进行ISO 27001、ISO 27701、COBIT、ANSI/ISA-62443等标准的映射，这是CTEM作为技术框架不会关注的重点，因为其并不关注跨标准复评、复测的管理和财务资源浪费以及调度。

CARTA是一种战略方法，依然关注于顶层，其开发过程考虑了NIST CSF的兼容性，目的是通过动态智能分析来评估用户行为。CARTA承认了没有绝对安全的状态，放弃追求完美的不可达目标，而是通过自适应持续评估实现风险与信任的动态平衡。

CTEM因为侧重技术实现，其关注战术层面的产品和功能融合，向上可关联NIST CSF与CARTA，但不可以通过战略和治理框架的适用而直接忽略战术执行层面的落地。

CTEM关联要素分析

在CTEM关联要素层面可从两个维度进行分析。首先，从外部环境维度，分析CTEM自身于企业架构中的地位；其次，从内部环境维度，分析CTEM的功能组成。

外部环境维度，CTEM定位于面向三方的汇集中心和中转节点。涉及的三方分别是威胁检测与响应、处置并优化态势、风险治理与合规。CTEM从三个层面向上述三方提供接口和能力。第一层次为产品功能层，保证检测、处置、治理的数据贯通和联动；第二层次为管理流程层，实现定范围、监控、响应等流程与系统平台的衔接；第三层为人员团队层，基于功能技术、管理流程的链条拉通，实现人员的通力配合和一致行动。

内部环境维度，分析CTEM的功能组成是区分子模块、子功能于总体平台的作用、呈现的关键，我们首先可以从暴露管理（EM）的定义来梳理部分关键要素。暴露管理属于顶层概念，其包容了攻击面管理、漏洞管理、安全验证三项关键能力。以漏洞扫描、漏洞管理、VPT技术为代表的关键基础性工作是三大能力的中心，其并不会因ASM的出现直接被取代，它是ASM的关键协同内容，也是网络安全运营工作的基础。

与此同时，不能因为存在漏洞管理能力，直接转化为ASM或是忽略安全验证，因为ASM的资产视角大于传统漏洞管理涉及的资产视角，而没有安全验证的攻击面、漏洞管理无法对关联发现进行分类分级，难以保证有效的安全行动。CTEM除了暴露管理，威胁管理是其另一大关键功能，其底层极大依赖威胁情报（TI）挖掘与关联分析，且需要有机结合EM，TI的导入能够横向赋能暴露管理的三个功能，即ASM、漏洞管理、安全验证均可以通过TI进行数据获取广度、功能效果的提升。

透过CTEM反观网安产业发展之痛

反观安全产业，三大问题成为日益强烈并考验安全企业组织价值的核心，也是奠定CTEM价值的关键。

首先，防护的边界是什么？安全防护资产突破传统台账、资产核查工具、CMDB（配置管理数据库）导入的IT资产纳管范围，还需具备终端App、小程序、API接口、代码库、泄露数据的管理；于新型技术和异构环境资产方面，能够识别纳管诸如工业互联网、车联网、物联网、5G网络、AI生成的相关资产；于识别资产广度，不但需要能够管理已知资产，还需探测未知不受控资产、未授权资产、影子资产、针对泛资产的发现和权利保障等。

其次，如何验证？验证涉及了安全业务的完整链条，有关资产权属、资产关联关系、漏洞分布、POC（概念证明）、IOA（攻击指标）、IOC（攻陷指标）的验证，乃至涉及人员与实体的身份、授权、访问行为、上下文关联的验证等。安全验证传统依赖安全服务叠加工具的方式，即属于半自动化人工验证组合模式。

最后，如何达成共识？安全共识是涉及安全需求方之间（C-C）、供给方之间（S-S）、供给方与需求方之间（S-C）的共识。C-C的共识涉及组织机构内安全部门与IT部门、安全部门与业务部门、安全管理层与公司治理层、组织机构与监管机构；S-S的共识涉及安全厂商内部跨产品跨部门、安全厂商之间、安全厂商与网络及系统供应商；S-C的共识涉及安全厂商与采购组织机构、安全厂商与监管机构。这三类共识是安全价值实现确立和提升的方向，也是安全产业做大做强的关键问题。

CTEM对网安产业发展的影响

结合安全产业痛点以及CTEM内涵和组分要素，其对安全产业影响可从两个方面分析。

首先，从需求侧出发，总体需求方依据安全团队能力与规模、资源配备体量可划分为高成熟度A区和一般成熟度B区。因为CTEM的高集成、高融合性，B区机构组织需要根据已有安全资源和基础能力进行分阶段、渐进式导入，即匹配能力成熟度的发展阶段实现配阶发展，而非一次性采购。同时鉴于B区机构组织资源配备的有限性，会引入托管与外包服务，所以CTEM的价值发挥也要求采购方具备合理的考核供应商能力，而关联能力的导入和预算要求，预期需要3~5年的时间积累和持续建设。

其次，从供给侧考量，CTEM因为对安全验证的特别关注，将会要求安全厂商与服务商实质化提升安全自动化验证能力，增强围绕BAS进行的技术与产品迭代，其不再遵循早期大范围、大日志与流量分析、强前端的平台化产品发展路径。

同时，CTEM对安全效果的追求会驱动传统安全厂商与服务商革新研发和服务模式，进一步强化小范围、高精度、高准确性的能力和产品实现。

最后，CTEM会对传统安全厂商的开放性带来挑战，市场要求产品接口层面的互联互通会更高，同时对传统安全服务商尤其是极度依赖人员驻场交付的公司带来冲击，不断促进产业生态的多层次融合。