随着技术环境的复杂化与分散化，本地、云端、容器、物联网及网络物理系统的深度融合，叠加SaaS应用与供应链的延伸，新型攻击面不断涌现，进一步加剧了安全管理的难度。与此同时，攻击者持续伺机利用各类安全弱点实施攻击，尤其在零日漏洞利用消息曝光时，组织更需保持冷静，推动IT安全团队有序开展系统修补工作。 Gartner提出的持续威胁暴露管理（Continuous Threat Exposure Management，简称CTEM）框架，是应对全球攻击面扩张的核心战略工具。

CTEM：动态防御的五大核心阶段

持续威胁暴露管理（CTEM），是一种用于发现、确定优先级、验证和应对安全暴露的系统性方法。CTEM 计划为组织提供了所需的结构和框架，使其能够主动且持续地监控其外部攻击面，评估这些攻击面中的漏洞，并调动应对措施和跨职能资源以降低安全风险。

有效的、持续的CTEM是一个五阶段的过程。这些阶段包括：

确定的范围：全面梳理数字资产图谱，覆盖本地、云、容器、物联网及网络物理系统等全域环境；

风险识别：运用AI技术自动化扫描SaaS应用配置缺陷、物联网设备固件漏洞、影子资产暴露路径等新型风险点；

优先级评估：根据紧迫性、安全性和风险程度对威胁进行优先级排序；

响应处置：自动化编配和响应，结合SOAR实现自动化流程编排及调度；

攻击模拟：通过红蓝对抗验证防御体系有效性，重点测试供应链攻击、社工钓鱼等高威胁场景；

新型攻击面的四大维度

新形势下，新的攻击面主要包括：

SaaS应用程序：员工、组织、客户间的互联需求驱动SaaS使用激增。这些应用程序和云服务几乎可以从世界上的任何设备和地点通过互联网进行访问，从而增加了未经授权的用户访问信息或意外发布敏感信息的可能性。

物联网设备：物联网设备可能是家庭与商业领域增长最快、应用最广的技术之一，设备的多样性及其无所不在带来了新安全挑战。物联网设备导致的暴露面风险包括：固件和软件更新不频繁、设备上运行的服务不安全、弱密码、不安全的API、缺乏安全更新机制、使用过时的组件、不安全的信息传输等。

影子资产：影子资产指未经IT或安全部门审查/同意，由用户使用或开发的应用程序，以实现工作效率与协作便利的需求。若缺乏有效管控，会加剧影子IT应用的泛滥，导致攻击面扩大、信息泄露风险上升及资产管理混乱，最终威胁组织整体安全态势。

社工信息：泄露的密码和泄露的用户数据可用于有针对地攻击，有针对性地攻击变得越来越频繁。

从被动响应到主动防御的战略转型

CTEM计划是一种务实且有效的系统化方法论，并可不断优化升级。CTEM计划提供了更丰富、更深入的洞察力，可帮助组织主动识别、优先处理和管理意外风险或暴露面。

CTEM推动组织安全能力实现三重跃升：

攻击面管理精细化：动态扫描资产并映射暴露面（如未授权访问点、过时软件），结合威胁情报与业务上下文量化风险优先级，避免“补丁疲劳”。

修复效率指数化：整合自动化工具链（如补丁管理、容器镜像扫描、SOAR），实现修复流程标准化与自动化，关键系统可通过虚拟补丁快速响应零日漏洞。

安全治理体系化：通过技术工具整合（SIEM/SOAR）、流程标准化（红队演练）及组织能力建设（SOC、安全培训），构建跨部门协同的主动韧性防御体系，降低长期安全风险。

CTEM提供的不只是工具集，更是一套可迭代的战略方法论。它通过动态识别、优先级排序、模拟验证和快速响应，将被动防御转化为主动风险治理，最终实现攻击面可视、风险可控、响应可期的安全新常态。对于各类组织而言，CTEM计划已不再是可选项，而是适应数字化时代安全需求、保障业务持续稳定运行的必然选择。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！