网络安全暴露不仅涉及已知漏洞，更包含攻击者用于在系统中隐秘移动并危害高价值资产的配置错误、控制缺口和遭忽视的入口点。传统安全方法往往聚焦于修补已知问题并生成冗长的CVE清单，但这些并不总能反映攻击者的视角和思维方式。

持续威胁暴露管理（CTEM）框架由Gartner提出，旨在持续评估组织攻击面、验证防御措施、基于业务风险确定行动优先级并管理修复工作。CTEM是战略级概念而非单一工具，其设计目标是通过跨技术、团队和时间的统一指导协调暴露管理工作。作为持续迭代的周期而非静态的时点评估，CTEM使安全防护与对手战术技术保持同步。

以下是CTEM的实践方式及最需要它的三大行业。

大多数组织虽已通过漏洞扫描、错误配置查找和威胁监控等方式评估了风险敞口，但这些工作通常是割裂、不定期或与业务优先级脱节的。

CTEM引入集成化持续流程，既能识别可利用弱点，又可展示攻击链组合路径，并依据实际影响确定修复优先级。该框架包含五个迭代阶段：

范围界定：基于业务影响和技术风险，确定需评估的系统、资产和环境范围，优先评估最重要的部分，例如互联网基础设施、SaaS平台或存储敏感数据的环境。

发现：识别基础设施、应用程序和控制措施中的风险。通过发现暴露的凭据、网络钓鱼缺口、薄弱控制项、未修补的系统和错误配置，核心目标是理解攻击者视角及其横向移动利用路径。

优先级排序：按可能性与影响而不仅是严重性分级。非所有问题都需紧急处理，应聚焦于可被利用、关键业务且能组合形成有效攻击路径的暴露点，以此缓解告警疲劳并精准修复。

验证：测试暴露点是否可被利用及防御响应是否生效。此步骤能穿透干扰噪声，区分理论风险与实际风险，锁定关键行动项。

行动协调：跨团队协同修复。经验证的洞察可帮助安全、IT及运维团队就行动必要性、价值衡量及成功标准达成共识。

CTEM 并非重建一切，而是从小处着手并逐步成熟，确保从发现到补救的每一步都体现对攻击者运作方式及企业核心价值的理解。其有效性通常依赖于与现有系统，如漏洞管理、威胁情报、资产管理、漏洞和攻击模拟及事件响应平台的集成。

CTEM适用于所有组织，但部分行业面临更频繁的攻击、更复杂的场景及更严峻的后果。以下三大行业可立即获得显著收益：

金融服务:

银行、保险及金融科技公司身处全球受攻击最频繁且强监管的环境。其生态系统动态互联，融合传统基础设施、现代云平台及第三方服务。监管不仅要求发现问题，更需证明威胁的可检测、可预防及可遏制能力。

CTEM帮助金融机构实现闭环管理，通过验证攻击者立足点与横向移动可能性，驱动修复措施与发现结果对齐，从而以证据化成果强化风险管控及合规准备。

医疗健康：

鲜有行业比医疗拥有更碎片化或脆弱的技术生态。面对老化的医疗设备、电子健康档案、物联网系统及持续运行需求，服务商常在刚性的技术运维限制下工作。多数系统无法定期修补，致使传统漏洞管理手段失效。

CTEM聚焦可被利用的威胁，助力安全团队基于影响而非数量进行风险分级。当无法修复所有问题时，CTEM提供的可明确哪些暴露点会危及患者安全或服务的关键判断力交付至关重要。

零售电商：

数字变革的节奏永不停歇。频繁的网站更新、季节性营销、动态支付方式及快速部署周期持续催生新暴露点。同时，海量个人与财务数据使其成为勒索软件及数据窃取的首要目标。

CTEM使零售企业在保持敏捷性的同时最小化安全妥协。通过持续发现、验证及修复暴露点，零售团队既能紧跟提升竞争力的变革需求，又能确保不为攻击者敞开大门。

参考链接

https://informationsecuritybuzz.com/how-ctem-helps-security-teams-focus-on-what-matters-most