Trong vài năm gần đây, hai thuật ngữ Attack Surface Management (ASM) và Continuous Threat Exposure Management (CTEM) ngày càng trở nên phổ biến trong các cuộc thảo luận về an ninh mạng. Cả hai đều hướng đến mục tiêu giúp doanh nghiệp nhận diện và giảm thiểu rủi ro trong bối cảnh hạ tầng kỹ thuật số mở rộng không ngừng.

Tuy nhiên, dù ASM và CTEM có vẻ liên quan và thường giao nhau trong thực tế, chúng không thể thay thế cho nhau. Việc nhầm lẫn hai khái niệm này có thể tạo ra khoảng trống trong khả năng phòng thủ, hoặc khiến doanh nghiệp đầu tư sai hướng.

Hãy cùng tìm hiểu ý nghĩa thực sự của từng mô hình, điểm giao thoa, sự khác biệt và cách lựa chọn phương pháp phù hợp với nhu cầu an ninh của tổ chức.

HIỂU VỀ ATTACK SURFACE MANAGEMENT (ASM)

ASM ra đời nhằm giải quyết thách thức từ việc số lượng tài sản số bên ngoài của doanh nghiệp tăng nhanh – nhiều trong số đó không được giám sát hoặc đã bị “lãng quên”.

Về bản chất, ASM tập trung vào khả năng hiển thị. Mục tiêu của nó là trả lời một câu hỏi cốt lõi:

“Doanh nghiệp của chúng ta đang để lộ những gì ra Internet?”

Các nền tảng ASM liên tục quét và lập bản đồ toàn bộ bề mặt tấn công bên ngoài của tổ chức: tên miền, địa chỉ IP, tài nguyên đám mây, API, ứng dụng web, v.v. Từ đó, hệ thống phát hiện shadow IT, lỗi cấu hình hoặc tài sản bị bỏ sót –  những điểm yếu tiềm tàng để tin tặc khai thác.

Các khả năng chính của ASM:

• Phát hiện: Xác định tất cả tài sản hướng Internet, bao gồm cả những tài sản chưa từng được biết đến.

• Phân loại: Nhóm và gắn ngữ cảnh cho từng tài sản dựa trên đơn vị kinh doanh, chủ sở hữu hoặc mức độ rủi ro.

• Đánh giá: Làm nổi bật các lỗ hổng, lỗi cấu hình hoặc vi phạm chính sách.

• Giám sát: Theo dõi sự thay đổi và phát hiện phơi nhiễm mới theo thời gian.

Điểm mạnh của ASM:
ASM cung cấp tầm nhìn nền tảng giúp đội ngũ bảo mật hiểu rõ toàn bộ tài sản kỹ thuật số của tổ chức. Đây là bước khởi đầu quan trọng để nhận diện rủi ro và tối ưu “vệ sinh” an ninh.

Giới hạn của ASM:
ASM cho biết những gì đang phơi nhiễm, chứ không cho biết điều gì có thể bị khai thác thực sự.
Nó thường tạo ra khối lượng lớn dữ liệu – bao gồm cả cảnh báo sai hoặc rủi ro không nghiêm trọng. Thiếu ngữ cảnh, đội bảo mật dễ bị “ngợp” và tốn thời gian vào những vấn đề không thực sự quan trọng.

GIỚI THIỆU VỀ CONTINUOUS THREAT EXPOSURE MANAGEMENT (CTEM)

CTEM được Gartner giới thiệu năm 2022 như một bước tiến vượt bậc của ASM – giúp lấp đầy khoảng cách giữa “quan sát” và “xác thực”.

CTEM là một chương trình chiến lược toàn diện, giúp doanh nghiệp liên tục đánh giá và xác thực mức độ dễ bị tấn công thực tế –  từ góc nhìn của hacker.

Nếu ASM là giai đoạn “tìm ra tài sản”, thì CTEM là bước “chứng minh điểm yếu có thể bị khai thác hay không”.

Chu trình 5 giai đoạn của CTEM:

1. Xác định phạm vi: Chọn những tài sản, quy trình hoặc đường tấn công cần đánh giá.

2. Phát hiện: Xác định điểm phơi nhiễm trong cả môi trường nội bộ và bên ngoài.

3. Ưu tiên: Xếp hạng mức độ rủi ro dựa trên khả năng khai thác, tác động và ngữ cảnh kinh doanh.

4. Xác thực: Kiểm chứng xem điểm yếu có thể bị khai thác trong thực tế không.

5. Hành động: Tích hợp thông tin xác thực vào quy trình khắc phục và chiến lược an ninh.

Tại sao CTEM mang tính đột phá:
CTEM kết nối khả năng hiển thị kỹ thuật với thực tế kinh doanh, giúp doanh nghiệp hiểu điều gì thực sự có thể bị tấn công –  không chỉ là danh sách “rủi ro tiềm ẩn”.
Nó mang lại ưu tiên chính xác hơn, giảm khối lượng công việc lặp lại, và rút ngắn thời gian giảm thiểu rủi ro.

Nếu ASM là “bản đồ”, thì CTEM chính là “GPS thời gian thực” – cho biết không chỉ vị trí hiện tại mà còn hướng đi an toàn nhất.

SO SÁNH ASM VÀ CTEM

Tóm lại, ASM giúp bạn biết “có gì ngoài kia”, còn CTEM giúp bạn biết “điều gì thực sự quan trọng”.

KHI NÀO NÊN DÙNG ASM HOẶC CTEM?

Bắt đầu với ASM nếu:

• Bạn thiếu khả năng hiển thị tài sản kỹ thuật số.

• Có nghi ngờ về shadow IT hoặc tài sản không được quản lý.

• Môi trường thường xuyên thay đổi (mua bán sáp nhập, mở rộng đám mây, tích hợp bên thứ ba).

Chuyển sang CTEM khi:

• Bạn đã có ASM nhưng muốn hiểu rõ rủi ro thực tế.

• Đội bảo mật đang bị quá tải bởi cảnh báo sai.

• Bạn cần gắn rủi ro kỹ thuật với ưu tiên kinh doanh.

• Bạn cần chứng minh hiệu quả giảm thiểu rủi ro cho ban lãnh đạo.

Trên thực tế, nhiều tổ chức triển khai ASM như lớp đầu vào của CTEM – ASM phát hiện, CTEM xác thực và vận hành.

TƯƠNG LAI CỦA QUẢN TRỊ PHƠI NHIỄM

Bối cảnh an ninh mạng đang chuyển dịch từ phát hiện sang xác thực.

Tin tặc không quan tâm bạn “biết bao nhiêu lỗ hổng” –  chúng chỉ quan tâm “có bao nhiêu lỗ hổng có thể khai thác”.
Do đó, các nhà lãnh đạo an ninh cần dựa vào bằng chứng thực tế, chứ không phải giả định.

ASM sẽ tiếp tục đóng vai trò quan trọng trong việc khám phá rủi ro kỹ thuật số. Nhưng nếu thiếu lớp xác thực và hành động của CTEM, nó vẫn chỉ là một công cụ “quan sát”, chưa đủ hoàn chỉnh.

Nhiều tổ chức tiên tiến hiện nay xem CTEM như sự thay thế tự nhiên cho ASM – vì CTEM bao gồm toàn bộ quá trình khám phá, xác thực và ưu tiên khắc phục theo mức độ rủi ro thực tế.

KẾT LUẬN

ASM và CTEM không đối lập, mà là hai bước tiến nối tiếp trong cùng một hành trình bảo mật.

Nếu bạn đang có ASM, CTEM sẽ mở rộng năng lực đó bằng cách thêm vào các yếu tố xác thực, ưu tiên và hành động.
Nếu bạn chưa có cả hai, bắt đầu với CTEM sẽ giúp bạn vừa có khả năng quan sát của ASM, vừa có năng lực giảm thiểu rủi ro thực tế của CTEM – một chiến lược hoàn thiện hơn cho kỷ nguyên an ninh mạng hiện đại.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.