Gartner在2022年7月21日提出了《实施持续威胁暴露管理（CTEM）计划》，CTEM计划是一套流程和方法，目标是通过改善技术、管理人员和运营团队之间的关系和流程来减少暴露面。Gartner预测“到2026年，基于CTEM计划优先进行安全投资的组织将减少三分之二的违规行为。”
绿盟持续威胁暴漏管理解决方案（以下简称绿盟CTEM方案），以绿盟科技丰富的安全脆弱性管理产品积累为核心，通过内外部泛资产测绘、持续评估验证和运营闭环，为客户带来漏洞、供应链、敏感数据的全资产、全流程、内外结合的风险治理新方案
绿盟CTEM方案适用于面向风险的资产管理、内外网攻击面管理、包含漏洞等多种风险问题的统一管理，以及违规资产稽查、上级检查、重保、攻防演练等风险管理场景。

一、方案组成：
绿盟CTEM方案，面向不同的问题场景，组合多种安全产品能力，打通产品数据，进行多源安全数据综合分析，解决单产品无法解决的难点问题。这产品能力包含：
——管理平台：绿盟持续威胁暴漏管理平台(CTEM平台）
——探针：主动探针RSAS扫描器；被动探针 UTS 流量探针
——互联网攻击面：EASM、PTaaS、EZ
——供应链：SDA
——服务：持续安全运营、渗透测试、重大事件安全保障服务、勒索防护评估、云攻击面评估
二、技术框架及优势：
1、资产持续发现和识别：主要解决企业IT或数据资产发现与识别的问题，其中包括数据资产场景与IT资产场景，例如：SaaS资产、云托管资产、小程序资产、泄漏资产等，利用主动扫描与被动识别的方式，快速迭代资产数据，结合指纹识别与SCA供应链识别的方式来进行资产标记，建立高效清晰的企业资产清单。
在企业资产发现与识别中，为了能够针对性的模拟攻击者视角，我们建立了具有针对性的资产管理与识别模型，依据攻击者视角建立四个模块：资产对象模块、资产识别与发现模块、分类标记模块、持续迭代模块，用以应对日常的企业资产与风险管理运营，便于企业运维或安全人员了解目前企业资产整体情况。
2、威胁持续评估及验证：
威胁评估分为三部分
——主动-静态 威胁评估。平台根据资产CPE信息进行威胁识别。分析资产指纹涉及的相关产品及版本是否存在已知威胁。
——主动-动态 威胁评估。CTEM平台结合资产进行定期全量的威胁发现。对于主机层漏洞可使用RSAS进行扫描，Web类应用使用EZ进行扫描，以确认威胁有效性。
——被动 威胁评估。被动威胁评估主要由运营人员人工触发。
威胁持续评估及验证采用的关键技术包括：
——PoC漏洞检测和验证技术：通过发起请求，利用请求尝试使服务器运行一段可触发或间接触发漏洞的代码来检测漏洞
——CPE漏洞匹配和验证技术：通过CPE漏洞匹配可以快速识别企业已知资产的漏洞影响面，并且不依赖于PoC扫描技术，可将对业务影响降到最低。
——漏洞危害性验证技术：通过运行漏洞利用程序，对检测目标执行真实的漏洞利用攻击，检验目标系统漏洞是否存在，以及漏洞被利用后对目标系统造成的危害
3、安全防护有效性验证：利用防御与突破模拟评估系统，用于评估安全防护体系的安全性和有效性，发现当前防护能力的不足
——攻击场景枚举：识别当前网络防御体系中的薄弱点，并为改进和加固提供指导
——攻击路径构建：采用多节点，多链路部署，以攻击路径构建技术为基础，智能测算识别所有可能的攻击路径，多步攻击按照合适的先后顺序编排成攻击链，形成完整的攻击路径
——攻击逃逸：模拟攻击逃逸技术手段，基于对安全设备攻击模拟，从而达到对安全设备的防护能力全方位、深层次评估和检测的目的
安全防护有效性验证采用的关键技术包括：
——攻击路径识别技术：基于物理和网络资源位置的路径识别技术，在防御与突破模拟评估系统中用于基础模拟测试环境的构建，并通过自动化方式实现目标网络的网络拓扑绘制，动态识别实网拓扑的可攻击路径
——攻击逃逸技术：用于评估和验证安全防护设备的防护能力，通过利用各类攻击战法，以模拟攻击的方式构造多种攻击数据报文，形成原型系统的“武器库”，从而对安全防护设备的防护能力进行评估测试
4、处置优先级：重点关注高风险和优先级的漏洞，以最大程度地降低系统和应用的安全风险，提高安全运营效率。

针对资产安全管理、综合攻击面管理、漏洞治理与持续运营等场景，绿盟CTEM方案通过开展全类型资产测绘与关联管理、持续风险发现、风险验证与排序、修复动员等技术工作，完成内外部攻击面收敛与风险持续监控，提高企业安全管理与防护能力。