在 2023 年,資安圈一個明顯的轉變是——企業不再滿足於一年一次的滲透測試或季度弱點掃描。
因為攻擊者不會等到你下一次檢查才動手,威脅面每天都在變,弱點更可能是幾小時前才被引入。
Gartner 因此提出 CTEM(Continuous Threat Exposure Management),主張資安要像心電圖一樣,隨時監控、即時回應。
1) 核心理念
CTEM 是一個 持續循環的資安運營框架,不僅僅是掃描漏洞,而是:
- 資產與威脅面盤點
- 先知道自己擁有什麼(IT / OT / IoT / 雲端資產)
- 哪些資產是暴露在網際網路或外部 API 上
- 威脅模擬與驗證
- 模擬真實攻擊(BAS:Breach and Attack Simulation)
- 針對關鍵業務路徑進行假設測試
- 持續監測與優先化修補
- 根據業務風險而非單純漏洞數量排序
- 自動化修補或快速風險緩解
- 回饋與優化
- 每一次檢測與修復都更新到威脅模型,形成滾動改善
2) 為什麼 2023 年是分水嶺
- 攻擊速度加快:從 0-day 公開到大規模利用的時間已從數週縮短到數小時。
- 雲與 API 暴露:SaaS、微服務架構讓外部暴露面積急劇擴大。
- 資安人力不足:持續化、工具化、AI 化是唯一能跟上速度的方式。
- 法規壓力:美國 SEC、歐盟 NIS2 要求更即時的資安事件通報與風險管理證據。
3) 與傳統資安檢測的差異
| 項目 | 傳統滲透測試 / 弱點掃描 | CTEM |
|---|---|---|
| 頻率 | 季度 / 年度 | 持續、甚至實時 |
| 目標 | 發現漏洞 | 發現並驗證可被利用的攻擊路徑 |
| 修補策略 | 按漏洞嚴重度 | 按業務風險與可利用性優先化 |
| 工具 | 單一工具 | 資產盤點 + 攻擊模擬 + 監控平台 |
4) CTEM 的落地五步法(Gartner 建議)
- 範圍定義(Scoping):鎖定業務關鍵的資產與攻擊面
- 檢測與發現(Discovery):使用 ASM(Attack Surface Management)與漏洞掃描找出暴露點
- 優先化分析(Prioritization):結合業務影響、威脅情資,決定修補順序
- 驗證與緩解(Validation & Mitigation):模擬攻擊驗證可利用性,立即封堵高風險
- 持續改進(Improvement):把每一次防禦成果反饋到系統與流程中
5) 典型應用場景
- 金融業:每天自動檢測網銀與 API 暴露面,及時封堵新出現的攻擊路徑
- 製造業(OT 安全):持續監控工業控制系統(ICS)對外暴露情況
- 雲端服務商:自動發現新上線的服務實例與開放端口,並進行風險評分
- 電商平台:持續驗證支付流程與用戶資料存取的安全性
6) 與 AI 的交集
CTEM 在 2023 年開始與 AI 驅動的威脅情資分析 結合:
- AI 自動關聯漏洞、威脅情資與業務資產,生成修補優先列表
- 自動化攻擊模擬(Autonomous PenTesting)減少資安人員手動驗證工作量
- 利用生成式 AI 生成事件報告與合規文件,加快通報與審計速度
7) 趨勢觀察
CTEM 的本質是把資安從「定期專案」轉型為「持續運營」,它會和 ASM(攻擊面管理)、BAS(攻擊模擬)、SOAR(安全編排與自動化響應) 融合,成為企業 SOC(安全運營中心)的常態能力。
未來幾年,CTEM + AI 分析 + 雲原生安全平台 會成為資安運維的黃金組合。