利用 Tenable Cloud Security 無代理程式型評估功能加速 AWS 環境的弱點偵測與回應

了解如何利用我們最新的雲端安全搜尋功能 Tenable.cs 無代理程式型評估來增強您可以在雲端中掃描軟體弱點和設定錯誤的方式。

依歷史紀錄來看，雲端中的弱點掃描已透過使用 Nessus 之類的網路型掃描器或是利用 Nessus Agents 的代理程式型方法完成。 多年來，Tenable 一直是想要由世界級漏洞研究支援的快速、全面和準確性弱點掃描的資安從業人員的金牌典範。 我們的客戶要求以更簡單的方式在雲端中設定和管理他們的 Nessus 掃描，在 2020 年，我們發佈了 Tenable.io 無障礙評估，這是我們將 Nessus 轉型為更專注於雲端的第一步。

現在推出的適用於 Amazon Web Services (AWS) 的 Tenable.cs 無代理程式型評估採用了 Tenable.io 無障礙評估展示的開創性成果，並對其進行了全面升級，以實現真正順暢無礙的雲端原生掃描解決方案。

安全專業人員在雲端中會遇到的一個常見問題是試圖將傳統的弱點管理概念套用於雲端工作負載，尤其是短暫的工作負載。 自動縮放讓雲端執行個體能夠啟動和停止，這表示傳統的掃描視窗可能會錯過需要評估的資產。 在雲端中管理用於掃描的服務帳戶憑證是件麻煩事，讓不同的團隊標準化並採用端點代理程式或直接使用安全團隊核准的影像可能也很困難。 俗話說，必要性是發明之母，透過 Tenable.cs 無代理程式評估，我們可著手建置一種獨特的技術來克服上述障礙。

很明顯，一般而言，移除延長搜尋和偵測弱點時間的障礙會對企業承擔的風險量產生重大影響。 無代理程式評估旨在提高安全團隊的能力，以全面掌握雲端設定並以快速而有效率的方式執行全面的弱點評估，讓我們的客戶更有機會更快地降低風險。

AWS 的無代理程式型評估和即時結果

適用於 AWS 的 Tenable.cs 無代理程式評估讓雲端安全團隊能夠使用 Nessus 的強大功能進行弱點和錯誤設定評估，而無需安裝掃描器或代理程式、在目標主機上設定憑證或設定掃描原則。 使用專有方法，這讓使用者能夠在幾分鐘內即將他們的雲端帳戶上線並掃描所有的資產，以查找軟體弱點和雲端狀態錯誤設定，而不會對運算速度或成本造成任何影響。 我們能夠收集資料的速度，再加上我們的事件驅動方法，大幅提高了 Tenable 的能力，讓我們能確保客戶對我們提供的弱點資訊有信心。 在此流程中，我們會協助雲端安全團隊和開發人員快速識別安全弱點，並就應該採取哪些措施來解決這些弱點提供可行的建議。

此外，將新的弱點偵測發佈到我們的弱點研究摘要時，Tenable.cs 即時結果能讓安全團隊無需執行新的掃描即可在其現有收集到的庫存中識別出潛在弱點。 這種近乎即時的偵測和獨特的弱點評估方法讓使用者能夠減少修復問題的平均時間。 結果，這可為安全團隊提供關鍵資料，以便他們就如何確定補救工作的優先順序做出明智的決定。

Tenable.cs 無代理程式評估的其他優勢包括：

• 可輕鬆部署：無代理程式評估由 API 驅動，因此只需單一整合點即可輕鬆部署：一個唯讀角色，即可一舉檢查錯誤設定和弱點。
• 兩種解決方案合而為一： 使用單一工具掃描弱點和雲端基礎架構設定。
• 有限的掃描開銷： 無需部署或烘烤代理程式，無需掃描範本，也無需定義原則。 資料就會直接流入 Tenable.cs 中。
• 金牌典範弱點偵測： 無代理程式評估使用受到全球數以千計企業信任的 Tenable Research 弱點和威脅摘要。
• 持續的弱點保證： 當識別出新弱點並建立偵測時，Tenable.cs 即時結果功能會立即進行重新掃描並根據最新的漏洞摘要重新評估所有已儲存的庫存。
• 安全性：掃描是唯讀的，不需要寫入權限。
• 靈活性： 該工具讓使用者能夠執行連續的軟體即服務 (SaaS) 事件驅動掃描、排程掃描，或者只是執行臨時性的手動掃描。

此外，Tenable.cs 無代理程式型評估會透過提供用於偵測執行階段風險的預建原則範本的方式，使雲端安全團隊可以輕鬆地確保正確設定 AWS 雲端工作負載，例如：

• 以身分為基礎 (例如，特權過高的管理員)
• 不安全的儲存設定或存取活動 (例如，AWS 中廣泛開放和/或未加密的 Amazon Simple Storage [S3] 儲存貯體等)
• 不安全的執行個體建立和刪除
• 不安全的網路設定和活動
• 以及其他更多…

如何使用 AWS 的無代理程式型評估

步驟 1. 僅需幾分鐘就能完成所有 AWS 帳戶的上線流程。 

非常快速和容易即能開始使用。 您只需要一個唯讀角色，即可透過我們提供的 CloudFormation 範本輕鬆部署。 對於多帳戶 AWS 環境，我們提供了 CloudFormation StackSet，這將在範圍內的所有子帳戶中自動部署所需的角色。

原文：Tenable，2020 年 8 月

步驟 2. 拍攝 AWS Elastic Block Store (EBS) 快照

這是一個先決條件，因為無代理程式型評估流程會從 Elastic Compute Cloud (EC2) 儲存快照中讀取已安裝的套件資料。 您可以手動建立快照，也可以使用 AWS Data Lifecycle Manager (DLM) 自動執行該流程。 儘管可以手動建立快照，但 Tenable 建議您將此流程自動化。 如需更多指引，請參閱：

• 手動建立 EBS 快照
• 使用 AWS DLM 自動建立 EBS 快照

原文：Tenable，2020 年 8 月

步驟 3. 開始無代理程式型評估掃描

使用無代理程式型評估，無需設定掃描範本，您已部署好角色，因此無需設定憑證。 您會建立一個全新的 Tenable.cs AWS 專案，選取 EC2 作為要掃描的 AWS 服務，然後按需或按排程啟動掃描。 此時，資料就會直接流入 Tenable.cs，並且弱點會顯示在統一的調查結果工作區中。

原文：Tenable，2020 年 8 月

步驟 4. 對於所有易於搜尋的雲端資產掌握最新狀況

由於資料流入 Tenable.cs，使用者可以利用現有功能排定弱點的優先順序以進行修復。 無代理程式型評估會使用同樣優異的 Tenable Research 弱點摘要，因此使用者可立即存取弱點優先順序評分，以進行進階風險優先排序。 此外，這是我們利用即時結果的地方。 由於我們有資料流入 Tenable.cs，新的弱點檢查將根據我們已經收集的庫存進行評估。

原文：Tenable，2020 年 8 月

下一步呢？

現有的 Tenable 客戶現在可以提早存取適用於 AWS 的 Tenable.cs 無代理程式評估。 新功能已排定於 9 月底全面推出。 在第四季度，Tenable 預計將發佈適用於 Microsoft Azure 和 Google Cloud Platform (GCP) 的無代理程式評估，以及以容器安全為中心的其他增強功能。

深入瞭解

• 閱讀部落格： 全新推出的 Tenable Cloud Security 無代理程式型評估與即時結果功能
• 歡迎參加網路研討會：Tenable Cloud Security 有哪些新功能？
• 造訪 Tenable.cs 產品頁面：https://www.tenable.com/products/tenable-cs