Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

協助將貴公司面向公眾的資產和 Web 應用程式風險降至最低的四個問題。

詢問自己這四個問題,協助降低貴公司面向公眾的資產與 Web 應用程式中的網路風險。

網路攻擊在您面向公眾的資產和 Web 應用程式上的持續進攻,並不會停歇;根據 2020 年 Verizon 資料洩漏調查報告 (DBIR) 顯示,43% 的資料洩漏事件都與涉及 Web 應用程式上的攻擊。從最新的自動化攻擊到鎖定特定安全漏洞且資金充裕的老練黑帽駭客,對於惡意行動者而言,現在比過去更容易測試您防禦工事的底線。

保護 Web 應用程式的責任就落在您以及您對攻擊者可能在網路中發現且利用的脆弱環節的瞭解上了。一旦您瞭解情況,就能主動套用相關修補程式、程式碼修正及/或補償管控措施來減緩威脅帶來的風險。

以下每一個問題都提供了不同的角度,讓您檢視貴公司面向公眾的資產和 Web 應用程式的安全風險。

1. 我們公司面向公眾的資產風險為何?

首先,讓我們看看您如何評估面向公眾資產的風險。在理想的情況下,您會希望曝露在外的資產愈少愈好。您可以運用公開風險掃描來驗證您已盡可能將公開能見度降至最低。這種掃描的另一個好處是它也會測試您網路上的補償管控措施,確保它們正常運作。

不過,即使曝露在外的是最簡單的資訊,例如您檔案傳輸通訊協定 (FTP) 伺服器的版本,也可能輕易遭受「Google Hacking」技巧的攻擊。 因此,運用可以對面向公眾的資產設定定期掃描的弱點管理方案,就變得非常重要,如此才能協助您將風險降至最低。 風險掃描的結果可以用來設定您的網路與主機型補償管控措施,以避免曝露任何不當資訊。

2. 我們公司的網路後端存在哪些弱點?

要瞭解網路的脆弱環節,我們建議由您環境中託管的弱點掃描工具或安裝在主機上的代理程式在本地端執行掃描。您環境中的本地端掃描工具使用的經身分驗證掃描可提供最詳盡的結果。要取得這種程度的詳細資訊,您必須提供認證資訊以評估目標。如果有困難,您可以選擇使用代理程式,因為當您準備好要在主機上執行時,它不需要認證資訊。

一旦經過身分驗證的掃描完成,您就會得到完整的弱點清單,對應哪些資產容易遭受攻擊。下一步是瞭解每一個弱點帶來的威脅之背景資訊。瞭解每一個風險目前在真實世界中的風險資訊,有助於讓您根據弱點被利用的可能性來安排修復工作的優先順序,如此您就能更有效地善用珍貴的安全資源。

但現在和過去同樣重要的是對設定和合規問題的警覺性。您想要一套包含稽核某個目標資產的設定是否符合各種合規標準及最佳做法範本的弱點管理解決方案,包括來自網路安全中心 (CIS)、美國國防通訊局安全技術建置指南 (DISA/STIG) 和支付卡產業 (PCI) 標準,以及貴公司本身的內部標準。

3. 我要如何得知我們的 Web 應用程式不會遭受攻擊?

保護您 Web 應用程式免於攻擊最快速也最有效率的方法,就是部署一種自動化的 Web 應用程式掃描方案。舉例來說,動態應用程式安全測試 (DAST) 是一種自動化的滲透測式,能夠以安全的方式與 Web 應用程式互動,並評估應變能力,顯示 Web 應用程式的程式碼中是否有脆弱的環節。

DAST 工具可以比作業系統 (OS) 和應用程式層級的弱點與設定稽核更深入來動態評估 Web 應用程式,它能確保應用程式不易受到非預期性的動作或邏輯瑕疵影響。它也有助於驗證執行中的環境,例如結構化查詢語言(SQL) 溢注,以尋找是否有任何程式碼瑕疵和錯誤設定。此外,另一個要指出的重點就是舊式的 Web 應用程式掃描工具無法跟上現代應用程式。現代的 DAST 工具不只能掃描傳統的 HTML Web 應用程式,也支援使用 HTML5、JavaScript 和 AJAX 框架的動態 Web 應用程式組建,包括單一頁面應用程式。

Shift Left」是將 Web 應用程式安全性整合進軟體開發生命周期 (SDLC) 中的最佳做法。在導入生產環境前的環境中完全測試您的 Web 應用程式,並且將每一次程式碼變更時的安全掃描自動化,可協助提升貴公司的整體安全態勢。如此可協助您更早發現您 Web 應用程式中的弱點、降低修復這些問題的成本,並且減少入侵造成的可能損害。

4. 我要如何針對 PCI 合規性的規範掃描?

PCI 資料安全標準 (PCI DSS) 包含一項每季執行外部掃描以及由認可的掃描供應商 (ASV) 提供證明的規定 (11.2.2)。您應將公開風險掃描的結果與 ASV 提供的 Web 應用程式掃描解決方案結合,以針對面向公眾的 Web 應用程式和資產提供證明。利用這些掃描的結果,您就能進行取得 11.2.2 要求的合規認證流程,將資訊與任何有利害關係的單位共享。利用預先設定的 PCI 範本和已定義好的爭議解決流程,都能簡化這項工作。

總結

如您所見,並沒有一種萬靈丹能夠評估您面向公眾的資產和 Web 應用程式,以找出網路犯罪帶來的風險。不過,卻有一些最佳做法能協助您瞭解您的風險,並且可將風險降至最低。想瞭解更多資訊,請參閱「5 大 Web 應用程式安全最佳做法」電子書

深入瞭解

相關文章

您可以利用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

除了阿拉伯聯合大公國外,在世界各地建立的 Tenable Vulnerability Management 試用版均包含 Tenable Lumin 及 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練