您的網路防禦者策略有多成熟？

我們的最新研究調查了 2,100 個組織的實際弱點評估做法，以瞭解防禦者如何達到網路安全中的這一關鍵步驟。

針對我們的最新研究，「網路防禦者策略：您的弱點評估做法透露了什麼」，我們探討了組織如何實施弱點評估 (VA)，以及這些做法透露了關於網路成熟度的哪些內容。

我們先前的研究「量化攻擊者的先發優勢」激發了我們的好奇心，該研究發現，攻擊者平均需要 5 天時間就能夠有效地惡意入侵。相比之下，我們瞭解到，防禦者評估弱點則需要平均 12 天。這兩個結果之間的差異使得攻擊者有 7 天的關鍵攻擊機會期，在此期間，防禦者甚至沒有察覺自己容易遭受攻擊。這促使我們思考，在 Cyber Exposure 生命週期極重要的發現與評估階段中，防禦者如何表現。

我們的網路防禦者策略報告將重點特別放在網路曝險生命週期五階段中「發現和評估」階段的關鍵績效指標 (KPI)。在第一階段「發現」期間，資產經過識別與對應，以利在任何運算環境間獲得可見度。第二階段「評估」涉及瞭解所有資產狀態，包含弱點、錯誤設定與其他狀態指標。雖然這只是漫長過程的兩個階段，但兩者共同決定性地確定了後續階段 (例如優先排序和修復措施) 的範圍和速度。

我們想瞭解一般使用者在真實世界中如何進行弱點評估的更多資訊，這可讓我們知道他們的整體成熟度等級，以及根據人口統計資料而造成的不同。

網路防禦者策略：瞭解弱點評估 KPI

針對我們的網路防禦者策略報告，我們依據真實世界一般使用者弱點評估行為，分析了五個關鍵績效指標 (KPI)。這些 KPI 與四種 VA 成熟度風格相關聯：勤奮型、研究型、調查型和簡約型。

我們發現，資料集內包含的企業中，約有一半 (48%) 正在實施非常成熟 (表現為勤奮型或研究型風格) 的弱點評估策略。不過，有超過一半 (52%) 表現出中到低等級 VA 成熟度 (也就是表現出調查型或簡約型風格)。我們稍後會向您深入說明其中的含意。首先，我們先看一下達成這些結果所用的方法。

為了識別我們的四種 VA 風格，我們使用來自 66 國 2,100 多個單獨組織的匿名掃描遙測資料訓練了一種稱為原型分析 (AA) 的機器學習演算法。我們在 2018 年 3 月至 5 月的三個月期間分析了超過 300,000 次掃描。我們在此資料集內辨識許多理想化的 VA 行為，並將組織分配到最密切相關之原型所定義的群組。下表說明的是每一種防禦者風格的弱點評估特徵。

四種弱點評估風格：它們透露了什麼

來源：Tenable 網路防禦者策略報告，2018 年 8 月。

以下是我們對每一個弱點評估風格的瞭解：

• 只有 5% 的企業遵從勤奮型風格，在大多數 KPI 中顯示出高等級成熟度。勤奮型風格經常進行全方位的資產涵蓋範圍的弱點評估，並針對不同資產群組與業務單位進行有針對性的自訂評估。
• 43% 的企業屬於研究型風格，成熟度為中高等級。這些組織具有良好的掃描頻率、利用有針對性的掃描範本並對大部分資產進行身分驗證。
• 19% 的企業屬於調查型風格，成熟度為中低等級。調查人員會進行大範圍的評估，但驗證非常少且甚少自訂掃描範本。
• 33% 的企業成熟度較低，屬於簡約型風格，只針對選定資產進行有限評估。

Tenable 網路防禦者策略報告：主要研究結果

來源：Tenable，網路防禦者策略報告，2018 年 8 月。

無論在哪個成熟度階段，弱點評估都很重要

到目前為止，您可能對弱點評估策略如何架構還沒有太多想法。如果您的組織看起來是傾向於低成熟度的調查型或簡約型，請不用擔心。處於低成熟度並沒有什麼問題，選擇裹足不前才會有問題。

如果您是新手採用者，這表示您還有許多工作要做才能趕上。同時這也表示您可以從先前採用者的錯誤和經驗中學習。您可以從經過驗證的產品中獲益，而不是讓您的組織成為未經測試、新奇又不成熟的解決方案的測試平台。此外，您還可以使用現有的專業知識庫，而不用從頭嘗試開發自己的策略。您可以跳過實驗階段，立即展開最佳化與創新。

而且，即使您確定採用此處強調的最成熟弱點評估策略，也並不表示您可以高枕無憂。即使是最有經驗的防禦者，也知道自己的任務將會層出不窮。<?p>

無論與您自己最接近的是哪種風格，最終目標始終為朝著更高的成熟度發展。我們知道這並非易事。網路安全專家正背負著一大堆陳舊的包袱。您要處理的是舊技術和相關內容，以及管理不斷增長之產品系列的複雜性；這些產品系列包含了持續發展的技術及新興技術。與此同時，威脅環境在過去幾年已明顯擴大。所有這一切都是在競爭激烈的商業壓力背景下發生的。

在網路安全方面，我們已達到脫離速度，而且大多數組織現在都已認識到這一點。

我們的網路防禦者策略報告針對每一種 VA 風格提供建議，協助您進步到下一個等級的成熟度。我們也探討了這四種 VA 風格在主要行業垂直市場和組織規模上的分佈狀況，如此您便可將自己與同行進行比較。請按一下以下載完整報告。

深入瞭解：

• 網路防禦者策略報告：您的弱點評估做法透露了什麼
• 量化攻擊者的先發優勢
• Cyber Exposure：貴公司的關鍵風險新指標
• Cyber Exposure 入門