Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

過於以 CVE 為主會使企業容易遭到攻擊

CWE 以及其他弱點都需要一個集中式的儀表板,以便進行全盤的網路風險評估

越來越多的網路安全專業人員汰換掉原來舊型的弱點管理方案,而改以哪些弱點構成最高的企業風險為準來排定修復的優先順序。 雖然大方向確實正確,但對於絕大多數的企業而言,這意味著完全以 Common Vulnerabilities and Exploits (CVE) 為重心。

網路安全產業中絕大多數的從業人員都認為 CVE 就是弱點,這兩個名詞可互相替換。 但「弱點」的廣義定義為:資訊系統、系統安全程序、內部控管或執行措施中的缺陷,安全威脅可能會利用這些缺陷或發動攻擊。 換句話說,弱點其實是使企業容易遭到網路攻擊的一切漏洞。 

雖然未經修補的 CVE 的確符合以上定義,但卻不是唯一符合這些條件的弱點。 無論如何,攻擊者都會不擇手段的入侵企業 他們會選擇最不容易發生激烈抵抗的途徑來獲取任何存取權。竊賊登堂入室時可能會選擇後門,但如果有機可乘,他們還是寧願從打開的落地窗入侵。 這也是為何發現及瞭解所有企業弱點後,研擬全盤性計畫之所以如此重要的原因。

這份清單並沒有詳盡列出所有弱點,但有一些值得注意的重大弱點:

  • Common Weakness Enumeration (CWE)
  • 開放 Web 應用程式安全專案 (OWASP) 10 大弱點風險
  • 零時差弱點
  • 存取管理不當設定或錯誤
  • 網路/基礎架構的不當設定
  • 工業環境中意外或蓄意的不當設定

這些弱點 (或缺陷) 各自發生在極為不同的攻擊破綻區域。 每一個弱點都代表著一組獨特的挑戰習題,必須運用各種技巧才能妥善管理。 傳統 IT 環境下的硬體資產弱點絕大多數都是過往已經發現及確定的 CVE,因此資安專業人員可以判斷各個弱點對企業造成的風險等級,IT 人員也可以透過適用的修補程式以及其他指定的修復方式著手化解這些安全威脅。

CWE 則是自訂 Web 應用程式、編譯完成之應用程式和硬體中的現有弱點。 CWE 是指弱點的基本類型或弱點類別,而不是某個執行個體。 事實上,每一個 CWE 執行個體往往都有其獨特性質,因此必須針對每一個執行個體採取自訂的修復措施。 應用程式 CWE 的數量或許不如硬體的 CVE,但有效緩解 CWE 所需的時間和資源卻是 CVE 的好幾倍。

請謹記,上述弱點只是就企業面臨的眾多弱點類型列舉其二而已。 除了這些弱點之外,還存在眾多零時差弱點以及企業攻擊破綻中各式各樣的不當設定,很快這些弱點將會排山倒海而來,資安團隊難以有效控管。 由於大多數的資安人員各自使用不同的工具來對付各類弱點,而且其中多數都採手動評估,使得弱點管理難上加難。

有效管理企業所有弱點最難的一部分,或許可說是在第一時間發現及評估弱點。 由於每個弱點的特性各異,往往需要專門工具才能正確辨別各類弱點。 弱點管理工具可以非常有效的管理 CVE,但 Web 應用程式還是需要應用程式掃描器。 同理,工業環境也需要量身打造的專用工具。 當然,所謂的不當設定視評估的環境或資產群組而定,彼此也有很大的差異。

空有來自多個攻擊破綻區域的這些零散資料,卻幾乎無法以人工方式評估全部資料,也就無法依據對企業造成最高風險的弱點來排定修復的優先順序。 為了讓一切作業順利,團隊需要一個集中化管理的平台才能整合所有資料,並使用機器學習演算法、背景情資和預測分析一次評估所有資料,進而確定哪些弱點應優先修復。

可搜尋及評估企業中所有安全資料的全面平台具有以下優點:

  • 將視角延伸至 CVE 之外,準確判斷整個環境的狀況
  • 查看整個環境中相關的所有弱點,以便制定更明智的風險緩解決策
  • 使資安團隊採取的措施更符合非技術人員的業務對象所需的目標,進而使整個企業的目標更加一致
  • 改進資安處理流程,改採積極且策略化手法

因此,儘管評估和修復 CVE 絕對是降低網路風險不可或缺的必要步驟,但全盤性的資安策略則需要您解決所有弱點。

深入瞭解

相關文章

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

tenable.io

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable.io Vulnerability Management 試用版也包含 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。

最新 - Nessus Expert 現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Professional 試用。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

Tenable.io

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable.io Vulnerability Management 試用版也包含 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

Tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買

試用 Tenable.io Web Application Scanning

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web Application Scanning 試用版也包含 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.cs Cloud Security。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

您的 Tenable Lumin 試用版也包含 Tenable.io Vulnerability Management、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

試用 Tenable.cs

享受完全存取偵測與修復雲端基礎架構錯誤設定及檢視執行階段弱點的功能。立即註冊取得您的免費試用軟體。如需深入瞭解試用流程,請點擊此處。

您的 Tenable.cs Cloud Security 試用版也包含 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.io Web Application Scanning。

聯絡業務代表購買 Tenable.cs

聯絡業務代表,以深入瞭解 Tenable.cs Cloud Security 如何輕鬆讓您的雲端帳戶上線,以及如何在數分鐘內輕鬆取得雲端錯誤設定與弱點的能見度。

免費試用 Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已擁有 Nessus Professional 嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練