Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

過於以 CVE 為主會使企業容易遭到攻擊

CWE 以及其他弱點都需要一個集中式的儀表板,以便進行全盤的網路風險評估

越來越多的網路安全專業人員汰換掉原來舊型的弱點管理方案,而改以哪些弱點構成最高的企業風險為準來排定修復的優先順序。 雖然大方向確實正確,但對於絕大多數的企業而言,這意味著完全以 Common Vulnerabilities and Exploits (CVE) 為重心。

網路安全產業中絕大多數的從業人員都認為 CVE 就是弱點,這兩個名詞可互相替換。 但「弱點」的廣義定義為:資訊系統、系統安全程序、內部控管或執行措施中的缺陷,安全威脅可能會利用這些缺陷或發動攻擊。 換句話說,弱點其實是使企業容易遭到網路攻擊的一切漏洞。 

雖然未經修補的 CVE 的確符合以上定義,但卻不是唯一符合這些條件的弱點。 無論如何,攻擊者都會不擇手段的入侵企業 他們會選擇最不容易發生激烈抵抗的途徑來獲取任何存取權。竊賊登堂入室時可能會選擇後門,但如果有機可乘,他們還是寧願從打開的落地窗入侵。 這也是為何發現及瞭解所有企業弱點後,研擬全盤性計畫之所以如此重要的原因。

這份清單並沒有詳盡列出所有弱點,但有一些值得注意的重大弱點:

  • Common Weakness Enumeration (CWE)
  • 開放 Web 應用程式安全專案 (OWASP) 10 大弱點風險
  • 零時差弱點
  • 存取管理不當設定或錯誤
  • 網路/基礎架構的不當設定
  • 工業環境中意外或蓄意的不當設定

這些弱點 (或缺陷) 各自發生在極為不同的攻擊破綻區域。 每一個弱點都代表著一組獨特的挑戰習題,必須運用各種技巧才能妥善管理。 傳統 IT 環境下的硬體資產弱點絕大多數都是過往已經發現及確定的 CVE,因此資安專業人員可以判斷各個弱點對企業造成的風險等級,IT 人員也可以透過適用的修補程式以及其他指定的修復方式著手化解這些安全威脅。

CWE 則是自訂 Web 應用程式、編譯完成之應用程式和硬體中的現有弱點。 CWE 是指弱點的基本類型或弱點類別,而不是某個執行個體。 事實上,每一個 CWE 執行個體往往都有其獨特性質,因此必須針對每一個執行個體採取自訂的修復措施。 應用程式 CWE 的數量或許不如硬體的 CVE,但有效緩解 CWE 所需的時間和資源卻是 CVE 的好幾倍。

請謹記,上述弱點只是就企業面臨的眾多弱點類型列舉其二而已。 除了這些弱點之外,還存在眾多零時差弱點以及企業攻擊破綻中各式各樣的不當設定,很快這些弱點將會排山倒海而來,資安團隊難以有效控管。 由於大多數的資安人員各自使用不同的工具來對付各類弱點,而且其中多數都採手動評估,使得弱點管理難上加難。

有效管理企業所有弱點最難的一部分,或許可說是在第一時間發現及評估弱點。 由於每個弱點的特性各異,往往需要專門工具才能正確辨別各類弱點。 弱點管理工具可以非常有效的管理 CVE,但 Web 應用程式還是需要應用程式掃描器。 同理,工業環境也需要量身打造的專用工具。 當然,所謂的不當設定視評估的環境或資產群組而定,彼此也有很大的差異。

空有來自多個攻擊破綻區域的這些零散資料,卻幾乎無法以人工方式評估全部資料,也就無法依據對企業造成最高風險的弱點來排定修復的優先順序。 為了讓一切作業順利,團隊需要一個集中化管理的平台才能整合所有資料,並使用機器學習演算法、背景情資和預測分析一次評估所有資料,進而確定哪些弱點應優先修復。

可搜尋及評估企業中所有安全資料的全面平台具有以下優點:

  • 將視角延伸至 CVE 之外,準確判斷整個環境的狀況
  • 查看整個環境中相關的所有弱點,以便制定更明智的風險緩解決策
  • 使資安團隊採取的措施更符合非技術人員的業務對象所需的目標,進而使整個企業的目標更加一致
  • 改進資安處理流程,改採積極且策略化手法

因此,儘管評估和修復 CVE 絕對是降低網路風險不可或缺的必要步驟,但全盤性的資安策略則需要您解決所有弱點。

深入瞭解

相關文章

您是否容易受到最新攻擊程式危害?

輸入您的電子郵件地址,以便收到最新 cyber exposure 警示。

tenable.io

免費試用 30 天


享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

Tenable.io 免費試用 30 天

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

Tenable.io 購買

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買

試用 Tenable.io Web Application Scanning

免費試用 30 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable.io Container Security

免費試用 30 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器映像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

試用 Tenable Lumin

免費試用 30 天

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

試用 Tenable.cs

免費試用 30 天 享受完全存取偵測與修復在您軟體開發生命周期設計、建構和執行階段的雲端基礎架構錯誤設定的功能。

購買 Tenable.cs

聯絡業務代表,深入瞭解雲端安全性以及如何從程式碼到雲端給您完整的安全保障。