這就是簡單、快速又正確地執行 Web 應用程式安全的方法

在今日，Web 應用程式是造成資料外洩最常見的攻擊媒介。以下將說明由 Tenable Research 精心打造的 Tenable.io Web Application Scanning 如何協助資安團隊保護其 Web 應用程式資產。

如果我們說 Web 應用程式帶動了世界的運轉，這句話其實一點也不為過。Web 應用程式能為關鍵的利害關係人提供重要新聞和資訊、執行行銷活動、進行銷售交易、並協助您更有效地與客戶合作及互動。隨著業務愈來愈數位化，尤其在現在這個時期，我們從無數個例子中看到 Web 應用程式的重要性急劇攀升，包括從部署新的遠距醫療入口網站的基層醫療提供者、到提供電子商務服務的當地雜貨店。現在就讓我們來看看 Web 應用程式有多麼無所不在：全球 Web 應用程式的數量正快速逼近 20 億。¹

由於大多數的 Web 應用程式在設計上都能被外部使用者輕易存取得到，因此這種無所不在的特質也成為它最大的陷阱。Web 應用程式容易受攻擊的缺點可說是惡名昭彰。整體而言，我們所談論的是威脅執行者能夠利用攻擊套件進行攻擊的數百億個高風險 Web 應用程式弱點。因此，Web 應用程式一直都是造成今日資料外洩最常見的攻擊媒介，也就沒什麼好意外了。²

現今的 Web 應用程式瞬息萬變，對於資安團隊而言，要跟上最新揭露的弱點持續更新的腳步十分困難。不幸的是，大多數的企業都沒有適當的應用程式安全資源。³除此之外，若沒有豐富的專業知識，許多解決方案不但成本高昂、而且也難以使用。只有非常少數的資安團隊擁有全面性的流程來保障 Web 應用程式及其 IT 資產的安全，其中，IT 資產還會帶來更高的複雜性。

其結果是絕大多數的 Web 應用程式都沒有針對可能使企業潰不成軍、客戶交易終止或導致機密客戶資料遺失的關鍵性弱點進行評估。

保護 PHP 程式，其實並不需要博士學位

要克服應用程式安全複雜性最簡單的方法之一，就是將您現在已有的防護平台延伸至您的 Web 應用程式上。這樣做不只能簡化您的安全技術架構，也能充分運用您已熟悉的工作流程帶來的優勢來啟用新的掃描、分析掃描結果、排定弱點的處理優先順序、以及自訂報告。對於沒有配置應用程式安全專家團隊的資安組織來說，這一點尤其重要。 

這也是我們開發出 Tenable.io Web Application Scanning 的原因。該產品由資安從業人員專為資安從業人員所設計。使用者在數分鐘內就能迅速設定掃描，而不用花費數小時或數日手動調校，才能得到有意義的結果。它是由業界規模最大的弱點研究團隊 Tenable Research 所打造，能夠提供 Web 應用程式最全方位且最正確的弱點涵蓋率。 

當我們的安全回應團隊一發現新的危險性 Web 應用程式弱點，弱點偵測就會被迅速新增至 Tenable.io Web App Scanning 中，因此使用者就能偵測到並加以修復。在最近的 WordPress 外掛程式攻擊例子中，全新的弱點偵測在短短幾個小時內就發佈了。此外，所有經由 Tenable.io Web App Scanning 評估過的 Web 應用程式都會整合進 Tenable.io 的資產檢視畫面中，其中也包含您的傳統 IT 和雲端資產，為您的整個攻擊破綻提供統一的能見度。 

Tenable.io Web App Scanning 推出令人振奮的最新功能

Tenable.io Web App Scanning 就是如此無與倫比。自 4 月 30 日起，針對 Tenable.io Web App Scanning 的新客戶，我們發表了多項重要的全新產品改良功能。如果您是 Tenable.io Web App Scanning 既有客戶，只要再短短幾個星期後，也能充分利用這些新功能帶來的好處，確保您擁有完美的產品使用體驗。新功能包括：

• 完全整合的儀表板可提供統一的能見度Tenable.io Web App Scanning 資料現已與 Tenable.io 儀表板和小工具庫完全整合。建立全新的自訂儀表板與小工具，將 IT、雲端和 Web 應用程式弱點資料結合在單一統一檢視畫面中。如此就能協助您分析及深入 Web 應用程式，就像您對整個攻擊破綻中的其他資產所做的一樣，以發現並修復最重要的弱點。 

• 支援單一頁面應用程式，達到強化的偵測能力。現在，全新的先進掃描引擎可支援許多 Web 應用程式掃描程式看不到的動態 JavaScript 型單一頁面應用程式。其他弱點偵測功能還包括支援 Apache Solr、針對原始碼外洩弱點以及 PHP、Joomla 和 Drupal 中數十種元件弱點的全新 plugin。
• 快速發現常見 Web 應用程式瑕疵。預先定義的掃描範本能讓您快速找出與 SSL/TLS 憑證及 HTTP 標頭錯誤設定有關的常見 Web 應用程式網路狀況問題。這些掃描只需要數秒鐘的時間設定，而且在數分鐘內就能獲得結果，讓您快速取得深入見解。

此外，由於 Tenable.io Web App Scanning 是由 Tenable Research 精心打造，因此它擁有世界級研究機購所提供的所有效益，包括：首屈一指的 CVE 涵蓋率，以及排名第一的新弱點偵測掃描正確率與速度。這些特色都能賦予您信心，讓您的開發團隊不會浪費時間在修復誤報的問題上，或遺漏了可能會被攻擊者利用的弱點。

免費試用 Tenable.io Web App Scanning

自 4 月 30 日起，我們將提供所有 Tenable.io 的客戶免費存取 Tenable.io Web App Scanning 30 天的權益，就算您過去曾經評估過也仍適用。客戶將會收到評估邀請，並且可在 Tenable.io 中直接選擇加入。查看 Web 應用程式安全資料如何與您既有的儀表板和工作流程整合、以達到統一能見度的第一手資訊。

您還不是 Tenable.io 的客戶嗎？沒問題。您還是可以免費試用 Tenable.io Web App Scanning，以瞭解它如何快速設定新的 Web 應用程式掃描及分析結果。

深入瞭解 Tenable.io Web App Scanning

在開始免費評估前想瞭解更多資訊嗎？歡迎參加我們即將在 5 月 20 日舉辦的網路研討會「RCE 與遠端員工，您的 Web 應用程式有多容易受到攻擊？」我們將分享有關 Web 應用程式弱點和威脅的最新研究見解，以及 Tenable.io Web App Scanning 的深度產品示範。保留您的席次，立即報名。

開始免費試用

_{1. https://www.internetlivestats.com/total-number-of-websites/
2. 2019 Data Breach Investigations Report, Verizon, 2019
3. The Life and Times of Cybersecurity Professionals 2018, ESG, 2019}