將資料轉化為行動：以情資推動的弱點管理

利用背景資訊排定弱點的優先順序一直以來都是弱點管理團隊的挑戰，而由於公佈的 CVE 數量持續增加，這項工作也變得更加困難。為了解決這個問題，許多企業被迫投資在產品和服務上，以便利用各種情資和工具來保護他們的環境。在這篇部落格貼文中，我們將說明 Tenable Vulnerability Intelligence (弱點情資) 和 Exposure Response (曝險應變) 功能如何協助企業做出以資料為導向的決策，以變更善於優先排序以及落實他們的計畫。

弱點管理對企業而言似乎是一個難以跨越的障礙。如何應對大量且數量快速增加的已公佈 Common Vulnerabilities and Exposures (CVE)。做為一家從一開始成立就專注於弱點管理的企業，Tenable 也與這個問題戰鬥，不過更加複雜：由於我們廣大的客戶群，我們必須能在盡可能最多的產品中涵蓋最多的 CVE，同時還要能維持風險背景資訊、正確性與可靠性。

該解決方案並不是要試圖檢查每一個可能的 CVE 組合與受影響的產品。我們必須利用精確且鎖定的背景資訊優先處理最重大的弱點。為了快速又準確地做出這些決定，Tenable 同時運用了來自外部來源與 Tenable Research 大量可搜尋的弱點資訊資料庫。這也是 Tenable Vulnerability Management 產品中新推出的一項名為 Vulnerability Intelligence (弱點情資) 的功能所使用的同一個資料來源,其目的是協助客戶更善加落實他們的弱點管理方案，並且快速做出以資料為導向的優先排序決策。

狀況不秒，而且愈來愈糟

目前時間才到了 2024 年的一半，預計今年公布的 CVE 數量應該會超過 30,000 個。雪上加霜的是，我們在底層元件、架構和語言資料庫中觀察到越來越多的 CVE。這代表企業不只是要修復單一應用程式，而是要向下追蹤，修復有使用易受攻擊的受影響元件的每一個應用程式。

充分運用 Tenable Vulnerability Intelligence (弱點情資) 制定優先排序策略

Tenable 每天除了為我們重要產品提供最新的弱點涵蓋範圍，我們也持續留意下一個重大弱點，確保我們能盡可能以最快的速度加以應變。運用來自 Tenable Vulnerability Intelligence (曝險應變) 的背景資訊是確保我們能快速做出明智決策的關鍵。此外，在我們面臨大量積壓的 National Vulnerability Database (NVD) 的情況下，Tenable Vulnerability Intelligence (弱點情資) 資料組能讓我們跟上最新弱點和風險的步調，因為我們不會只被單一資料來源限制住。

開啟 Tenable Vulnerability Intelligence (弱點情資) 功能時，您會看到一個代表我們想要強調具有最高威脅的弱點之風險類別的六角形。雖然這不是決定條件所使用的唯一指標，Tenable Vulnerability Intelligence (弱點情資) 中的類別還會根據匯入推動我們風險評分決策的 Tenable 弱點資料庫的資料點。

類別包括：

• 新興威脅：這是一組受到我們安全應變團隊積極監控的弱點，通常從該團隊到 plugin 的開發有直接的途徑，以便涵蓋這些弱點，尤其是 Vulnerabilities of Interest 和 Vulnerabilities of Concern 類別中的弱點。
• Tenable 弱點優先順序評分 (VPR) 能提供您的弱點管理團隊一個以數字表示的分數，以便快速輸入和排序，跟其他評分一樣，瞭解分數背後所代​表的背景資訊非常重要。
• 勒索軟體突顯與這類攻擊有關的弱點，由於是在重要的企業應用程式之中，因為這些弱點可能會對任何一家企業造成特別危險的攻擊。

如上面螢幕截圖所示，專注於這些目標類別的任何一項，就能大幅減少應聚焦的 CVE 數量。Contrasted against the about 250,000 CVEs that have been published, the numbers above become far more manageable and speak to real risk, as opposed to the severity scores that come from leveraging CVSS metrics.

將資料轉化為優先排序策略

有許多企業仍根據基本的優先排序指標執行作業，無論是鎖定特定產品、CVSS 分數或專屬規定。通常這是由於他們必須遵守特定的合規性標準，或者只是因為需要有某種可衡量的標準而已。雖然以簡易的 CVSS 分數或嚴重性追蹤與衡量很直接明瞭，但卻無法提供太多背景資訊，也無法提供一個可證明風險影響性的策略。

這也正是 Tenable Vulnerability Management 中最新的 Exposure Response (曝險應變) 功能可協助我們的地方。Tenable Exposure Response 能讓團隊研擬出可衡量以及能夠反映出真正風險的弱點管理策略。任何一種弱點管理方案中最重要的工具之一，就是追蹤績效的能力。不幸的是，由於新弱點的數量最終都被定期修復的弱點數量抵銷，使得大多數的圖表看起來都是一條沒有起伏的水平線。透過擁有更精準的目標，就有可能在經過一段時間後真正能衡量成效，並設定可達成的服務等級協議 (SLA) 目標。

CISA KEV 計畫

美國網路安全暨基礎設施安全局 (Cybersecurity and Infrastructure Security Agency) 的已知被利用弱點 (Known Exploited Vulnerabilities，簡稱 KEV) 目錄 已成為一項寶貴且常用的資源，能夠讓企業將重點放在有證據顯示受到猖獗利用的特定弱點上。雖然 KEV 也並不完備，但與這些特定 CVE 相關的風險以及許多企業付出在 KEV 上的關注使其成為 Tenable Research 團隊用來追蹤弱點涵蓋範圍的一些基準之一。使用 Tenable Exposure Response (曝險應變)，弱點管理團隊就能同樣地建立一個可追蹤、基於 CISA KEV 的方案，來比較他們的修復工作效能評定。如前所述，服務等級協議 (SLA) 和效能評定是任何修復策略的關鍵。我們致力於盡可能以最快的速度涵蓋 KEV 弱點，理想上是在這些弱點被列入 KEV 之前，不過，如果無法在此之前，通常也會在 KEV 公布後的數小時內就加以涵蓋。

Tenable Exposure Response (曝險應變) 可提供您真正需要的工具，建置這類的衡量標準。有了與 KEV 相關的能見度和風險，將服務等級協議設定為幾天之內以及將目標設定在維持修復超過 90% 發現的弱點，才會變得有意義。關鍵是確保能夠衡量與達成企業所實施的策略。

與已公布的 CVE 就有 250,000 個不同，CISA KEV 目錄中只有 1134 個 CVE。由於每個月只有少數的 CVE 會被新增至 KEV 中，這些才會是一組具影響力的 CVE，能夠讓團隊真正用來衡量成效。

總結

弱點修復的優先排序與落實一直以來都是弱點管理團隊最主要的挑戰。每年公布的大量弱點代表著團隊根本無法追趕，而缺乏易於存取的背景資訊通常也讓優先排序淪為猜測、產生大量工作、或成效不彰的有限修復成果，例如只能專注於 CVSS 嚴重性。Tenable Vulnerability Management 推出 Vulnerability Intelligence (弱點情資) 功能，在單一位置提供所有需要的背景資訊，而 Exposure Response (曝險應變) 則能落實目標性、可衡量的弱點管理工作流程。

深入瞭解

• 歡迎參加我們的網路研討會：「從沮喪不已到提高效率：利用 Tenable 解決方案最佳化您的弱點管理工作流程與安全性
• 閱讀新聞稿
• 取得有關 Vulnerability Intelligence (弱點情資) 和 Exposure Response (曝險應變) 功能的更多資訊
• 查看 Tenable Vulnerability Management 產品頁面