Tenable Vulnerability Management 常見問答集

一般問題

什麼是 Tenable Vulnerability Management？

Tenable Vulnerability Management 是一款風險型弱點管理解決方案，能提供您完整的網路能見度，以預測攻擊與快速回應重大弱點。 採用「永不停頓」的方式持續地搜尋與評估，提供企業所需的能見度，找出企業網路上的所有資產以及這些資產上的隱藏弱點。 內建的優先順序排定、威脅情報和即時報告等功能可協助企業瞭解風險，並主動中斷攻擊路徑。 建構在 Tenable Nessus 先進技術的基礎上並在雲端中管理，讓企業全盤掌握網路上的資產與弱點，以便快速精準地瞭解風險，知道哪些弱點是當務之急，需優先修復。

Tenable Vulnerability Management 是 Tenable One 曝險管理平台中不可或缺的組成元件。 Tenable One 建構在 Tenable.io Vulnerability Management 之上，可為您整個基礎架構 (包括：雲端執行個體、Web 應用程式、Active Directory [AD] 等等) 的安全風險提供可據以行動的深入解析，甚至高度動態的資產也不是問題，例如行動裝置、虛擬機器和容器。 為了進一步提升網路風險管理能力，您還可獲取額外的優先排序數據和功能，例如攻擊破綻視覺化、資產重要性評分、風險型曝險評分及同業效能評定以及追蹤經過一段時間風險降低情形的能力。

該如何深入瞭解 Tenable Vulnerability Management？

如要深入瞭解 Tenable Vulnerability Management，歡迎造訪 Tenable Vulnerability Management 產品頁面、參加即將舉辦的網路研討會或聯絡您的 Tenable 認證合作夥伴或 Tenable 代表人員，獲取更多資訊。

我要如何評估 Tenable Vulnerability Management 應用程式？

請透過造訪 https://www.tenable.com/try網站登錄，以取得 Tenable Vulnerability Management 免費評估軟體。

我要如何購買 Tenable Vulnerability Management 應用程式？

您可以透過您當地的 Tenable 認證合作夥伴、聯絡您的 Tenable 代表人員或造訪 zh-tw.tenable.com 網站購買 Tenable Vulnerability Management 應用程式。

我可以取得 Tenable 應用程式的單獨授權嗎？

可以。您可以分開授權 Tenable 應用程式。 例如，如不需要 Tenable Vulnerability Management 的弱點管理功能，Tenable Web App Scanning 可以單獨授權。

Tenable Vulnerability Management 如何定價和授權？

Tenable Vulnerability Management 採年度訂閱的方式授權，依資產而非 IP 位址定價。 這使得客戶能夠擁抱雲端等新科技，無須擔心重複計算的問題。

如需更多有關定價和授權的資訊，請參閱下文中此部分。

什麼是資產？

資產是指：

• 其作業系統連線至網路的實體或虛擬裝置
• 有完整網域名稱 (FQDN) 的 Web 應用程式
• 處於活動狀態 (非終止狀態) 的雲端資源

其他 Tenable Vulnerability Management 應用程式的定價與授權方式為何？

Tenable Web App Scanning 採年度訂閱的方式授權，依資產數量定價。 Tenable Web App Scanning 是按照該產品所評估的完整網域名稱 (FQDN) 總數來定價。

如需更多有關定價和授權的資訊，請參閱下文中此部分。

Tenable 是否為 Tenable Vulnerability Management 提供服務等級協議 (SLA)？

可以。Tenable 以可靠的 Tenable Vulnerability Management 服務等級協議 (SLA) 提供弱點管理產業首創的運轉率保證。 如未達到 SAL，則將提供服務點數作為補償，就像其他領導性的雲端廠商 (如 Amazon Web Services [AWS]) 的做法。

我要在哪裡找到有關 Tenable Vulnerability Management 的說明文件？

所有的 Tenable 產品，包括 Tenable Vulnerability Management 在內的技術文件，都可以在 https://docs.tenable.com 上找到。

Tenable 會使用哪些 IP 從雲端進行掃描？

依預設，Tenable Vulnerability Management 設定為區域特定的雲端掃描器。 如要查看更多資訊，請檢視我們的說明文件。

我要如何同時使用 Tenable Security Center 和 Tenable Vulnerability Management？

可以。您兩種解決方案都可以使用。 客戶可以選擇同時使用 Tenable Security Center 和 Tenable Vulnerability Management 進行混合型弱點管理部署。 對 Tenable Vulnerability Management PCI/ASV 或其他 Tenable Vulnerability Management 應用程式有興趣的客戶，除了 Tenable Security Center 執行個體外，也可以選擇混合型部署。

我可以從 Tenable Security Center 移轉到 Tenable Vulnerability Management 嗎？

可以。針對有興趣的客戶，我們提供各種選項讓您可以透過 Tenable 或通過認證的合作夥伴的完整支援下，順暢地從 Tenable Security Center 移轉至 Tenable Vulnerability Management。 如需更多資訊，請聯絡您的 Tenable 認證合作夥伴或 Tenable 代表人員。

何謂外部攻擊破綻管理 (External Attack Surface Management，簡稱 EASM)？

外部攻擊破綻管理 (EASM) 是 Tenable 針對您網路邊界以外的盲點提供能見度的功能。它能讓您掃描您的網域，以找出之前未知的網際網路連線資產，這些資產可能會對貴公司帶來高風險。

外部攻擊破綻管理 (EASM) 包含在 Tenable Vulnerability Management 當中嗎？

是的，Tenable Vulnerability Management 提供外部攻擊破綻管理 (EASM) 功能。 如果您需要更多網域、更高的頻率和/或在結果中提供更多結構資料，您可以購買我們的 Tenable Attack Surface Management 附加元件。

什麼是 Tenable Web App Scanning？

Tenable Web App Scanning 是一種動態應用程式安全測試 (DAST) 應用程式。 DAST 會透過前端深入執行中的 Web 應用程式，建立一個網站地圖，將所有的網頁、連結和表單納入其中以進行測試。一旦 DAST 建立好網站地圖，它就會透過前端來調查網站，確認應用程式自訂程式碼中是否有任何弱點，或是組成該應用程式主體的第三方元件中是否有任何已知弱點

我要在哪裡學習更多內容或評估 Tenable Web App Scanning？

如需更多有關 Tenable Web App Scanning 的資訊，歡迎造訪 Tenable Web App Scanning 產品頁面。 請造訪 tenable.com/try-was 註冊取得免費的試用版，或聯絡您的 Tenable 認證合作夥伴或 Tenable 業務代表取得更多資訊。

這項產品會掃描原始程式碼或執行統計分析嗎？

排名第Tenable Web App Scanning 是一種動態應用程式安全測試 (DAST) 解決方案，可以在應用程式於測試或生產環境中執行時，「從外部」測試 Web 應用程式。

彈性資產授權問題

建置於 Tenable Vulnerability Management 之中的彈性資產授權，是一項讓弱點管理授權能夠配合當今彈性的 IT 環境的創新設計。 彈性資產授權能夠避免擁有多個和/或變動 IP 位址的資產遭到重複計算。此外，它還會從最近未掃描到的資產自動回收授權，包括已淘汰資產和誤掃描資產。

何謂 Tenable Vulnerability Management 彈性資產授權方式？

彈性資產授權方式的主要好處有：

• 客戶可以依據資產數量而非膨脹的 IP 數量購買正確數量的授權。
• 客戶在可以避免從停止使用和/或誤掃描的資產收回授權，從而避免執行耗時且經常不正確的專案。
• 在擁有多個 IP 位址的資產中，弱點管理指標不會因為弱點被計算成兩、三倍而損毀。

Tenable Vulnerability Management 會管理哪些客戶資產以及弱點資料？

彈性資產授權方式的主要好處有：

• 客戶可以依據資產數量而非膨脹的 IP 數量購買正確數量的授權。
• 客戶在可以避免從停止使用和/或誤掃描的資產收回授權，從而避免執行耗時且經常不正確的專案。
• 在擁有多個 IP 位址的資產中，弱點管理指標不會因為弱點被計算成兩、三倍而損毀。

Tenable Vulnerability Management 的客戶可以掃描比授權的數量更多的資產嗎？

是，客戶可以暫時地超出授權的資產數量。當然，如果授權數量持續超出限制，客戶必須予以調整。

Tenable Vulnerability Management 的客戶可以掃描比授權的數量更多的資產嗎？

是，客戶可以暫時地超出授權的資產數量。當然，如果授權數量持續超出限制，客戶必須予以調整。

什麼是資產？

資產指的是能夠接受分析的實體。例如桌上型電腦、筆記型電腦、伺服器、儲存裝置、網路裝置、手機、平板電腦、VM、虛擬機器、監視器和容器。

Tenable Vulnerability Management 如何判別資產？

當 Tenable Vulnerability Management 首次發現某個資產時，會收集多項識別屬性，其中可能包括 BIOS UUID、系統的 MAC 位址、NetBIOS 名稱、FQDN 和/或其他能夠可靠地用於辨識資產的屬性。 此外，經過驗證的掃描和 Nessus 代理程式，會為裝置指派 Tenable UUID。在 Tenable Vulnerability Management 隨後掃描到資產時，會將它與之前發現過的資產比較。 如果新發現的資產與之前發現的資產不符，該資產就會新增到 Tenable Vulnerability Management 資產庫中。

資產和 IP 的區別是什麼？

IP 通常是資產的屬性，許多資產擁有多個指派的 IP (例如 DHCP 裝置、同時擁有有線和無線介面的系統等)。

為什麼資產數大多比 IP 數少？

資產經常擁有多個網路介面卡，讓它們能夠透過多個網路存取。例如，一台網頁伺服器可能同時在生產網路和管理網路上，一台筆記型電腦常常同時擁有有線和無線網路介面。此外，筆記型電腦常會在從一處移動到另一處時取得新的 IP。如果它們以一個 IP 被掃描到，然後又以另一個 IP 被掃描到，就會被計算兩次。

潛在使用者要如何估算資產數？

Tenable Vulnerability Management supports unlimited discovery scans using both active and passive sensors. 客戶可以使用這些掃描，詳盡列出所有的資產清單，並判斷適當的授權規模。

如何避免重複計算同一個資產？

Tenable Vulnerability Management 支援以各種方式，避免同樣的資產受到雙重或三重計算，以計算出適當的授權規模。 對於傳統資產，Tenable Vulnerability Management 會使用專利演算法比對新發現的資產和已發現的資產，以去除重複計算，確保更為準確的弱點報告。

PCI ASV

什麼是 PCI ASV？

ASV 掃描的範圍包含哪些系統？

PCI DSS 規定針對隸屬持卡人資料環境中，掃描客戶所擁有或運用之可由外部存取 (網際網路對向) 的所有系統元件，以及任何提供持卡人資料環境路徑的向外系統元件進行弱點掃描。

什麼是 ASV 程序？

ASV 掃描的主要階段包含：

• 範圍設定： 由客戶執行，以納入隸屬持卡人資料環境所有面向網際網路的系統元件。
• 掃描： 使用 Tenable Vulnerability Management PCI 季度外部掃描範本
• 報告/修復： 修復過渡時期報告的結果。
• 爭議解決： 客戶與 ASV 共同努力記錄和解決爭議的掃描結果。
• 重新掃描 (視需要)： 直到產生的可解決爭議和例外狀況通過掃描。
• 最後報告： 以安全方式提交與遞送。

需要多久執行 ASV 掃描一次？

ASV 弱點掃描至少必須每季執行一次或在任何重大網路變更後執行，例如安裝新系統元件、變更網路拓撲、修改防火牆規則或升級產品時。

授權掃描服務商 (ASV) 與合格安全評估商 (QSA) 有何不同？

根據 PCI DSS 11.2 所述，合格的授權掃描服務商 (ASV) 專門只執行外部弱點掃描。 合格安全評估商 (QSA) 指的是符合 PCI Security Standards Council (SSC) 資格和訓練可執行一般 PCI DSS 到場評估的評估商公司。

Tenable PCI ASV 解決方案的功能

Tenable 是經認證的 PCI ASV 嗎？

可以。Tenable 是一家合格的授權掃描服務商 (ASV)，可為商家和服務供應商驗證面向網際網路的環境 (用於儲存、處理或傳輸持卡人資料) 的外部弱點掃描。 ASV 資格認證程序包含三個部分：第一個牽涉到 Tenable Network Security 服務商資格認證。第二部分則是負責進行遠端 PCI 掃描服務的 Tenable 員工資格認證。 第三部分包含 Tenable 遠端掃描解決方案 (Tenable Vulnerability Management 和 Tenable PCI ASV) 的安全測試。

身為授權掃描服務商 (ASV)，Tenable 是否會實際執行掃描？

ASV 可執行掃描。不過，Tenable 依賴客戶使用 PCI 季度外部掃描範本來自行進行掃描。此範本可防止客戶變更組態設定，例如停用弱點檢查、指派嚴重性等級、更改掃描參數等。 客戶使用 Tenable Vulnerability Management 雲端型掃描器來掃描其面向網際網路的環境，然後提交合規掃描報告給 Tenable 作為證明。 Tenable 會驗證掃描報告，然後客戶再依照支付組織所指示將這些報告提交給其收單機構或支付組織。

資料主權

Tenable PCI ASV 是否符合歐盟資料主權規定？

弱點資料不屬於 EU DPD 95/46/EC 資料，因此任何資料保留規定都是因應客戶需要，而非監管機構要求。歐盟國家政府組織可擁有各自的資料保留規定，但這些規定必須逐例予以評估，且不會對 PCI-ASV 掃描造成任何問題。

Tenable Vulnerability Management ASV 定價/授權/訂購方式

Tenable Vulnerability Management 有包含任何 PCI ASV 授權嗎？

是的，Tenable Vulnerability Management 包含適用於單一且獨特 PCI 資產的 PCI ASV 授權。部分組織大費周章地透過外包支付處理功能限制 PCI 範圍內的資產。由於這些客戶可以說「不在 PCI 產業中」，因此 Tenable 已簡化了他們的採購和授權。 客戶每 90 天可變更其資產一次。

Tenable PCI ASV 的授權方式為何？

對於擁有超過一個以上獨特 PCI 資產的客戶，Tenable PCI ASV 解決方案會授權為 Tenable Vulnerability Management 訂閱的附加元件。

Tenable PCI ASV 的授權為何不是根據客戶的面向網際網路 PCI 資產數量？

在實體的持卡人資料環境 (CDE) 內或提供路徑的網際網路對向的主機數量可能會頻繁變更，因此造成授權的複雜性。Tenable 選擇使用更簡單的授權方式。

客戶每季可提交多少個證明？

客戶可提交無限數量的季度證明。

試用/評估客戶是否有資格可評估 Tenable PCI ASV？

是。評估客戶可以使用 PCI Quarterly External Scan 範本來掃描資產及檢討結果。不過，他們無法提交掃描報告作為證明。