Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

弱點管理:您必須知道的一切

何必踏破鐵鞋無覓處?關於弱點管理您所需知道的一切就從這裡開始。

弱點管理是一個持續進行的過程,包括主動資產搜尋、持續監控、緩和風險、修復和防禦策略,保護企業的現代 IT 攻擊破綻不會遭遇 Cyber Exposure 的風險。無論您是需要再次進修的網路安全高階主管、新進的弱點管理從業人員,或者您正在考慮購買弱點管理平台以減少 Cyber Exposure,本頁都是學習弱點管理知識的必要樞紐。

適合所有人的弱點管理
以下是一些您會發現的重點:
執行弱點管理,請拋開試算表

您的弱點管理方案仍在使用試算表嗎?現在是拋開試算表及提高效率的時候了,您將擁有更多時間專注在更迫切的需求上。

深入瞭解
弱點管理基本原則與其他隨選網路研討會

藉由持續搜尋資產、收集資料以及強化搜尋功能,克服資產管理挑戰。

深入瞭解
弱點管理常見問答集

有關於弱點管理的任何問題嗎?有關快速參考指南,請查看本常見問答集。

深入瞭解
弱點管理解決方案

透過五個簡單步驟,讓弱點管理流程更加健全:搜尋。評估。安排優先順序。修復。衡量。

深入瞭解
弱點管理計畫與流程

藉由利用最佳做法與有效流程建立穩固的弱點管理基礎,增進大型企業網路安全方案的整體成功。

深入瞭解
Tenable 弱點管理社群

希望與其他弱點管理專業人員交流嗎?Tenable Community 是獲得靈感、取得支援以及分享絕佳想法的理想所在。

深入瞭解

管理和衡量現代攻擊破綻,準確瞭解並降低 Cyber Exposure

辨識、調查、排定優先順序、減輕與因應

弱點管理是需要持續進行以減少 Cyber Exposure 的過程,也是整體網路安全方案的一部分。利用 Tenable.io,您就可以在整個攻擊破綻中精確地找出、調查並排定弱點的優先順序,然後在單一平台中立即評估關於您所有資產和弱點最正確的資訊。

深入瞭解

返回頂端

弱點管理技術見解

雲端弱點管理解決方案應具備的功能

選擇雲端型弱點管理解決方案

雲端弱點管理解決方案容易部署和維護,可以隨著企業需求的變更,協助企業快速擴充,並採用新功能以及增強的安全措施。

雲端型弱點管理解決方案亦可提供貴企業在開支方面的彈性。原因何在?因為多數雲端託管弱點管理解決方案的前期成本較少,因此一般來說相關的持續開支也較少。

無論是內部部署或是雲端託管,每個弱點管理解決方案都有各種優點與缺點。在選擇供應商之前,請思考一下弱點管理方案的目標。您希望達成什麼目標,以及選擇的解決方案如何能提供最佳的協助?

閱讀更多

以下是在評估雲端弱點管理廠商之前可以思考的一些其他問題:

  • 您是否為弱點管理方案確立了目標與目的
  • 您是否知道自己的目標與目的與弱點管理解決方案的關聯
  • 您是否曾經探索雲端型弱點管理解決方案如何發揮它們的關鍵功能
  • 您是否瞭解弱點管理解決方案如何利用雲端為企業帶來好處?
  • 您對於目前與新興弱點的涵蓋範圍有何預期與瞭解為何?
SANS 弱點管理調查

SANS 弱點管理調查

您可透過其他弱點管理從業人員學到什麼

無論企業的規模大小,都面臨快速變遷的 IT 環境,有更多的資產需要搜尋與保護,而要評估的弱點數量也更甚以往。

SANS 弱點管理調查探討了企業如何管理數量不斷增加的弱點,以及他們如何解決自身面臨的挑戰。它同時也提供了管理攻擊破綻間弱點的建議方法,無論其演進與改變的速度有多快。

  • 隨著弱點數量的增加,對於頻繁掃描弱點的需求也變得更加重要
  • 進行定期自動掃描,協助減少網路風險
  • 採用持續掃描,近乎即時地洞察攻擊破綻的演進與變更
  • 使用自動化修補工具,確保企業核心業務的軟體、應用程式與作業系統為最新版本

閱讀更多

借助社群的力量來管理弱點

所有 Tenable 弱點管理知識與對話集中在一處

多年以來,Tenable 相關討論都在一個論壇網站上舉辦。使用者可以在此分享意見、提出問題並且交流知識。這些論壇貼文目前已經成為新 Tenable Community 的基礎。對於 Tenable 以及弱點擁有共同興趣的人們,可以在 Tenable Community 齊聚一堂並交換意見。

加入社群

以下是現在可能發生的一些範例對話:

我要如何在 Tenable.io 篩選 OS 弱點?

我有數個團隊負責管理修補的工作。其中一個團隊管理 OS,其他團隊則支援應用程式。我想要根據弱點系列提供分別的報告或是儀表板,如此一來,就不需要在各自報告或是儀表板中承擔彼此的修補責任。

查看答案

我要如何自 Tenable.io 匯出掃描?

本短片內容將示範如何自 Tenable.io 匯出掃描結果。您可以輕鬆地將弱點掃描資料從 Tenable.io 匯出為 .nessus 檔案、PDF、HTML 或是 CSV。

觀看影片

為什麼我的儀表板顯示活躍中的弱點有減少的情況?

即使沒有進行修補或是進行大規模修補,掃描環境中的弱點管理儀表板中的弱點也可能會突然減少。為什麼會發生這種情況?

查看答案

弱點管理常見問題

弱點管理常見問題:

何謂弱點管理?
弱點管理是一種持續進行的方案,運用各種不同的技術與工具來辨識整個企業的 Cyber Exposure 風險,讓其符合企業的經營目標與目的,並且即時修復這些弱點,以保護網路並且維護營運安全。
何謂安全弱點?
安全弱點是指硬體或軟體中存在的弱點或是漏洞 (出錯或是程式設計錯誤),一旦遭到利用可能會損害系統,同時讓攻擊者能夠存取企業的資料與資訊。
什麼是網路監控,它如何協助管理弱點?
網路弱點監控可協助企業發現傳統 IT 基礎設施 (包括網路、伺服器、作業系統和應用程式) 內的弱點、錯誤設定以及其他安全問題。
什麼是資產?
資產是指 IT 環境中的任何硬體或軟體。資產可以包括傳統 IT 資產,例如伺服器、網路和桌上型電腦,但是也可以包括智慧型手機、平板電腦、筆記型電腦、虛擬機器、軟體即服務 (SaaS)、雲端託管技術與服務、web 應用程式、IoT 裝置與容器。持續資產搜尋、評估與管理對於弱點管理方案是否成功非常重要。
何謂攻擊破綻?
攻擊破綻包括網路中可能遭攻擊者利用的多個曝險點 (IT 資產)。從歷史上來看,攻擊破綻是由傳統的 IT 資產所組成 (例如伺服器和網路),但是現今攻擊破綻的範圍非常廣泛而且不斷增加,包括行動裝置 (智慧型手機、桌上型電腦和筆記型電腦)、虛擬機器、雲端基礎架構、web 應用程式、容器和 IoT 裝置。
弱點管理與 Cyber Exposure 有何關聯?
弱點管理是 Cyber Exposure 的基礎,此基礎建立在資產搜尋與重要性、弱點搜尋與確定優先順序,以及可能會直接對企業造成影響的潛在威脅相關的威脅環境。
何謂弱點優先順序評分 (VPR)?
弱點優先順序評分 (VPR) 是 Tenable 的 Predictive Prioritization 流程中的一個環節。VPR 結合了超過 150 多個資料點 (包括 Tenable 與第三方弱點及威脅資料),並且使用機器學習演算法以辨識在未來 28 天內最有可能遭到利用的弱點。演算法會分析 National Vulnerability Database 中的每個弱點 (加上廠商宣布但是沒有發佈在 NVD 中的弱點),藉此預測遭到利用的可能性。VPR 的計分範圍為 0 到 10 分。VPR 為 10 分時,表示是應該優先解決的最嚴重威脅。
何謂 Asset Criticality Rating (ACR)?
所謂 Asset Criticality Rating (ACR) 代表企業內部資產的業務關鍵性影響。ACR 利用掃描結果的資料並運用三個關鍵支柱規則的方法,來自動評估資產關鍵性,該三大關鍵支柱是:網路曝險、裝置類型與裝置功能。這三大關鍵支柱結合之後,可提供 0 到 10 的 ACR 評分。低 ACR 的資產將不會視為具有業務關鍵性。高 ACR 的資產則視為具有業務關鍵性。
何謂 Asset Exposure Score (AES)?
Asset Exposure Score (AES) 是使用弱點優先順序評分 (VPR) 以及 Asset Criticality Rating (ACR) 計算,用於量化資產的弱點狀況,包括資產的弱點威脅、關鍵性以及掃描行為。
何謂 Cyber Exposure Score,它很重要的原因是什麼?
Cyber Exposure Score (CES) 代表整體網路風險,並且可以協助根據資產重要性、業務目標、威脅嚴重性、在近期可能遭到入侵的可能性以及威脅環境,排定修復的優先順序。一旦確定自身的 CES,就可以設定內部以及同業企業間的弱點管理方案基準。如此有助於以主要利害關係人和高階主管 (可能不具備網路安全背景) 能夠理解的方式傳達整個企業的網路風險。



Tenable 在 Forrester Wave™:2019 年第 4 季弱點風險管理報告中獲評為領導者

查看用以評估弱點風險管理廠商的權威分析師指南。

下載報告

Tenable 在 Forrester Wave™ 2019 年第 4 季弱點風險管理報告中被譽為市場領導者

透過弱點管理解決方案成功確保網路安全

無論企業的規模為何,弱點管理都可協助降低企業風險。但是建立成功的弱點管理方案並非易事。它需要目標設定、指標、持續搜尋以及監控,同時必須能夠為企業的利害關係人所接受。不確定從何著手?可以透過五個簡單步驟,讓弱點管理流程更加健全。

  1. 發現

    若沒有正確的工具,實現持續搜尋並完全洞察企業環境可能困難重重,但是這一點對於搜尋和預防攻擊破綻中的盲點又非常重要。若要確保弱點管理成功,重要的第一步是辨識與對應所有運算環境中的每一項資產。

  2. 評估

    接下來,評估所有資產的 Cyber Exposure 程度,包含弱點、設定錯誤和其他資安狀況指標。全方位弱點與錯誤設定評估不僅僅是執行掃描這麼簡單。它同時也會利用各種不同的資料收集技術 (比方在 Tenable.io 中發現的技術),辨識企業的各種安全問題。

  3. 分析

    弱點管理方案成功的第三步是瞭解就安全與業務目標而言的相關曝險,以便能夠根據資產重要性、威脅環境以及弱點嚴重性排定修復的優先順序。

  4. 減輕

    如果能夠順利解決前三個步驟,企業就能夠在加強弱點管理方案上取得初步成功。利用機器學習,企業能夠進一步發現與未來的威脅活動相關的隱藏資料型態。如此將有利於深入洞察在近期內最有可能遭到利用的弱點。以此為切入點,排定需優先緩和的曝險 (如果有的話),然後採用適當的修復流程。

  5. 測量

    最後的建議是衡量 Cyber Exposure 程度並進行指標分析,以作出更完善的業務和技術決策。Tenable.io 中的報告自訂功能將提供容易理解的資料,內容是有關弱點管理方案的功用以及外部基準指標,以協助將方案績效與行業中的類似企業進行比較。

弱點管理,保護大型企業不受 Cyber Exposure 影響

每當提到弱點管理,許多安全團隊僅專注在其部門或是團隊的目標。儘管在傳統上也能取得一定程度的成功,但是大型企業的弱點管理方案如果能夠在安全目標與業務目標達成一致,往往會變得更加強大。

藉由將弱點管理方案與業務目標達成一致,就可以更輕易地建立與分析成功指標,進而將方案的成功以容易理解的方式,傳達給公司高階主管以及董事會成員等主要利害關係人。如此將可協助建立更強大的大型企業方案並且獲得高階主管的支持,能夠存取所需資源以維持方案的彈性、擴充性與成功。以下是針對大型企業弱點管理所提供的五個最佳做法建議:

  1. 建立目標

    辨識可衡量以及有意義的特定元件,然後開始強化攻擊破綻、資產庫以及修補稽核。

  2. 確保資料準確性

    不要侷限您看待弱點整體狀態的角度。確保存取的是可採取行動與即時的準確資料。

  3. 彌補缺失

    為了維持可靠的流程並建立信任關係,需要快速辨識修補問題的來源,並且以例外情況進行追蹤。

  4. 處理相互依存和衝突的問題

    瞭解流程如何影響貴公司的個人與團隊,以建立成功的弱點管理方案。

  5. 瞭解應衡量的重點

    衡量的重點應該放在例外情況而非趨勢,以找出脆弱環節。

消除盲點。提高生產力。排定弱點的優先順序

Tenable.io 可採取行動且正確的資料能協助您在整個 IT 環境中找出、調查和排定弱點的修復優先順序,並減少錯誤設定的情形。立即免費體驗。

免費試用 Tenable.io 30 天

弱點管理部落格

執行弱點管理,請拋開試算表

執行弱點管理,請拋開試算表

被習慣制約了嗎?是否仍然使用較舊的工具和資源 (比方舊有的試算表) 來管理企業的弱點管理方案,即使它們的效率可能不如新的工具和資源?許多安全團隊的情況可能都是如此。您經常無法在一天內完成指定的工作,因此即使有新的解決方案可以節省時間並且改善方案效率,可能也仍然不願意進行探究。Tenable.io 為企業提供一個簡單的方式,不必採用試算表,也不需要捨棄已經具備的知識以及您已在方案中投入的時間。

閱讀更多

安全團隊和弱點回應

安全團隊和弱點回應

網路安全團隊的成員都知道,弱點清單會定期丟到桌上等待解決,這個情況永遠沒完沒了。傳統而言,這意味需要深入研究頭條新聞、論壇和其他資訊交流,瞭解什麼弱點獲得最多的關注,才能專注您的心力。這種感覺會讓人無比絕望。這也是 Tenable 的 Predictive Prioritization 正在改變團隊處理弱點回應方式的原因。Predictive Prioritization 利用資料科學以及機器學習的方式,讓團隊更容易發現、修補以及修復弱點。

閱讀更多

弱點管理基本原則

弱點管理基本原則

在現今充斥各種新興安全威脅、新式工具以及多變法規的世界中,企業可能會過度執著於修補與解決不斷湧現的重大事件,因而忽視了基本的安全基礎。深入瞭解有關企業的 Cyber Exposure (CE) Lifecycle 是回歸基本問題的做法之一。您可以利用 CE 確保團隊的安全目標符合企業的業務目標。不確定應該從何處開始?看看 Cyber Exposure Lifecycle 的四個階段,瞭解它們對於弱點管理方案至關重要的原因。

閱讀更多

隨選弱點管理

弱點管理基本原則:資產搜尋和分類

藉由一些基本的弱點管理原則,克服在攻擊破綻間進行資產搜尋與管理時遇到的挑戰。在本網路研討會中,可以瞭解到:

  • 持續資產搜尋之所以重要的原因
  • 收集資料的技巧,以便能夠搜尋攻擊破綻間不同類型的資產
  • 讓資產管理與分類過程發揮最大功用的方法
  • Tenable 如何協助提升與擴展目前的搜尋功能

利用 Predictive Prioritization 免除弱點過多帶來的負荷

如果只需要修復 3% 會對企業造成影響的弱點,又會是一番怎樣的景象?此隨選網路研討會將探討:

  • Predictive Prioritization 以及它會如何永久改變處理弱點修復的方式
  • Predictive Prioritization 背後的資料科學、研究與分析
  • Tenable 如何在 Tenable 產品中使用 Predictive Prioritization
  • 弱點管理方案會因 Predictive Prioritization 轉型的方式

最佳化資產與弱點管理流程的實用方法

企業可以透過簡化管理、排定優先順序、修復以及追蹤您最重要資產的方式自動減輕安全風險。在本網路研討會中,可以瞭解到:

  • 如何使用強化的弱點評估與分組技巧確保流程效率
  • 如何根據業務影響排定企業風險的優先順序
  • 弱點的生命週期為何,以及如何利用時間表追蹤,以便修復

精通弱點管理基本原則:分析與排定優先順序

在弱點搜尋與評估工作逐漸收到成效之際,可更加深入地洞察貴企業的整體 Cyber Exposure,包括存取可協助排定修補優先順序以及改進修復工作的資料。觀看這個隨選網路研討會以深入瞭解:

  • CVSS 評分的價值與限制
  • 如何發現在近期內最有可能影響貴企業的弱點
  • 資產重要性如何成為弱點管理方案的重要組成

Tenable.io:適合現代 IT 攻擊破綻的領先弱點管理解決方案

企業的 IT 環境瞬息萬變。有鑑於此,企業需要一套能夠隨其演進與改變的弱點管理解決方案。Tenable.io 可提供企業有關整個攻擊破綻即時、準確的資訊,包括對於企業所有資產與弱點的完整洞察。作為以雲端形式提供的解決方案,Tenable.io 將可協助企業增加弱點管理方案的效用與效率。

完整評估

評估

Tenable.io 內的 Nessus 感應器可進行主動和代理掃描與被動式網路監控,對於從內部部署到雲端的攻擊破綻可獲得全面的能見度。

Predictive Prioritization

Predictive Prioritization

藉由弱點資料、資料科學以及威脅情報,Tenable.io 可協助辨識哪些弱點在近期內對於企業具有最大影響。

動態資產追蹤

資產追蹤

企業的現代 IT 攻擊破綻是由高度動態的 IT 資產所組成,例如虛擬機器、雲端執行個體以及行動裝置。Tenable.io 憑藉無與倫比的準確性追蹤這些資產及其弱點。

被動式網路監控

被動式網路監控

持續監控網路流量,以便能夠發現與評估攻擊破綻間不易掃描的裝置與壽命較短的系統。

自動化雲端能見度

雲端能見度

Tenable 的雲端連接器可以透過用於 Microsoft Azure、Google Cloud Platform 以及 Amazon Web Services 的連接器,持續提供對於公用雲端環境的能見度和評估。

預建的整合功能以及彈性 API

預建的整合功能以及彈性 API

透過 Tenable 預建的整合功能以及豐富詳盡的 API 與 SDK 資源,將工作流程予以自動化並與其他第三方系統分享 Tenable.io 資料。前往 developer.tenable.com 瞭解詳情。

免費試用 Tenable.io

準確辨識、研究攻擊破綻間的所有弱點並排定處理弱點的優先順序。

免費試用



返回頂端

免費試用 立即購買

選擇 Tenable.io

免費試用 30 天

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。 立即註冊。

立即購買 Tenable.io

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

65 項資產

選取您的訂閱選項:

立即購買
免費試用 立即購買

免費試用 Nessus Professional

免費試用 7 天

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買 Nessus Professional

Nessus® 是現今市場上功能最全面的弱點掃描工具。Nessus Professional 能協助自動化弱點掃描程序、節省您達到合規性的時間並讓您的 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。完整詳情請見此處。

免費試用 立即購買

試用 Tenable.io Web Application Scanning

免費試用 30 天

享受我們專為現代應用程式而設計,屬於 Tenable.io 平台一部分的最新 Web 應用程式掃描產品的所有功能。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

購買 Tenable.io Web Application Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

免費試用 聯絡業務人員

試用 Tenable.io Container Security

免費試用 30 天

享受整合至弱點管理平台中的唯一容器安全產品的完整功能。監控容器映像中是否有弱點、惡意軟體及政策違規的情形。與持續整合和持續部署 (CI/CD) 系統整合,以支援 DevOps 作法、加強安全性並支援企業政策合規性。

購買 Tenable.io Container Security

Tenable.io Container Security 整合了建置程序,能提供包含弱點、惡意軟體和政策違規等容器影像安全性的能見度,讓您無縫並安全地啟用 DevOps 流程。

深入瞭解 Industrial Security

取得 Tenable.sc 產品示範

請填寫以下表格並附上您的聯絡資訊,我們的業務代表將盡快與您聯絡,以安排產品示範。您也可以附上簡短註解 (字元上限為 255 個)。請注意,標示星號 (*) 的欄位是必填欄位。

免費試用 聯絡業務人員

試用 Tenable Lumin

免費試用 30 天

透過 Tenable Lumin,能夠以視覺方式呈現 Cyber Exposure 並加以探索,長期追蹤風險降低狀況,以及對照同業進行指標分析。

購買 Tenable Lumin

聯絡業務代表,瞭解 Lumin 如何協助您獲得整個企業的深入洞見,並管理網路風險。

申請 Tenable.ot 產品示範

取得您所需要的操作技術安全性。
降低您無法處理的風險。