什么是漏洞评估?
杜绝盲目搜索,立即开始修补。这里是了解漏洞评估一切相关信息的最佳起点
漏洞评估指通过持续扫描和监控企业整个攻击面来识别并评估网络漏洞的流程。这也是保护企业网络免受漏洞威胁的第一步。
遗憾的是,近 60% 的网络安全专业人员表示,没有固定的时间表来扫描漏洞,还有许多甚至根本不扫描公开披露的漏洞。请勿成为其中的一员。Tenable 可以帮助采用漏洞评估的最佳实践,包括如何增强漏洞评估计划的相关建议。
以下是一些将要了解的重点知识:
通过持续漏洞评估监控并保护整个攻击面
漏洞评估为所有资产的 Cyber Exposure 提供了全面的洞见,包括漏洞、配置错误和其他安全良好状况指标。有了 Nessus,就能按预期修复漏洞和错误配置,令人安心无忧。企业还可以将相关信息直接自动发送到安全信息和事件管理 (SIEM) 系统,以便帮助企业做出更明智的决策,从容应对网络中发现的薄弱环节。
了解漏洞评估流程
实施漏洞评估程计划可能会有压力,但确保完全覆盖整个攻击面非常有必要。
如果您准备为企业实施漏洞评估计划,可能无法确定从何处着手。采用下列五个步骤可以为您的漏洞评估计划打下牢固的基础,并随着贵公司随时间的变化和发展而不断改进。
克服不同漏洞管理工具带来的挑战
数十年来,寻求构建最全面的防御来保护其攻击面的企业已经打造了一个由不同解决方案组成的技术堆栈。每当环境发生变化时,安全团队通常都会采用全新的评估工具来获得新环境的可见性。很不幸,这些不同的解决方案通常会提供孤立的数据,几乎不可能了解攻击面的整体情况。这就造成盲点,为攻击者大开方便之门。
对现代漏洞评估而言,单用途工具不再是有效的解决方案。这些解决方案所提供的数据不完整,您的安全团队会无所适从,因而了解您的实际风险位于何处,您应如何对修复工作进行优先级分析,以及如何维护基于风险的漏洞管理计划变得困难重重。
在此白皮书中,深入了解:
- 安全团队为何会遇到技术超负荷问题
- 不同安全解决方案所带来的挑战
- 攻击者在现实环境中利用的潜在威胁的真实示例
- 为何您需要基于风险的漏洞管理计划
以下是部分其他要点:
- 平均而言,攻击者较安全团队具有七天以上的优势
- 研究中约 34% 的漏洞在公布当天即遭到利用
漏洞经济学
与漏洞利用供应链
攻击者可以在其中赚得盆满钵满
对攻击者而言,研究漏洞并成功将其转化为漏洞利用工具是一项有利可图的业务。不同类型的利用方式会带来不同的回报。在某些情况下,成功利用一次就可以净赚数百万。
在网络犯罪领域,仅洗钱一项,涉案金额就可以轻松达到 2000 亿美元,大大超过了全球企业用于保护自身网络安全的总支出 1360 亿美元。
漏洞利用的供应链非常复杂且难以侦察,其涉及的细分市场也极其庞大。在漏洞利用的白市和黑市中,犯罪买家和合法买家交织不清,而在灰色市场中,主要推动力则是以获取数据情报为目标的国家秘密行为主体。
网络攻击者所拥有的资源,往往多过企业的保护资源,即使安全团队不断追赶,但企业风险防控和攻击者恶意间的差异始终难以缩小。
身为 CISO、安全专业人士或安全经理,更需要立即获取本报告,近距离洞悉漏洞助推和漏洞利用供应链的市场动态,并了解如何保护网络安全。
您的网络防御者策略成熟度如何?
理解漏洞评估策略揭示的意义
在漏洞评估领域,Tenable Research 发现了四种迥异的评估风格。从最成熟的风格到最生涩的风格,分别是勤奋型、研究型、调查型和极简型。以下分别做个简单概述:
勤奋型
勤奋型是最高级别的漏洞评估成熟度。仅有约 5% 的企业属于勤奋型。其中大部分为交通运输业、酒店业、电子业、银行业和电信业。
研究型
研究型是中高级别的成熟度。大部分企业(约 43%)属于研究型。研究型风格类的企业主要为娱乐业、公用事业、教育业和医疗保健业。
调查型
调查型是中低级别的成熟度,约占 19% 的企业。总体而言,公用事业在调查型风格企业中占比最大。
极简型
极简型是最低级别的成熟度,约占 33% 的企业,在该风格中,各行业占比均匀。
要想深入了解自己的漏洞评估风格,可以评估五大相关关键绩效指标 (KPI):扫描频率、扫描强度、身份验证覆盖范围、资产覆盖范围和漏洞覆盖范围。
在本报告中,还可以深入了解各个漏洞评估风格的相关特征、数种理解自家漏洞评估风格与同行业者相较如何的方式,以及提升漏洞评估风格成熟度的建议。
评估社区的力量
集所有 Tenable 漏洞评估需求和 Tenable 知识沟通于一处
对漏洞评估有任何疑问吗?还在试图获得其他漏洞评估专业人士的建议吗?有绝妙的想法想与其他漏洞评估从业人员分享吗?Tenable Community 绝对是提问和分享技巧的不二之选,这里涵盖了漏洞评估相关的工具和最佳实践。
下面是一系列常见的沟通示例:
Nessus 如何处理向后移植的补丁?
Nessus 依靠 backport.inc 来防止误报。backport.inc 包含了从已知的服务标题向任意更高版本号服务标题的映射。
查看有关此回答的更多信息漏洞评估常见问题
安全漏洞是什么?
什么是漏洞评估?
企业的攻击面是什么样的?
什么是渗透测试?
渗透测试有哪些阶段?
漏洞评估和渗透测试有哪些区别?
渗透测试有不同的方法吗?
什么是漏洞扫描程序,又有什么作用?
为何需要漏洞评估?
漏洞评估解决方案
持续漏洞评估是整体漏洞管理计划的重要组成部分。漏洞评估为攻击面中存在 Cyber Exposure 的领域、可能遭到利用的漏洞数量和类型,以及这些漏洞可能给企业带来哪些潜在风险提供了洞见。漏洞评估有助于揭露风险,并确定优先级。
如今,现代化的攻击面由多种资产组成,涵盖传统 IT、临时资产、移动资产、动态资产和运营技术。如果对攻击面缺乏完整的可见性,要想评估所有设备中的漏洞和错误配置简直是天方夜谭;但 Nessus 这样的单一漏洞评估平台能够对所有风险和漏洞提供统一视图。
接下来将更深入地讲解漏洞评估的优势,及其为何是企业全面网络安全计划中应采取的重要的流程。
漏洞评估的优势
-
Cyber Exposure 意识
漏洞评估有助于团队识别出整个攻击面中的漏洞、错误配置和其他薄弱环节。
-
配置和审查修补
漏洞评估有助于确保按照企业目标修复漏洞和错误配置。
-
事件管理信息
通过漏洞评估能够自动向企业 SIEM 发送漏洞和错误配置信息,以便丰富事件数据、协助按事件优先级进行调查,并为团队作出回应提供必要信息。
-
流程有效性
漏洞评估为深入了解当前的网络安全流程提供了洞见,以便于评估其有效性,并明了该如何进一步改进整体计划。
漏洞评估博客精选
值得您关注的三大漏洞态势洞察
如果身处网络安全团队,就会知道定期出现在办公桌上的漏洞清单无休无止。传统上来说,这意味着需要深挖新闻头条、论坛和其他信息交换平台,从而了解什么漏洞备受关注,以便集中精力去解决。
如何使用 Nessus 运行首次漏洞扫描
有了 Nessus,漏洞评估变得前所未有的便捷。Nessus 漏洞评估提供了针对网络的全面可见性,以便找到漏洞并制定相应的修复计划。只需简单几个步骤,即可完成 Nessus 漏洞评估。
按需漏洞评估
掌握漏洞评估的基本原则
知道如何通过有效识别并评估可能使企业面临风险的错误配置和漏洞,从而保护企业吗?在本次网络研讨会中,可了解到:
- 如何在攻击面中找到重要缺陷
- 如何平衡扫描的频率、深度和内外因素的焦点,从而实现最佳效果
- Tenable 如何改进漏洞评估流程、帮助挖掘出错误配置问题,并使企业深入理解安全状况的其他指标
安全顾问信赖 Nessus 的 7 个原因
全球 100 万用户信赖 Nessus Professional。在本次网络研讨会中,可探索:
- Nessus 缘何能够成为部署最广泛的漏洞识别评估解决方案
- Nessus 如何帮助企业抵御网络风险
- 为何安全顾问都信赖 Tenable 和 Nessus
应对授权扫描的挑战
如何充分发挥出授权扫描的最大作用?如何利用自动化来提高流程效率?在本次点播式网络研讨会中,可以了解到 Tenable 如何帮助企业:
- 对不了解的攻击面获得更多洞见,从而更好地审视 Cyber Exposure
- 发挥出授权扫描的最大作用
- 通过流程自动化来提高效率
漏洞评估从此杜绝主观臆断
Nessus 能够自动运行时间点评估,帮助快速识别并修复漏洞,包括软件缺陷、补丁缺失、恶意软件以及错误配置,涵盖多种操作系统、设备和应用程序。
信赖
Nessus 深受全球数万家企业的信赖,下载次数达到 200 万。65% 的财富 500 强企业采用了 Nessus。
准确度
Nessus 达到 6 西格玛准确性,实现了业内最低的误报率(每 100 万次扫描中仅有 0.32 次误报)。
全面覆盖
Nessus 拥有 207,000 余款插件,可实现最深入最广阔的覆盖面,涵盖超过 84000 个 CVE,每周在漏洞披露 24 小时内发布超过 100 款新插件。
实时评估
Nessus 中有超过 140000 款插件实时自动升级,提供最及时的最新漏洞与恶意软件信息,从而缩短评估和研究时间,加快修复效率。
洞察力和可见性
Nessus 与多个商业威胁情报获取平台无缝集成,洞悉企业环境中服务器运行的潜在恶意软件。每一次评估都能够获得全面的漏洞可见性。
方便易用
Nessus 由安全从业人员为安全专业人士打造,核心宗旨在于为企业带来直观的使用体验,从而更加快速、自信地发现并修复漏洞。