使用 Tenable Cloud Security 无代理评估功能加快 AWS 的漏洞检测和响应速度

了解如何利用我们最新的云安全发现功能 Tenable.cs 无代理评估，增强云中软件漏洞和错误配置的扫描方式。

过去，云中的漏洞扫描主要使用基于网络的扫描程序（如 Nessus ）或基于代理的 Nessus Agents 方法来完成。 多年来，Tenable 一直致力于成为安全专业人士的黄金标准，通过世界级的漏洞研究为他们提供快速、全面和准确的漏洞扫描。 我们的客户一直希望以更简单的方式在云中配置和管理 Nessus 扫描，因此在 2020 年，我们发布了 Tenable.io 无障碍评估，迈出了我们将 Nessus 转变为更专注于云的解决方案的第一步。

Tenable.cs 于今日推出了 Amazon Web Services (AWS) 无代理评估，采用了 Tenable.io 无障碍评估设计的开创性工作，并对其进行了全面升级，以实现真正无缝的云原生扫描解决方案。

安全专业人员在云中经常遇到的一个问题是，试图将传统的漏洞管理概念应用于云工作负载，尤其是临时工作负载。 自动扩缩功能使云实例能够随时增加和减少，这意味着传统的扫描窗口可能会错过需要评估的资产。 用于进行扫描的服务帐户凭据是云中管理的一大难题，要让不同的团队标准化地采用端点代理，或者仅仅使用安全团队批准的映像，都会成为挑战。 正如人们所说，需求是发明之母，通过 Tenable.cs 无代理评估，我们正着手打造一种独特的技术来克服这些障碍。

很明显，一般来说，消除可能会延长漏洞发现和检测时间的障碍对企业所承担的风险量会产生重大影响。 无代理评估旨在增强安全团队的能力，以快速高效的方式获得云配置的完整可见性，并执行全面的漏洞评估，从而为我们的客户更快地降低风险提供更好的机会。

AWS 无代理评估和实时检测结果

Tenable.cs 的 AWS 无代理评估使云安全团队能够使用 Nessus 的功能进行漏洞和错误配置评估，且无需安装扫描程序或代理、无需在目标主机上配置凭据或设置扫描策略。 通过专有的方法，用户可以在几分钟内完成其云帐户的引导，然后扫描所有资产以查找软件漏洞和云态势错误配置，而不会对计算速度或成本产生任何影响。 我们收集数据的速度，再加上我们以事件为驱动的方法，极大地提高了 Tenable 的能力，确保客户对我们提供的漏洞信息充满信心。 在这个过程中，我们还帮助云安全团队和开发人员快速识别安全漏洞，并提供可操作的建议，说明应该采取什么措施来修复这些漏洞。

此外，当我们的漏洞研究源中发布了新的漏洞检测时，Tenable.cs 实时检测结果还支持安全团队在现有已收集的清单中识别潜在漏洞，而无需执行新的扫描。 这种近乎实时的检测和独特的漏洞评估方法使用户能够减少问题平均修复时间。 因此，该功能可以为关键的数据安全团队提供所需的信息，以便就如何对修复工作进行优先级分析做出明智的决定。

Tenable.cs 无代理评估的其他优势包括：

• 易于部署：无代理评估以 API 为驱动，因此其部署只需单一集成点：即一个只读角色即可一举检查错误配置和漏洞。
• 二合一解决方案： 使用单一工具即可扫描漏洞和云基础设施配置。
• 扫描开销有限： 无需部署或融入代理，无需扫描模板，也无需定义策略。 只需将数据传入 Tenable.cs。
• 漏洞检测的黄金标准： 无代理评估采用了受到全球数千企业信任的 Tenable Research 漏洞和威胁源。
• 持续漏洞保证： 当发现新漏洞并创建检测后，Tenable.cs 实时检测结果功能会立即根据最新的漏洞源重新扫描并重新评估所有已存储的清单。
• 安全：扫描为只读，无需写入权限。
• 灵活性： 该工具允许用户运行持续的软件即服务 (SaaS) 事件驱动扫描、计划扫描，或仅仅临时执行手动扫描。

此外，为了使云安全团队能够轻松确保正确配置 AWS 云工作负载，Tenable.cs 无代理评估还提供了预构建的策略模板，用于检测运行时的风险，例如：

• 基于身份（例如，管理员授权过多）
• 不安全的存储配置或访问活动（例如，AWS 中完全开放和/或未加密的 Amazon Simple Storage [S3] 存储桶等）
• 不安全的实例创建和删除
• 不安全的网络配置和活动
• 更多功能敬请期待…

如何使用 AWS 无代理评估

第 1 步 几分钟内完成所有 AWS 帐户的引导。 

入门非常简单快捷。 只需要一个只读角色，可以通过我们提供的 CloudFormation 模板轻松部署。 对于多帐户 AWS 环境，我们还提供了 CloudFormation StackSet，可以在范围内的所有子帐户中自动部署所需的角色。

原文：Tenable，2022 年 8 月

第 2 步 截取 AWS Elastic Block Store (EBS) 快照

这是一个先决条件，因为无代理评估过程需要从 Elastic Compute Cloud (EC2) 存储快照读取已安装的软件包数据。 可以手动创建快照，也可以使用 AWS Data Lifecycle Manager (DLM) 自动执行该过程。 尽管可以手动创建快照，但 Tenable 建议自动执行该过程。 有关更多指导，请参见：

• 手动创建 EBS 快照
• 使用 AWS DLM 自动创建 EBS 快照

原文：Tenable，2022 年 8 月

第 3 步 启动无代理评估扫描

无代理评估无需配置的扫描模板，并且由于已经部署了角色，因此也无需设置凭据。 只需创建一个新的 Tenable.cs AWS 项目，选择 EC2 作为要扫描的 AWS 服务，然后根据需要或计划启动扫描即可。 此时，数据就会传入 Tenable.cs，并在统一的结果工作区中显示漏洞。

原文：Tenable，2022 年 8 月

第 4 步 实现所有云资产的最新可见性，且易于搜索

随着数据传入 Tenable.cs，用户可以利用现有功能对漏洞修复进行优先级分析。 无代理评估采用了同样强大的 Tenable Research 漏洞源，因此用户可以立即访问漏洞优先级评级，以进行高级风险优先级分析。 此外，我们在其中还运用了实时检测结果。 现在，随着我们将数据传入 Tenable.cs，就可以根据我们已经收集的清单评估新的漏洞检查。

原文：Tenable，2022 年 8 月

接下来做什么？

现有 Tenable 客户现在可以提前访问 Tenable.cs 的 AWS 无代理评估。 这项新功能计划于 9 月底全面推出。 预计在第四季度，Tenable 将发布 Microsoft Azure 和 Google Cloud Platform (GCP) 无代理评估，以及围绕容器安全的其他增强功能。

了解详情

• 阅读博文：全新推出包含无代理评估和实时检测结果功能的 Tenable Cloud Security
• 参加网络研讨会：Tenable Cloud Security 最新功能有哪些？
• 访问 Tenable.cs 产品页面：https://www.tenable.com/products/tenable-cs