摆脱电子表格,漏洞管理攻防战更上层楼
从 Nessus Pro 迁移到 Tenable.sc 或 Tenable.io,可轻松帮助完善漏洞管理计划。以下是需要了解的信息。
漏洞管理工作流在任何环节用到电子表格了吗?如果是这样,那就该纠正一下了。即使本质上没有过错,但绝对是效率低下。
在我的职业生涯中,我很长时间以来都在负责接收和创建规模巨大的漏洞电子表格,产生出“打地鼠”般无穷无尽的修复工作。令人望而却步的不仅仅是决定要修复哪些漏洞,更有修复的先后顺序。
在本文中,我希望说明如何通过一个相当简单的过程,使漏洞管理工作更上一层楼,同时还不会损失在培训和构筑经验方面已经投入的资源。
第一步怎么做?如果读到了这篇文章,就说明很可能已经知道了 Nessus Professional 的使用方法。Tenable 还提供一款软件即服务 Tenable.io,以及一款本地解决方案 Tenable.sc(原名 SecurityCenter)。 这两款工具都大大拓宽了 Nessus 漏洞扫描程序的功能,适合任何规模的安全团队用来提升工作成效。在军事领域这就称为“兵力倍增”。
获取数据
无论升级到其中哪款平台,除了能够获得数十种新功能外,还可获得一款平台,它能够简化 Nessus 扫描程序的管理 - 本地与远程。无需再费力搬运或邮寄笔记本电脑,只需将扫描程序放置在尽可能靠近目标的位置即可。切记千万不要通过防火墙扫描,否则会改变扫描结果。可以将 Nessus 扫描程序部署在不同的子网、位置、VLAN 等重要位置。只需一个开放端口就可以将所有数据发送至控制台。甚至可以在 DMZ 中部署 Nessus 扫描程序,或使用内置在 Tenable.io 中的 Tenable 云扫描程序组件(请咨询安全工程师了解更多信息)。
升级到 Tenable.sc 或 Tenable.io 后,还可以部署 Nessus Agent 和我们称之为 Nessus Network Monitor (NNM) 的被动扫描技术。
Nessus Agent 是简化版本的 Nessus,能够从内部扫描安装了它的资产。代理程序通常部署在笔记本电脑等不会随时在线的系统上,也可以部署到因无法获得凭据而无法进行完整扫描的系统上。代理程序完成扫描后就会将数据推送回 Tenable.sc 或 Tenable.io。
NNM 可通过交换机上的以太网 TAP 或 SPAN 端口连接到网络,无需在线路中注入数据包即可提供当前状况的可见性。在资产脆弱到无法对扫描产生良好的回应时,例如一旦发生故障就会造成危害的医疗或工业技术,或运行了某些古老应用程序的古董计算机(不要怀疑,我就是基于这方面的专业经验这样说的),这一点显得尤为重要。
面对海量的数据应当如何处理
如果按照我上面的建议做了,那么现在就已经拥有了大量数据,以及众多的漏洞!淡定。Tenable 已将全新的预测优先级分析功能引入 Tenable.sc 和 Tenable.io。由于约 60% 的新漏洞都会归类为高危或严重,因此很难找到从何处开始着手修复。
利用预测优先级分析,可以将精力聚焦于对企业威胁最大的漏洞。预测优先级分析采用大数据和机器学习来识别不久的将来最有可能遭到利用的漏洞,帮助聚焦于真实威胁,而不仅仅是理论威胁。
拥有了 Tenable.io 和 Tenable.sc,漏洞管理将摆脱电子表格。可以看到完整的图景,也可以聚焦于特定的业务部门。通过两个系统中内置的基于角色的访问控制 (RBAC),还可以轻松地控制访问和权限(我曾见过有公司给高管和审计人员仅授予只读访问权限,这样他们可以看到进行中的状况,又无需顾虑会带来什么破坏的风险)。这是使用 Tenable 工具提高工作效率的另一种方式。
安全事件和事故监控 (SIEM)、特权访问管理 (PAM) 和 ServiceNow 套件等第三方安全工具,均可集成到 Tenable.sc 和 Tenable.io 中,加倍提升管理能力,提高工作效率并实现工作流自动化。
数十年来,网络安全专家已熟练掌握如何使用 Nessus。现在可以进一步延展这种专业技能,借此谋求更大利益。摆脱电子表格,利用 Tenable.sc 或 Tenable.io 逐步提升漏洞管理计划的成熟度。预测优先级分析、第三方集成以及这些工具的其他方面,都有助于将精力集中于最有可能对企业造成影响的漏洞上。
相关文章
- Nessus
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning