Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

将企业面向公众的资产和 Web 应用程序的网络安全风险降到最低的四个问题

询问下列四个问题,帮助降低企业面向公众的资产和 Web 应用程序的网络安全风险。

对企业面向公众的资产和 Web 应用程序的持续网络攻击不会很快停止:根据 2020 年 Verizon 数据泄露调查报告 (DBIR) 可知,43% 的数据泄露都涉及针对 Web 应用程序的攻击。从新的自动化攻击工具到资金充裕的针对特定安全漏洞的老练黑帽黑客,对于恶意攻击者而言,现在比以往任何时候都更容易测试您的防御能力。

保护您的 Web 应用程序取决于您和您对攻击者可能在您的网络中发现和利用的弱点的理解。 一旦您了解了这一点,您就可以主动应用相关的补丁、代码修复和/或补偿控制措施来减轻威胁。

下列每个问题都提供了不同的视角,通过这些视角,可以查看企业面向公众的资产和 Web 应用程序带来的安全风险。

1. 什么是企业面向公众的资产的风险?

首先,让我们看看您将如何评估面向公众的资产的风险。 在理想情况下,您会希望尽量减少向外界暴露资产。您可以利用公共风险扫描来验证将您将尽量限制公众可见性。扫描的另一个优点是,它还将测试网络上的补偿控制措施,以确保这些控制措施工作正常。

不过,即便将最简单的信息暴露给外界,诸如文件传输协议 (FTP) 服务器版本等信息,都可以通过简单的“Google 黑客”技术进行利用。 因而,利用漏洞管理计划对面向公众的资产进行定期扫描,帮助您将风险降至最低,这一点非常重要。 风险扫描的结果最好用于配置您的网络和基于主机的补偿控制措施,避免暴露任何不需要的信息。

2. 我的网络后端存在哪些漏洞?

为了了解网络的弱点,我们建议从环境中托管的漏洞扫描程序或主机上安装的代理本地扫描网络。 在企业环境中使用授权扫描的本地扫描程序可以提供最全面的结果。要获得这种程度的详细信息,您需要提供凭据来评估目标。如果做到这一点不容易,您可以选择使用代理,代理不需要凭据,因为它们已经在主机上运行。

在授权扫描完成后,您将获得易攻击资产的漏洞的完整列表。接着,了解每个漏洞威胁的环境。了解每个漏洞的当前真实风险信息,这样可以根据漏洞的使用可能性更好地对修复工作进行优先级分析,从而更有效地利用稀缺的安全资源。

了解配置和合规性问题同样重要。您需要一个漏洞管理解决方案,能够根据一系列合规性标准和最佳实践模板来审核目标的配置,包括来自互联网安全中心 (CIS)、美国国防信息系统局安全技术实施指南 (DISA/STIG) 和支付卡行业 (PCI) 标准以及贵组织自己的内部标准。

3. 我如何知道我的 Web 应用程序是安全的,不会遭到攻击?

保护您的 Web 应用程序免受攻击的最快、最有效的方法之一是部署自动化 Web 应用扫描程序。例如,动态应用程序安全测试 (DAST) 是一种自动化渗透测试,它将以安全的方式与 Web 应用程序交互并评估响应,以显示 Web 应用程序的编码是否存在弱点。

与操作系统(OS) 和应用程序级漏洞和配置审核相比,DAST 工具可以更深入地动态评估 Web 应用程序,有助于确保应用程序不会受到意外操作或逻辑缺陷的影响。这还有助于验证运行环境,如结构化查询语言 (SQL) 注入,以发现任何编码缺陷和错误配置。同样重要的是要指出,某些传统的 Web 应用程序扫描程序与现代的应用程序没有可比性。现代 DAST 工具不仅可以扫描传统的 Web 应用程序,而且还支持使用 HTML5、JavaScript 和 AJAX 框架构建的动态 Web 应用程序,包括单页应用程序。

左移”是将 Web 应用程序安全集成到软件开发生命周期 (SDLC) 中的最佳实践。在生产前环境中对您的 Web 应用程序进行全面测试,并在每次代码更改时自动进行安全扫描,利于提高企业的整体安全态势。这有助于更快地暴露 Web 应用程序中的漏洞,降低修复这些问题的成本,并限制因入侵而造成的潜在损害。

4. 我如何扫描 PCI 合规性?

PCI 数据安全标准 (DSS) 包括每季度外部扫描的要求 (11.2.2) 和经过批准的扫描供应商 (ASV) 提供的证明。您应将公共风险扫描结果与来自 ASV 的 Web 应用程序扫描解决方案相结合,以针对公共 Web 应用程序和资产提供证明。使用这些扫描结果,您可以按照 11.2.2 的要求完成获得合规性认证的过程,以便与任何相关方共享。利用预先配置的 PCI 模板和定义的争议流程可以帮助简化这一工作。

摘要

正如您所知,在评估企业面向公众的资产和 Web 应用程序来确定网络罪犯方面,没有什么灵丹妙药。也就是说,有一些最佳实践可以帮助您理解并最大程度降低风险。要了解更多信息,请查看“五大网络应用程序安全实践”电子书

了解详情

相关文章

您可加以利用的网络安全新闻

输入您的电子邮件,绝不要错过 Tenable 专家的及时提醒和安全指导。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable Vulnerability Management 试用版还包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

100 项资产

选择您的订阅选项:

立即购买

试用 Tenable Web App Scanning

您可以通过 Tenable One 风险暴露管理平台完全访问我们专为现代应用程序量身打造的最新 Web 应用程序扫描产品。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。立即注册。

Tenable Web App Scanning 试用版还包含 Tenable Vulnerability Management 和 Tenable Lumin。

购买 Tenable Web App Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable Lumin

使用 Tenable Lumin 直观呈现及探索您的风险暴露管理,长期追踪风险降低状况,并比照同行业者进行基准衡量。

Tenable Lumin 试用版还包括 Tenable Vulnerability Management 和 Tenable Web App Scanning。

购买 Tenable Lumin

联系销售代表,了解 Tenable Lumin 如何帮助您获取整个企业的洞见并管理网络安全风险。

免费试用 Tenable Nessus Professional

免费试用 7 天

Tenable Nessus 是当今市场上功能最全面的漏洞扫描器。

新 - Tenable Nessus Expert
不可用

Nessus Expert 添加了更多功能,包括外部攻击面扫描,以及添加域和扫描云基础设施的功能。单击此处试用 Nessus Expert。

填写下面的表格可继续试用 Nessus Pro。

购买 Tenable Nessus Professional

Tenable Nessus 是当今市场上功能最全面的漏洞扫描器。Tenable Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

免费试用 Tenable Nessus Expert

免费试用 7 天

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

已经有 Tenable Nessus Professional?
升级到 Nessus Expert,免费试用 7 天。

购买 Tenable Nessus Expert

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

选择您的许可证

购买多年许可证,节省幅度更大。

添加支持和培训