仅局限于 CVE 会让企业蒙受攻击风险

使用单一的仪表盘对 CWE 和其他漏洞进行完整的网络风险评估势在必行

越来越多的网络安全专业人士开始着手处理自家企业落后陈旧的漏洞管理计划，以便可以根据会对企业造成最大风险的漏洞来对修复工作进行优先级分析。 毫无疑问，这是正确的工作思路；但对绝大多数企业而言，这可能意味着他们仅会关注 Common Vulnerabilities and Exploits (CVE)。 

绝大多数网络安全行业从业者会将 CVE 和漏洞混为一谈，认为两者并无区别。 但所谓的“漏洞”是指可由威胁来源利用或触发，存在于信息系统、系统安全程序、内部控制措施或实施中的弱点。换言之，“漏洞”其实指代会令企业容易受到网络攻击影响的方方面面。 

尽管未修复的 CVE 也符合上述定义，但并不全面。 攻击者一心只为利用，实现入侵。 攻击者会选择阻力最小的路径，无所不用其极。 以盗窃为例，窃贼更倾向于从后门闯入住宅，但如果时机得当，谁会拒绝可以来去自如的窗户呢？ 因此，发现和掌握所有漏洞，然后制定一套综合性的应对计划实属必要。

这份列表并非详尽无遗，但企业可重点考虑以下几类重要漏洞：

• Common Weakness Enumeration (CWE)
• 开放 Web 应用程序安全项目 (OWASP) 前 10 大漏洞
• 零日漏洞
• 访问管理错误配置或错误
• 网络/基础设施错误配置
• 工业环境中的错误配置（意外或有意为之）

上述每类漏洞或缺陷均源自截然不同的攻击面领域。 它们都牵扯着一系列独特的挑战，需要不同的专业技巧才能做到有效管理。 早已识别和定义的常见 CVE 绝大多数都是传统 IT 环境中的硬件资产漏洞，所以安全专业人士可以自行判断每种风险会对企业造成何种影响，然后 IT 人员可以直接使用适当的补丁和其他通用的修复方法来缓解威胁。

另一方面，CWE 是自定义 Web 应用程序、编译应用程序和硬件中常见的漏洞。 CWE 代表漏洞的基本类型或类别，而非特定实例。 实际上，CWE 的每种实例通常具有唯一性，这就意味着修复工作必须要针对每种实例做出不同调整。 基于应用程序的 CWE 尽管在数量上无法与基于硬件的 CVE 相提并论，但 CWE 却需要投入几倍的时间和资源才能得到有效缓解。

此时，您再想想，这只是企业面临的众多漏洞类型中的两种而已。 加之零日漏洞以及存在于整个攻击面的各类错误配置，很快安全团队就会面对超量的漏洞，难以实现有效管理； 而由于绝大多数安全团队会使用不同的工具来管理每类漏洞，多半还会进行手动评估，更显得阻碍重重。

实现有效管理所有漏洞最为困难的方面也许是要第一时间发现和评估这些漏洞。 由于每类漏洞有其独特性，因此通常需要专门的工具才能适当识别每类漏洞。 漏洞管理工具是应对 CVE 的理想之选，但 Web 应用程序则需要应用程序扫描程序。 同理，工业环境也需要针对此场景而设计的工具。 还有，根据所评估的环境或资产组，错误配置也必然会呈现出巨大差别。

由于数据来自攻击面的多个领域且种类繁杂，仅依靠人力来手动评估这些数据几乎不现实，更遑论还要基于哪类数据会对企业造成直接风险来进行优先级分析。 为了顺利开展这项工作，团队需要一个可以统一这类数据的单一平台，使用机器学习算法、上下文智能和预测性分析进行评估，从而对修复工作进行优先级分析。

可以发现和评估整个企业安全数据的综合性平台具有以下优势：

• 将范围扩展到 CVE 之外，准确掌握整个环境
• 在有上下文的背景下查看所有漏洞，让风险缓解决策更加完善
• 让安全团队的工作更好契合非技术业务人员的需求，推动企业内部协同合作的文化
• 优化安全流程，加深主动性和战略性

因此，尽管评估和修复 CVE 是降低网络安全风险的必要步骤，但若想实现全方位的安全战略，企业则需要解决所有弱点。

了解详情

• 请观看网络研讨会：漏洞并不只是 CVE。 您是否疏忽了什么？https://www.tenable.com/webinars/vulnerabilities-beyond-cves-which-are-you-missing
• 下载白皮书《克服不同漏洞管理工具带来的挑战》：https://www.tenable.com/whitepapers/overcoming-challenges-created-by-disparate-vulnerability-management-tools
• 查阅 Gartner 报告： 《有效漏洞管理的基本要素》：https://www.tenable.com/analyst-research/gartner-the-essential-elements-of-effective-vulnerability-management