独立研究公司将 Tenable 评为漏洞风险管理领域的领导者

“Tenable 为主动安全树立了标杆”，摘自 2023 年第 3 季度的 “The Forrester Wave™: Vulnerability Risk Management"

在 Forrester 依据 28 项漏洞风险管理标准对 11 家重要供应商进行的评估中，Tenable 在当前产品和战略类别方面被评为领导者。 这份报告介绍了各家供应商在评估中的表现。网络安全和风险防御等方面的专业人士可以参考该报告，选择最符合自身需求的供应商。在愿景、路线图、创新和合作伙伴生态系统等 14 项不同标准中，Tenable 都获得了最高分 (5.0)。

这份报告中对我们当前的产品和战略愿景给与了高度认可，这家分析公司对漏洞风险管理实践发展方向的观点也很值得我们高兴。

2023 年第 3 季度的 “The Forrester Wave™: Vulnerability Risk Management” 报告中指出，“漏洞风险管理领域正在快速发展。就在不到十年前，常规的做法是企业在环境中部署漏洞扫描程序，发现一堆问题，如果问题没有解决和/或因为常规的漏洞和风险暴露 (CVE) 造成了威胁，就开始怨天尤人。2018 年，Forrester 呼吁采用基于风险的漏洞管理方式，以便对大量修复措施进行优先级分析，企业也可以不用再依靠常用的漏洞打分系统 (CVSS) 来从技术角度确定严重性。从那时起，企业就发现了很多没有打补丁的严重漏洞，例如 Log4Shell 和 MOVEit 存在的漏洞。 他们还扩大了技术覆盖范围（从员工家中到云端），与此同时，新的威胁和漏洞仍然不断出现。漏洞的定义现在已经包括 CVE 定义的漏洞之外的缺陷，例如身份验证问题和误配置问题。为了顺应这种趋势，VRM 供应商正在详细阐述一个环境中资产之间的关联方式，并说明如何确定修复措施的优先顺序及如何实施。”

“Tenable 产品非常适合希望集中管理所有漏洞和风险暴露修复措施优先顺序，从而打造前瞻性安全计划的企业。”

—2023 年第 3 季度 "The Forrester Wave™: Vulnerability Risk Management" 报告

这种演变在 Forrester 的漏洞风险管理产品评分方法中也得到了印证。在 Tenable 看来，当前的产品类别分为三大主题：

1. 范围更广。 在这份报告中，支持新的资产类型和暴露风险是一项重要评分标准。要获得最高分，产品必须能够评估各种与非 CVE 相关的暴露风险，并就多种资产提供重要信息。针对不同的资产保持一致的优先级计算公式、修复工作流和分析师体验也很重要，因为这有助于消除孤岛，提升效率。
2. 更丰富的背景信息。 背景信息是这份报告中的一个主要关注点。它能帮助企业基于风险进行优先级分析。威胁情报、可利用性、业务情景化、资产重要性和攻击路径模拟都很重要，能帮助安全团队识别风险并根据实际网络风险，优先解决最迫切的问题。
3. 第三方集成。 无论是通过治理、风险和合规性 (GRC) 工具、IT 服务管理 (ITSM)，还是工单系统或其他安全运营中心 (SOC) 解决方案，将 VRM 解决方案与您现有的 IT 和安全系统集成都是一项重要能力，有助于加速漏洞风险响应，简化报告，丰富平台功能，从而帮助您在解决网络风险方面占据主动地位。集成需要高度定制化，并且支持各种常用平台，才能满足安全要求。

Tenable 坚信保护当前复杂多变的 IT 环境需要结合漏洞管理、web 应用安全、云安全、身份验证安全、攻击路径分析以及外部攻击面管理，以帮助组织了解风险暴露的宽度和深度。 我们在一种新模式中探究漏洞管理和其他主动式预防网络安全工具，我们将这种模式称为风险暴露管理。

报告中指出，“Tenable 为主动安全树立了标杆。 他们早在二十世纪初就发布了 Nessus，这是一款专门防止攻击的产品。他们的目标至今未变，他们的愿景是利用 Tenable One 平台保护日益增长和变化的攻击面。Tenable One 是风险暴露管理类别的首款产品之一。根据他们的路线图，他们专注于通过部署连接器充分利用第三方资源，他们平台的目标是进一步统一管理企业的所有网络风险、资产类型和暴露风险。他们一直重视 AI 功能，希望进一步帮助具备不同技能水平的分析师探索和了解自己的攻击路径模拟能力以及网络风险分析洞见。Tenable 的品牌知名度和预防为主的前瞻性平台策略必将支持他们实现愿景。他们的愿景顺应市场的当前发展方向。”

我们于 2022 年 10 月发布了自己设计的 Tenable One 风险暴露管理平台，以帮助网络安全团队集中精力防范可能发生的攻击，准确传达网络风险，从而协助企业优化运营成果。 2023 年 8 月发布的 ExposureAI 能够帮助网络安全团队使用生成式 AI 功能加快搜索、分析和做出风险缓解决策的速度，从而更好地预防网络风险。我们利用 Tenable Research 存储库中的情景化风险暴露数据为企业提供丰富信息，帮助他们深入了解有关潜在漏洞、威胁和错误配置的重要分析数据。要提供最强大的基于 AI 的功能就需要拥有最优质的数据，而我们恰好拥有世界上规模最大的情景化风险暴露数据存储库。具体而言，ExposureAI 利用了 1 万亿个独特的风险暴露、资产和安全发现，包括：

• 600 亿个风险暴露事件
• 8 亿种不同的安全配置
• 10 亿个资产

这个为 ExposureAI 引擎提供燃料的庞大数据平台名为 Tenable Exposure Graph，是我们 在 Snowflake 的支持下打造的大数据池。

Forrester 在报告中指出，“Tenable 产品非常适合希望集中管理所有漏洞和风险暴露修复措施优先顺序，从而打造前瞻性安全计划的企业。”

了解详情

• 下载 2023 年第 3 季度的 “The Forrester Wave™: Vulnerability Risk Management” 报告