Tenable Lumin:将漏洞管理转化为业务语言
运用 Tenable Lumin,客户能够在漏洞管理语言与业务语言之间架起一座桥。
在 Tenable 的从业历程中,我们经常听到 CISO 客户倾诉所面临的双重挑战:
- 如何帮助企业高管和董事会了解企业的网络风险
- 如何帮助 IT 同事确定修补的优先顺序,从而优先解决对企业构成最大风险的漏洞
从本质上来说,CISO 们需要具有多种语言思维。他们需要从最高管理层的业务语言无缝过渡到 IT 同事的以技术和流程为主导的语言。但这里有一个难题。他们从常见的漏洞管理工具中能够获取的数据大多数只能以原始的形态呈现:即漏洞的语言。
事实上,Ponemon Institute 开展了一项针对 2400 位网络安全和 IT 主管的调查,调查结果显示,58% 的受调查对象称,用于评估业务风险的传统 KPI 或指标无法用来解析网络风险。此外,只有不到三分之一的受调查对象 (30%) 称能够对修复工作的优先级进行充分排序。
Tenable 致力于帮助 CISO 们和网络安全专业人员在企业内有效沟通。同时,运用 Tenable Lumin 还能够在漏洞管理语言与业务语言之间架起一座桥。
Tenable.io 和 Tenable.sc 的客户也可以使用 Tenable Lumin 将威胁情报、漏洞数据和资产重要性等要素集成到同一个平台中,准确度量并确定网络风险的基准,从而将原始技术数据转化为业务指导意见。这种基于风险的网络安全分析方式有助于 CISO 们及其团队确定修复工作的优先级、向内部相关方有效传达网络风险并以数据为驱动进行决策,从而降低风险。
Tenable Lumin 使企业能够有效衡量并确定内部和对比外部同行的 Cyber Exposure 基准。为了达到这一目标,漏洞数据会与其他风险指标,如威胁情报和资产重要性相关联,从而自动对企业的网络风险进行评分、追踪趋势并确定基准。Lumin 能够将技术数据转化为业务洞见,以便做出更好的战略决策。
CISO 们可以使用 Tenable Lumin 快速准确评估企业的 Cyber Exposure 风险,并将其健康程度和修复情况与其他企业进行对比。
Tenable Lumin 采用多种指标帮助用户理解以下问题:
- 哪些资产暴露于风险之下
- 从何处入手确定修复优先级
- 企业如何降低风险
- 修复效果与其他企业相比如何
运用 Tenable Lumin,用户可以收到企业本身、业界同仁平均水平以及社会整体的 Cyber Exposure 评分。这种方式有助于用户将自己的企业与业界同仁进行对比,同时围绕评分可以提供更丰富的背景。评分越高,风险就越高。
用户可以使用 Tenable Lumin 获取与特定受众关联最高的数据。例如:
- Cyber Exposure 评分趋势视图提供了企业评分随时间变化的趋势性数据。用户还可以查看其同行和更广大人群的评分是否随着时间而改善。
- 按业务背景查看 Cyber Exposure 评分的视图有助于客户将一类资产与 Cyber Exposure 评分一一对应。
采集最新最准确的数据对于您的风险评估至关重要。观看以下视频,了解 Tenable Lumin 仪表板还提供了哪些附加功能:
运用 Tenable Lumin 获取第一手的网络风险洞见
Lumin 采用多种指标帮助企业评估网络风险:
- 漏洞优先级评级 (VPR)
- 资产重要性评级 (ACR)
- Cyber Exposure 评分
以下是每个评分代表的含义:
- 漏洞优先级评级。VPR 按每个漏洞动态生成,是根据漏洞的 CVSS 评分和严重程度呈现出的动静态相结合的数据。Tenable 还会通过算法更新 VPR,以折射出最新的威胁形势。VPR 数值为 0.1 至 10。数值越高代表漏洞受利用的可能性越高。
- 资产重要性评级。Tenable 为网络中的每一个资产分配一个 ACR,取值为 1 至 10 的整数,代表资产的相对风险。ACR 值越高代表风险越高。Tenable 会评估扫描结果并根据以下因素衡量资产风险:因资产在网络中的位置以及接近互联网的程度而导致的风险暴露、设备类型和设备功能。
- Cyber Exposure 评分。该评分通过机器学习算法,综合了 Tenable 漏洞优先级评级 (VPR)(针对漏洞遭利用的可能性)以及 Tenable 资产重要性评级 (ACR)(针对受影响资产的业务重要性)自动生成。该评分根据过去 90 天中扫描资产的资产风险暴露评分值计算得出,取值为 0 至 1000 间的整数,代表了企业的整体 Cyber Exposure 风险。CES 值越高代表风险越高。
观看以下视频深入了解 Tenable Lumin 指标:
其他资源
- 访问 Youtube 中的 Tenable.io 产品教育频道,了解 Tenable Lumin 更多相关信息
相关文章
- Vulnerability Management