这就是简单、快速又正确地执行 Web 应用程序安全的方法
现今,Web 应用程序是造成数据外泄最常见的攻击媒介。下面介绍 Tenable Research 倾力打造的 Tenable.io Web Application Scanning 如何帮助安全团队保护其 Web 应用程序资产。
毫不夸张地说,Web 应用程序是世界前进的动力。Web 应用程序向关键利益相关者提供重要的新闻和信息,开展营销活动,处理销售事务,帮助您更有效地与您的客户进行合作与互动。随着企业的数字化程度日益提高,特别在现在这个时期,Web 应用程序的重要性正在急剧攀升。有部署新远程医疗门户的基层医疗提供商,也有支持电子商务服务的当地杂货店,这样的例子不胜枚举。从下面这个事实便可知道 Web 应用程序无所不在:全球 Web 应用程序的数量很快会达到 20 亿。1
因为从设计而言,大多数 Web 应用程序都可轻松由外部用户所用,因而这种无所不在的特点也是其主要缺点。Web 应用程序最为人所诟病的缺点就是漏洞。整体而言,我们所谈论的是威胁制造者能够利用漏洞攻击的数百亿个高风险 Web 应用程序漏洞。因此,Web 应用程序一直都是造成今日数据外泄最常见的攻击媒介,也就不意外了。2
现今的 Web 应用程序瞬息万变,对于安全团队而言,要跟上持续更新和最新披露的漏洞的步伐会异常艰辛。不幸的是,大多数企业都没有足够的应用程序安全资源。3除此之外,如果没有丰富的专业知识,许多解决方案不但成本高昂、而且也难以使用。只有很少的安全团队才拥有全面性的流程来保护 Web 应用程序及其 IT 资产的安全,这会带来更高的复杂性。
其后果就是,针对可能造成企业溃不成军、全部客户交易终止或导致机密客户数据丢失的重要漏洞,绝大多数 Web 应用程序都没有就此进行评估。
保护 PHP 应用程序并不需要博士学位
克服应用程序安全复杂性最简单的一个方法,就是扩展您现有的平台来保护您的 Web 应用程序。这样做不仅能简化您的安全技术堆栈,也能充分运用您已熟悉的工作流带来的优势来启动新扫描、分析扫描结果、对漏洞进行优先级分析以及自定义报告。对于没有配置应用程序安全专家团队的安全组织来说,这一点尤其重要。
这也是我们打造 Tenable.io Web Application Scanning 的原因。该产品由专业人士设计,专业人士专享。用户在数分钟内就能快速配置扫描,而不用花费数小时或数日手动微调,才能得到有意义的结果。该产品由业界最大的漏洞研究团队 Tenable Research 倾力打造,可以对您的 Web 应用程序提供最全面和最准确的漏洞覆盖范围。
当我们的安全响应团队发现新的危险 Web 应用程序漏洞时,漏洞检测就会快速添加到 Tenable.io Web App Scanning,因此用户就可以检测并进行修复。在最近的 WordPress 插件攻击例子中,新漏洞检测在几小时内就发布了。此外,所有经 Tenable.io Web App Scanning 评估过的 Web 应用程序都会集成到 Tenable.io 资产视图中,其中包含您的传统 IT 和云资产,为您的整个攻击面提供统一的可见性。
Tenable.io Web App Scanning 推出令人兴奋的新功能
Tenable.io Web App Scanning 就是如此无与伦比。自 4 月 30 日起,对于 Tenable.io Web App Scanning 的新客户,我们发布了数个重要的新产品增强功能。如果您是 Tenable.io Web App Scanning 的现有客户,只需短短几周便可使用这些功能,确保您具有无缝的产品使用体验。新功能包括:
- 完全集成的仪表盘可提供统一的能见度。Tenable.io Web App Scanning 数据现在完全集成到 Tenable.io 仪表盘和小组件库。创建全新自定义的仪表盘和小组件,将 IT、云和 Web 应用程序漏洞数据集成到单一的统一视图中。这样就能帮助您分析及深入研究 Web 应用程序,就像您对整个攻击面中的其他资产所做的一样,发现并修复最重要的漏洞。
- 支持单页应用程序,实现增强的检测能力。现在,全新的先进扫描引擎可支持基于 JavaScript 的单一动态页面应用程序,而这些应用程序对许多 Web 应用程序扫描程序不可见。其他漏洞检测功能还包括支持 Apache Solr、针对源代码外泄以及 PHP、Joomla 和 Drupal 中数十种组件漏洞的全新插件。
- 快速发现常见 Web 应用程序缺陷。预先定义的扫描模板能让您快速找出与 SSL/TLS 认证及 HTTP 标头错误配置有关的常见 Web 应用程序网络安全机制。这些扫描只需数秒钟即可配置,而且在数分钟内就能获得结果,让您快速获取深入见解。
此外,因为 Tenable.io Web App Scanning 是由 Tenable Research 精心打造的,所以它获得世界级研究机构带来的所有好处:CVE 覆盖面首屈一指,新漏洞检测的准确性和速度独步全球。正因如此,您可以高枕无忧,让您的开发团队不必浪费时间在修复误报上,也不会遗漏可能会被攻击者利用的漏洞。
免费试用 Tenable.io Web App Scanning
自 4 月 30 日起,我们将为所有 Tenable.io 客户提供 30 天免费访问 Tenable.io Web App Scanning 的权限,即使您以前评估过,这次也包含在内。客户会收到评估邀请,可以在 Tenable.io 中直接选择加入。请阅读第一手资料,了解 Web 应用程序安全数据如何集成到现有仪表盘和工作流以实现统一的可见性。
还不是 Tenable.io 客户?没问题。您仍然可以免费试用 Tenable.io Web App Scanning,了解如何轻松、快速地配置新 Web 应用程序扫描并分析结果。
详细了解 Tenable.io Web App Scanning
在开始免费评估前想了解更多信息吗?参加我们即将在 5 月 20 日举办的网络研讨会“RCE 与远程员工,您的 Web 应用程序有多容易遭到攻击?”我们将分享有关 Web 应用程序漏洞和威胁的最新研究见解,以及 Tenable.io Web App Scanning 的深度演示。若要预留席位,请立即报名。
1. https://www.internetlivestats.com/total-number-of-websites/
2. 2019 Data Breach Investigations Report, Verizon, 2019
3. The Life and Times of Cybersecurity Professionals 2018, ESG, 2019
相关文章
Identifying Web Cache Poisoning and Web Cache Deception: How Tenable Web App Scanning Can Help
March 18, 2024Web cache poisoning and web cache deception are two related but distinct types of attacks that can have serious consequences for web applications and their users. Learn how these flaws arise, why some common attack paths are so challenging to mitigate and how Tenable Web App Scanning can help.
Tenable.io and Tenable.io WAS Achieve FedRAMP Authorization
October 7, 2021Six reasons why FedRAMP authorization for Tenable.io and Tenable.io Web App Scanning (WAS) is important for our customers and partners. After lengthy and rigorous testing under the U.S. Federal Risk ...
How to Use Tenable.io WAS to Find and Fix Sensitive Information Exposure in Microsoft Power Apps
September 30, 2021Researchers identified a configuration issue in Microsoft Power Apps portals that exposed millions of records for nearly 50 organizations. Learn how you can use Tenable.io Web App Scanning to identify...
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- Tenable.io Web Application Scanning
- Vulnerability Management