Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

这就是简单、快速又正确地执行 Web 应用程序安全的方法

现今,Web 应用程序是造成数据外泄最常见的攻击媒介。下面介绍 Tenable Research 倾力打造的 Tenable.io Web Application Scanning 如何帮助安全团队保护其 Web 应用程序资产。

毫不夸张地说,Web 应用程序是世界前进的动力。Web 应用程序向关键利益相关者提供重要的新闻和信息,开展营销活动,处理销售事务,帮助您更有效地与您的客户进行合作与互动。随着企业的数字化程度日益提高,特别在现在这个时期,Web 应用程序的重要性正在急剧攀升。有部署新远程医疗门户的基层医疗提供商,也有支持电子商务服务的当地杂货店,这样的例子不胜枚举。从下面这个事实便可知道 Web 应用程序无所不在:全球 Web 应用程序的数量很快会达到 20 亿。1

因为从设计而言,大多数 Web 应用程序都可轻松由外部用户所用,因而这种无所不在的特点也是其主要缺点。Web 应用程序最为人所诟病的缺点就是漏洞。整体而言,我们所谈论的是威胁制造者能够利用漏洞攻击的数百亿个高风险 Web 应用程序漏洞。因此,Web 应用程序一直都是造成今日数据外泄最常见的攻击媒介,也就不意外了。2

现今的 Web 应用程序瞬息万变,对于安全团队而言,要跟上持续更新和最新披露的漏洞的步伐会异常艰辛。不幸的是,大多数企业都没有足够的应用程序安全资源。3除此之外,如果没有丰富的专业知识,许多解决方案不但成本高昂、而且也难以使用。只有很少的安全团队才拥有全面性的流程来保护 Web 应用程序及其 IT 资产的安全,这会带来更高的复杂性。

其后果就是,针对可能造成企业溃不成军、全部客户交易终止或导致机密客户数据丢失的重要漏洞,绝大多数 Web 应用程序都没有就此进行评估。

保护 PHP 应用程序并不需要博士学位

克服应用程序安全复杂性最简单的一个方法,就是扩展您现有的平台来保护您的 Web 应用程序。这样做不仅能简化您的安全技术堆栈,也能充分运用您已熟悉的工作流带来的优势来启动新扫描、分析扫描结果、对漏洞进行优先级分析以及自定义报告。对于没有配置应用程序安全专家团队的安全组织来说,这一点尤其重要。 

这也是我们打造 Tenable.io Web Application Scanning 的原因。该产品由专业人士设计,专业人士专享。用户在数分钟内就能快速配置扫描,而不用花费数小时或数日手动微调,才能得到有意义的结果。该产品由业界最大的漏洞研究团队 Tenable Research 倾力打造,可以对您的 Web 应用程序提供最全面和最准确的漏洞覆盖范围。 

当我们的安全响应团队发现新的危险 Web 应用程序漏洞时漏洞检测就会快速添加到 Tenable.io Web App Scanning,因此用户就可以检测并进行修复。在最近的 WordPress 插件攻击例子中,新漏洞检测在几小时内就发布了。此外,所有经 Tenable.io Web App Scanning 评估过的 Web 应用程序都会集成到 Tenable.io 资产视图中,其中包含您的传统 IT 和云资产,为您的整个攻击面提供统一的可见性。 

Tenable.io Web App Scanning 资产视图

Tenable.io Web App Scanning 推出令人兴奋的新功能

Tenable.io Web App Scanning 就是如此无与伦比。自 4 月 30 日起,对于 Tenable.io Web App Scanning 的新客户,我们发布了数个重要的新产品增强功能。如果您是 Tenable.io Web App Scanning 的现有客户,只需短短几周便可使用这些功能,确保您具有无缝的产品使用体验。新功能包括:

  • 完全集成的仪表盘可提供统一的能见度。Tenable.io Web App Scanning 数据现在完全集成到 Tenable.io 仪表盘和小组件库。创建全新自定义的仪表盘和小组件,将 IT、云和 Web 应用程序漏洞数据集成到单一的统一视图中。这样就能帮助您分析及深入研究 Web 应用程序,就像您对整个攻击面中的其他资产所做的一样,发现并修复最重要的漏洞。 

Tenable.io Web App Scanning 仪表盘

  • 支持单页应用程序,实现增强的检测能力。现在,全新的先进扫描引擎可支持基于 JavaScript 的单一动态页面应用程序,而这些应用程序对许多 Web 应用程序扫描程序不可见。其他漏洞检测功能还包括支持 Apache Solr、针对源代码外泄以及 PHP、Joomla 和 Drupal 中数十种组件漏洞的全新插件。
  • 快速发现常见 Web 应用程序缺陷。预先定义的扫描模板能让您快速找出与 SSL/TLS 认证及 HTTP 标头错误配置有关的常见 Web 应用程序网络安全机制。这些扫描只需数秒钟即可配置,而且在数分钟内就能获得结果,让您快速获取深入见解。

Tenable.io Web App Scanning Scan 模板

此外,因为 Tenable.io Web App Scanning 是由 Tenable Research 精心打造的,所以它获得世界级研究机构带来的所有好处:CVE 覆盖面首屈一指,新漏洞检测的准确性和速度独步全球。正因如此,您可以高枕无忧,让您的开发团队不必浪费时间在修复误报上,也不会遗漏可能会被攻击者利用的漏洞。

免费试用 Tenable.io Web App Scanning

自 4 月 30 日起,我们将为所有 Tenable.io 客户提供 30 天免费访问 Tenable.io Web App Scanning 的权限,即使您以前评估过,这次也包含在内。客户会收到评估邀请,可以在 Tenable.io 中直接选择加入。请阅读第一手资料,了解 Web 应用程序安全数据如何集成到现有仪表盘和工作流以实现统一的可见性。

还不是 Tenable.io 客户?没问题。您仍然可以免费试用 Tenable.io Web App Scanning,了解如何轻松、快速地配置新 Web 应用程序扫描并分析结果。

详细了解 Tenable.io Web App Scanning

在开始免费评估前想了解更多信息吗?参加我们即将在 5 月 20 日举办的网络研讨会“RCE 与远程员工,您的 Web 应用程序有多容易遭到攻击?”我们将分享有关 Web 应用程序漏洞和威胁的最新研究见解,以及 Tenable.io Web App Scanning 的深度演示。若要预留席位,请立即报名。

开始免费试用


1. https://www.internetlivestats.com/total-number-of-websites/
2. 2019 Data Breach Investigations Report, Verizon, 2019
3. The Life and Times of Cybersecurity Professionals 2018, ESG, 2019

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

选择 Tenable.io

免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

立即购买 Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。完整介绍请见此处。

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

获取 Tenable.sc 演示

请将您的联系方式填写在下方表格中,我们的销售代表很快与您联系安排演示。您也可以写下简短评论(不得超过 255 个字符)。请注意,带星号 (*) 的字段为必填项。

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

申请演示 Tenable.ot

获得符合需求的运营技术安全性。
降低避之不及的风险。

Tenable.ad

持续检测并响应 Active Directory 攻击事件。无需代理。无需权限账号。本地私有化或云端部署。