根據《資通安全責任等級分級辦法部分條文修正草案》,A級、B級和C級的公共機構以及關鍵基礎設施提供者應導入資安弱點通報平台 (VANS),以建立主動發現、通報和修補弱點的機制,將信息資產清單與弱點資料庫進行比對,以確定所使用的信息資產是否存在已公開披露的弱點信息,並根據風險情況進行安全性更新。
Tenable日前宣布出全新的資通安全弱點通報平台,以滿足機構和關鍵基礎設施提供者對更強大、更自動化的資訊安全管理需求。VANS 平台將有助於建立主動發現、通報和修補弱點的機制,協助機構有效降低網絡風險。
資通安全弱點通報平台(VANS)是一個綜合性的網絡安全解決方案,結合了信息資產管理與弱點管理,以協助機構落實《資通安全管理法》中有關資產清單和風險評估的要求。
Tenable的VANS平台允許機構全面盤點其信息資產,將資料規範化至CPE(Common Platform Enumeration)格式,並上傳至VANS平台。當重大弱點爆發時,國家弱點資料庫(NVD)將更新弱點信息,VANS平台將自動更新弱點資料庫,與系統弱點進行比對整理,並將信息上傳至國家資通安全研究院。資通安全研究院在發現弱點後,將發出警告通知,系統管理員即可對受影響的主機進行弱點修補。
Tenable的VANS平台提供兩大主要功能,包括資產盤點和風險評估:
- 資產盤點: 通過相關系統工具,輕鬆生成分析報告,對各信息資產進行群組式管理,有效減少了人工盤查作業和實際資料之間的差距。
- 風險評估: 可依據CPE自動盤點資產,生成可視化報告,使用CVE(Common Vulnerabilities and Exposures)漏洞評分和安全性更新KBID自動比對安全性更新,以確實掌握漏洞風險。此外,還可以將資料上傳至行政院國家資通安全研究院,實現VANS的自動化整合通報操作。
Tenable的VANS平台特色及優勢
- 自動化 CPE 格式轉換: VANS平台具備自動CPE格式規範化轉換功能,同時自動上傳至VANS系統。
- 自動化盤點資通系統: VANS系統自動盤點並使用KBID進行比對清單,減少了人工盤查作業和資料差距。
- 弱點自動對比: VANS平台整合最即時的CPE和NVD資料庫,自動比對清單資料,確保有效掌握資產漏洞。
- 排程定時通報: VANS平台與行政院國家資通安全研究院系統相互串接,實現了自動化整合通報操作。
- 一鍵上傳資安研究院 VANS 系統: 也可以通過一鍵上傳方式完成整合通報操作,減輕了人工操作負擔。