觀點

[專訪]Tenable公司技術顧問李元勛:弱點掃描 防範網路威脅於未然

2020 / 04 / 14
編輯部
[專訪]Tenable公司技術顧問李元勛:弱點掃描 防範網路威脅於未然
網路威脅已經成為個人與企業在資訊應用環境中最大的隱憂,當前的雲端、DevOps、行動裝置、物聯網(IoT)與關鍵性基礎架構已經成為駭客、病毒的攻擊目標,如何在被駭客攻擊前先掌握網路的弱點破綻,並及時地進行修補,將網路威脅防範於未然,將比被攻擊後才來亡羊補牢來得更有意義。本刊採訪到專精於弱點掃描領域的Tenable公司技術顧問李元勛(Richard Li),來為我們解析弱點掃描的發展現況與趨勢,以及相關的解決方案。

將風險進行分級 鎖定重大威脅改善
2017年公佈的新Common Vulnerability and Exposures(CVE)有15,038個,相較於2016年的9,837個大幅增加53%,這是值得注意的警訊,2018年公佈的新CVE則有16,500個。平均而言,企業每天在960個IT資產中會發現870個CVE,因此想要修補所有的弱點是不切實際的做法。Tenable公司技術顧問李元勛表示,大多數的公司都使用CVSS評分來排定弱點管理的優先順序,這是個業界常用的弱點評分標準,專門用於評估弱點的嚴重性,企業可根據嚴重性等級來排定其應變與資源分配的優先順序。
 
然而,從CVSSv2轉移到CVSSv3對嚴重性的分佈會產生重大
影響,CVSSv3將使得被列為「高度」與「重大」的CVE增為原來的近兩倍,這表示光使用CVSS評分標準已無法解決問題,因為需要管理的弱點實在是太多了。在理想狀態下,網路安全與IT專業人員會積極找出每個潛在的弱點並予以修補,使他們的公司免於遭受來自所有已知途徑的攻擊,但隨著數位轉型帶來更多新的成長契機,未知的風險領域也隨之而來。李元勛進一步表示,由於通過CVSS排定出來的弱點實在太多,在有限的人力資源之下,必須將問題的數量縮減至可應付的規模才行,企業其實應首先瞭解理論風險與實際風險之間的差異,依據這些弱點的歷史軌跡,然後根據風險等級來排定弱點的優先順序。目前企業常用已有20年以上歷史的Nessus來進行弱點掃描,Nessus受到全世界超過27,000個機構的信賴,是地球上部署最廣泛的安全性技術之一,已經成為市場上最準確、最全面的漏洞評估解決方案。李元勛表示,Tenable公司於2008年推出Nessus的商業化版本,以提供企業更全面的弱點掃描支援。隨後Tenable公司推出使用Nessus掃描引擎,可找出未知資產及弱點,並監控非預期的網路變更,防止其發展成資料外洩的Tenable.sc(舊稱SecurityCenter),讓企業可以全面了解網路的狀態,並於2019年推出雲端型的Tenable.io,全面為企業的網路安全把關。
 
Tenable採用了Predictive Prioritization(弱點修補優先順序)技術,來將弱點資料變成可用於採取行動的智慧功能,Predictive Prioritization是一種處理流程,可根據弱點遭攻擊者利用的機率來重新排定弱點處理的優先順序。Predictive Prioritization結合了150多種資料來源,包括Tenable弱點資料與第三方弱點及威脅資料,並充分運用專屬的機器學習演算法,找出近期內最有可能遭到利用的弱點。有了Predictive Prioritization技術,企業可將全部心力放在曾經或未來可能遭攻擊者利用的弱點上,而此類弱點的數量僅佔全體弱點的3%,進而大幅提升修復效率與成效。

掌握弱點項目與改善進度 解決突發性網路威脅
李元勛表示,以Tenable實際的客戶為例,這是一家擁有三千名以上員工的金融機構,以往都是採用傳統的弱點掃描工具,產出試算表形式的弱點清單,列出了上萬條弱點項目,平均每台機器便有30~40個弱點,由於這些弱點清單分屬於不同的權責單位,想要將這些弱點項目進行權責分工時相當不易,後續的追蹤管理也很難以落實,後來採用了Tenable.sc解決方案後,便能夠輕易地掌握所有IT資產的狀況,並可輕鬆地依據不同的管理者查看弱點的改善進度與現況。
 
此外,李元勛表示,有許多企業則是將弱點掃描工作外包給科技服務公司來處理,但限於合約與經費,一年僅有兩次的檢測次數,但若發生突發性的弱點攻擊,在處理時效上往往緩不濟急。企業若能自建弱點評估系統,便能夠隨時掌握企業的弱點狀況,並解決突發性的網路威脅。以目前Tenable公司的客戶集中在金融、電信、壽險等企業單位,未來他們也將鎖定開發高科技產業市場。李元勛表示,以往高科技業較不重視資安,但在爆發許多資安事件,導致高科技企業蒙受重大損失之後,已經越來越重視資訊安全,甚至主動聯繫與要求進行企業弱點掃描工作,對企業的資訊安全進行全面健檢,防範網路威脅於未然。