首頁 > 資安知識庫 > 防制資料外洩 > 資料庫安全

[專訪]Tenable公司技術顧問李元勛:弱點掃描 防範網路威脅於未然

作者:編輯部 -2020 / 04 / 14 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
網路威脅已經成為個人與企業在資訊應用環境中最大的隱憂,當前的雲端、DevOps、行動裝置、物聯網(IoT)與關鍵性基礎架構已經成為駭客、病毒的攻擊目標,如何在被駭客攻擊前先掌握網路的弱點破綻,並及時地進行修補,將網路威脅防範於未然,將比被攻擊後才來亡羊補牢來得更有意義。本刊採訪到專精於弱點掃描領域的Tenable公司技術顧問李元勛(Richard Li),來為我們解析弱點掃描的發展現況與趨勢,以及相關的解決方案。

將風險進行分級 鎖定重大威脅改善
2017年公佈的新Common Vulnerability and Exposures(CVE)有15,038個,相較於2016年的9,837個大幅增加53%,這是值得注意的警訊,2018年公佈的新CVE則有16,500個。平均而言,企業每天在960個IT資產中會發現870個CVE,因此想要修補所有的弱點是不切實際的做法。Tenable公司技術顧問李元勛表示,大多數的公司都使用CVSS評分來排定弱點管理的優先順序,這是個業界常用的弱點評分標準,專門用於評估弱點的嚴重性,企業可根據嚴重性等級來排定其應變與資源分配的優先順序。
 
然而,從CVSSv2轉移到CVSSv3對嚴重性的分佈會產生重大
影響,CVSSv3將使得被列為「高度」與「重大」的CVE增為原來的近兩倍,這表示光使用CVSS評分標準已無法解決問題,因為需要管理的弱點實在是太多了。在理想狀態下,網路安全與IT專業人員會積極找出每個潛在的弱點並予以修補,使他們的公司免於遭受來自所有已知途徑的攻擊,但隨著數位轉型帶來更多新的成長契機,未知的風險領域也隨之而來。李元勛進一步表示,由於通過CVSS排定出來的弱點實在太多,在有限的人力資源之下,必須將問題的數量縮減至可應付的規模才行,企業其實應首先瞭解理論風險與實際風險之間的差異,依據這些弱點的歷史軌跡,然後根據風險等級來排定弱點的優先順序。
1
推薦此文章
0
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…