[專訪]Tenable公司技術顧問李元勛:弱點掃描防範網路威脅於未然

2020 / 04 / 14

編輯部

網路威脅已經成為個人與企業在資訊應用環境中最大的隱憂，當前的雲端、DevOps、行動裝置、物聯網（IoT）與關鍵性基礎架構已經成為駭客、病毒的攻擊目標，如何在被駭客攻擊前先掌握網路的弱點破綻，並及時地進行修補，將網路威脅防範於未然，將比被攻擊後才來亡羊補牢來得更有意義。本刊採訪到專精於弱點掃描領域的Tenable公司技術顧問李元勛（Richard Li），來為我們解析弱點掃描的發展現況與趨勢，以及相關的解決方案。

將風險進行分級　鎖定重大威脅改善
2017年公佈的新Common Vulnerability and Exposures（CVE）有15,038個，相較於2016年的9,837個大幅增加53%，這是值得注意的警訊，2018年公佈的新CVE則有16,500個。平均而言，企業每天在960個IT資產中會發現870個CVE，因此想要修補所有的弱點是不切實際的做法。Tenable公司技術顧問李元勛表示，大多數的公司都使用CVSS評分來排定弱點管理的優先順序，這是個業界常用的弱點評分標準，專門用於評估弱點的嚴重性，企業可根據嚴重性等級來排定其應變與資源分配的優先順序。

然而，從CVSSv2轉移到CVSSv3對嚴重性的分佈會產生重大

影響，CVSSv3將使得被列為「高度」與「重大」的CVE增為原來的近兩倍，這表示光使用CVSS評分標準已無法解決問題，因為需要管理的弱點實在是太多了。在理想狀態下，網路安全與IT專業人員會積極找出每個潛在的弱點並予以修補，使他們的公司免於遭受來自所有已知途徑的攻擊，但隨著數位轉型帶來更多新的成長契機，未知的風險領域也隨之而來。李元勛進一步表示，由於通過CVSS排定出來的弱點實在太多，在有限的人力資源之下，必須將問題的數量縮減至可應付的規模才行，企業其實應首先瞭解理論風險與實際風險之間的差異，依據這些弱點的歷史軌跡，然後根據風險等級來排定弱點的優先順序。目前企業常用已有20年以上歷史的Nessus來進行弱點掃描，Nessus受到全世界超過27,000個機構的信賴，是地球上部署最廣泛的安全性技術之一，已經成為市場上最準確、最全面的漏洞評估解決方案。李元勛表示，Tenable公司於2008年推出Nessus的商業化版本，以提供企業更全面的弱點掃描支援。隨後Tenable公司推出使用Nessus掃描引擎，可找出未知資產及弱點，並監控非預期的網路變更，防止其發展成資料外洩的Tenable.sc（舊稱SecurityCenter），讓企業可以全面了解網路的狀態，並於2019年推出雲端型的Tenable.io，全面為企業的網路安全把關。

Tenable採用了Predictive Prioritization（弱點修補優先順序）技術，來將弱點資料變成可用於採取行動的智慧功能，Predictive Prioritization是一種處理流程，可根據弱點遭攻擊者利用的機率來重新排定弱點處理的優先順序。Predictive Prioritization結合了150多種資料來源，包括Tenable弱點資料與第三方弱點及威脅資料，並充分運用專屬的機器學習演算法，找出近期內最有可能遭到利用的弱點。有了Predictive Prioritization技術，企業可將全部心力放在曾經或未來可能遭攻擊者利用的弱點上，而此類弱點的數量僅佔全體弱點的3%，進而大幅提升修復效率與成效。

掌握弱點項目與改善進度　解決突發性網路威脅
李元勛表示，以Tenable實際的客戶為例，這是一家擁有三千名以上員工的金融機構，以往都是採用傳統的弱點掃描工具，產出試算表形式的弱點清單，列出了上萬條弱點項目，平均每台機器便有30~40個弱點，由於這些弱點清單分屬於不同的權責單位，想要將這些弱點項目進行權責分工時相當不易，後續的追蹤管理也很難以落實，後來採用了Tenable.sc解決方案後，便能夠輕易地掌握所有IT資產的狀況，並可輕鬆地依據不同的管理者查看弱點的改善進度與現況。

此外，李元勛表示，有許多企業則是將弱點掃描工作外包給科技服務公司來處理，但限於合約與經費，一年僅有兩次的檢測次數，但若發生突發性的弱點攻擊，在處理時效上往往緩不濟急。企業若能自建弱點評估系統，便能夠隨時掌握企業的弱點狀況，並解決突發性的網路威脅。以目前Tenable公司的客戶集中在金融、電信、壽險等企業單位，未來他們也將鎖定開發高科技產業市場。李元勛表示，以往高科技業較不重視資安，但在爆發許多資安事件，導致高科技企業蒙受重大損失之後，已經越來越重視資訊安全，甚至主動聯繫與要求進行企業弱點掃描工作，對企業的資訊安全進行全面健檢，防範網路威脅於未然。

弱點掃描網路威脅