果核數位攜手Security Scorecard與Tenable，讓網路資訊安全風險無所遁形

近年在疫情催化下，許多企業為加強經營韌性，紛紛投入數位轉型，一方面推動對外服務數位化，以深化與顧客、供應夥伴的協作關係；二方面加強對內服務數位化，援引雲端、AD等科技助力，期望為IT與OT環境同步扎下現代化營運基底。

惟隨著上述改革的推進，使企業的安全邊界越來越模糊，此時卻未能提升曝險管理能力，以致不論對外或對內應用場景中，皆出現更多不可視的漏洞，也讓企業受攻擊面日益擴大，無疑是一大隱憂。

果核數位產品推廣部資深經理卓俊豪表示，果核數位長年深耕資安服務領域，現正積極轉型至SaaS資安軟體訂閱服務、專業諮詢顧問等新商業模式；在推展業務過程，意識到近年駭客發動漏洞攻擊頻率激增，但多數企業意識到需要好的工具來檢視內外資安盲點，因而與Security Scorecard、Tenable兩家各擅勝場的業者合作，協助企業建構面面俱到的弱點管理平台，有效降低資安風險。

僅需輸入域名，即可監測供應鏈曝險狀況

Security Scorecard大中華區域經理張建偉指出，多數企業慣用傳統觀念，著重從內部角度審視資安防護能力的充足與否，忽略現今複雜且多維度的對外網路服務環境，亦未關注第三方供應商或委外廠商是否淪為駭客攻擊跳板，因而出現未注意到的資安盲點。

透過Security Scorecard網路資安風險分析服務，即可補足這個缺口，從外部角度來檢視企業安全現狀，並依網路資安風險、補丁修補週期、端點資安風險、惡意IP連線活動、應用程式資安風險、Cubit Score、駭客訊息交流中心、帳密訊息洩漏風險、社交平台風險分析等10大關鍵面向，為企業計算真實的資安風險係數和安全等級，藉此突顯防護機制不足、或不慎對外開啟的高風險服務（如RDP、VNC、Telnet等遠端遙控服務），更進一步提出對應修正建議，協助企業加速改善資安體質。

「Security Scorecard服務的最大特色，在於採取非侵入式分析技術，不必搭配任何設備或植入任何Agent。」張建偉說，只要輸入域名（Domain Name），即可分析該企業曝露在網際網路的所有弱點。更特別的是，企業亦可在平台上輸入供應商、委外廠商的域名，藉以監控第三方生態夥伴的風險狀況，以抵禦現今最難防範的供應鏈攻擊。

借助多元風險探測機制，徹底挖掘內網安全破綻

若說Security Scorecard是對外服務弱點分析的領導品牌，則Tenable便是洞察內部脆弱環節的最佳管理平台，不僅在弱點掃瞄市場擁有高佔有率，且因近年接連併購Indegy、Alsid、Accurics及Bit Discovery，更將洞察力延伸至OT安全、AD安全、雲端安全、攻擊面管理（ASM）等完整構面。尤其AD是近年屢遭駭客利用的攻擊切入點，如何識別箇中風險，絕對是重大課題。

Tenable臺灣區域經理蔡孟廷表示，大致上來說，Tenable的核心圍繞於風險探測與管理，其中蘊含兩大優勢，一是在部署面，可針對不同面向的風險，搭配不同的探測方式，確保各種弱點都被有效挖掘出來。例如針對端點、伺服器的弱點，可搭配運用網路掃瞄、授權掃瞄或植入Agent等方法；針對IoT裝置，雖無法主動掃瞄，仍可藉由流量監聽，嘗試從它運行的服務來辨識對應弱點；針對AD，採用非侵入式做法，透過微軟原生API聆聽AD系統當中的風險；針對工控安全，採用被動式流量監聽方式、輔以主動查詢設備狀態的做法；至於雲端安全，則透過API介接雲平台底層，擷取必要資訊。

第二項優勢，在於Tenable擁有24/7不間斷運作的龐大研究團隊，除致力研究新的探測技術外，也隨時從暗網資料庫搜尋當下值得注意的漏洞，進而探索目前有哪些廣為流傳的攻擊工具。

蔡孟廷說，一般弱點管理工具，都會基於CVE分級方式，根據其掃瞄結果評定風險係數，Tenable則採取獨特計分模式，動態反映真實威脅態勢。如某些被CVE列為高風險的漏洞，需要配合許多環節才會形成攻擊行為，實務上不太容易釀成危害，Tenable就不會將它評為高風險威脅。

反之若某些CVE漏洞在暗網世界擁有高討論度，相關攻擊程式或腳本也開始盛傳，Tenable就會給予較高評分，建議企業儘速採取必要的補丁或防禦措施，甚至透過旗下部份雲端產品、主動協助修復該項風險。惟日後若駭客圈轉移關注焦點，或多數企業已完成補丁，Tenable就會下修此漏洞的風險評級。

專業顧問結合產品推廣，發揮最大加值綜效

卓俊豪指出，近兩年果核數位專注投入兩項品牌的技術淬錬與市場推廣，迄今已展現一定成效，除自身進階為Security Scorecard金級經銷夥伴、Tenable銀級經銷夥伴外，也在金融、ICT製造等領域締造越來越多成功案例。

他進一步強調，果核數位並非以傳統單品銷售思維來推廣兩項品牌，而是從資安顧問角度出發，先理解客戶痛點，再據此提出最適切的建議方案，確保客戶只要啟用服務，就能立即獲得最大加值綜效，緩解企業自身資安威脅之餘、順道化解棘手的第三方風險議題。

果核數位自己也是Security Scorecard及Tenable的用戶，只要因當中任何平台功能的強化或更新而受益，都樂於將成果回饋給客戶，幫助客戶不斷提升應用價值。總之果核數位期望在金融、高科技製造或政府等領域大力推動數位化的過程，盡上一份力量，藉由更完整的產品與服務，助力降低資安風險。

加入粉絲團獲取更多資安/活動資訊