From Managing Vulnerabilities to Managing Exposure: The Critical Shift You Can’t Ignore 随着攻击面扩大和工具分散化问题加剧，传统漏洞管理已无法满足需求。暴露管理通过整合多源数据、提供上下文分析和优先级排序，帮助组织全面了解风险并采取主动措施应对威胁。... 2025-5-8 13:0:0 | 阅读: 7 | 收藏 | Tenable Blog - www.tenable.com exposure security exposures tenable

Stronger Cloud Security in Five: Securing Your Cloud Identities 文章探讨了云环境中身份安全的重要性及挑战，指出身份是云安全的核心边界。随着多云环境的复杂性增加，统一的身份管理工具和策略变得至关重要。文章提出了五项最佳实践：获取多云可见性、分析风险、持续合规监控、自动化修复以及部署即时访问管理。... 2025-5-7 13:0:0 | 阅读: 8 | 收藏 | Tenable Blog - www.tenable.com cloud security identities unified tenable

Frequently Asked Questions about Vibe Coding 文章介绍了“Vibe Coding”这一新兴的AI辅助编程方法及其优缺点。该方法通过AI生成代码并直接使用，适合快速开发原型项目，但也面临安全漏洞、代码维护困难等风险。文章还提供了缓解这些风险的建议，并介绍了相关的AI工具和工作流程。... 2025-5-6 13:0:0 | 阅读: 16 | 收藏 | Tenable Blog - www.tenable.com vibe llm development tenable prompts

How Exposure Management Can Ease the Pain of Security Tool Sprawl 文章探讨了企业因使用过多孤立的安全工具而面临的风险管理挑战，并提出通过整合数据和统一平台来解决这些问题。通过集中分析和关联不同安全工具的数据，企业可以更高效地识别和应对风险，减少攻击面并提升整体安全性。... 2025-5-5 13:0:0 | 阅读: 14 | 收藏 | Tenable Blog - www.tenable.com security exposure exposures siloed siloes

Cybersecurity Snapshot: CISA’s Best Cyber Advice on Securing Cloud, OT, Apps and More 文章总结了美国网络安全和基础设施安全局（CISA）在过去一年中提供的六项关键网络安全指导，包括如何选择安全的OT产品、实施软件物料清单（SBOM）、从红队演习中汲取教训、加强云服务安全、设计更安全的软件以及采用统一的安全态势管理策略。... 2025-5-2 13:0:0 | 阅读: 12 | 收藏 | Tenable Blog - www.tenable.com software security cloud

MCP Prompt Injection: Not Just For Evil 文章探讨了Model Context Protocol (MCP)工具在安全领域的应用与潜在风险。通过实验展示了如何利用MCP工具进行日志记录、过滤未授权命令以及潜在的恶意攻击。... 2025-4-30 15:0:0 | 阅读: 12 | 收藏 | Tenable Blog - www.tenable.com mcp llm tenable ben llms

The Future of Cloud Access Management: How Tenable Cloud Security Redefines Just-in-Time Access 文章探讨了云环境中过度授权的风险，并介绍了Tenable Cloud Security的"即时访问"功能如何通过临时权限减少攻击面。该功能支持基于需求的访问请求、自动或审批流程、限时权限，并集成协作工具和审计日志。此外，该功能已扩展至SaaS应用，并作为Tenable Cloud Security的一部分提供，简化了采购流程。... 2025-4-30 13:0:0 | 阅读: 13 | 收藏 | Tenable Blog - www.tenable.com cloud security tenable fig lior

Exposure Management Works When the CIO and CSO Are in Sync Tenable CIO Patricia Grant强调CIO与CSO的合作对成功实施暴露管理至关重要。双方需紧密协作，共享责任，通过统一视图和风险管理策略提升企业安全性，并以业务语言向董事会传达风险。... 2025-4-28 13:0:0 | 阅读: 5 | 收藏 | Tenable Blog - www.tenable.com exposure tenable cso security

Reducing Remediation Time Remains a Challenge: How Tenable Vulnerability Watch Can Help 文章探讨了组织在漏洞修复和优先级排序方面的挑战，并介绍了Tenable的Vulnerability Watch分类系统。该系统借鉴了WHO对COVID-19变种的分类方法，通过“被监控”、“感兴趣”和“关注”三个类别提供更清晰的风险沟通方式，帮助组织更快响应和修复漏洞。... 2025-4-25 19:58:48 | 阅读: 15 | 收藏 | Tenable Blog - www.tenable.com tenable voi security

CVE-2025-31324: Zero-Day Vulnerability in SAP NetWeaver Exploited in the Wild SAP发布针对CVE-2025-31324的紧急补丁，修复SAP NetWeaver中的零日漏洞。该漏洞为未认证文件上传高危风险（CVSS 10.0），已被用于攻击部署恶意软件。建议用户立即安装补丁以应对威胁。... 2025-4-25 16:0:24 | 阅读: 27 | 收藏 | Tenable Blog - www.tenable.com security tenable netweaver 31324 scott

Cybersecurity Snapshot: Verizon DBIR Finds Attackers Feast on Vulnerability Exploits for Initial Access, While MITRE ATT&CK Adds Mobile, Cloud, ESXi Threat Intel 文章总结了 Verizon 2025 数据泄露调查报告的主要发现，包括网络攻击主要通过凭证滥用和漏洞利用进入企业网络，并指出零日漏洞攻击边缘设备和 VPN 的比例显著增加。此外还提到了 MITRE ATT&CK 框架更新、Tenable 关于 AI 安全的调查结果、SANS 针对 OT 系统的勒索软件响应框架以及 FBI 2024 年网络犯罪报告中的关键数据。... 2025-4-25 13:0:0 | 阅读: 15 | 收藏 | Tenable Blog - www.tenable.com security ransomware tenable crime dbir

Despite Recent Security Hardening, Entra ID Synchronization Feature Remains Open for Abuse 微软混合身份同步功能存在安全风险。Directory Synchronization Accounts 和 On Premises Directory Sync Account 角色仍保留关键 API 访问权限。新应用 Microsoft Entra AD Synchronization Service 引入 ADSynchronization.ReadWrite.All 特权权限，增加攻击面。安全团队应监控这些角色和权限，并使用 Tenable Identity Exposure 进行管理以降低风险。... 2025-4-24 13:0:0 | 阅读: 6 | 收藏 | Tenable Blog - www.tenable.com entra microsoft privileged premises

Stronger Cloud Security in Five: How To Protect Your Cloud Workloads 文章探讨了多云环境下云工作负载的安全挑战，并提出了持续漏洞管理、无代理扫描、容器安全、自动化合规和集中安全管理五项关键实践以确保其完整性。... 2025-4-23 13:0:0 | 阅读: 13 | 收藏 | Tenable Blog - www.tenable.com cloud security workloads workload tenable

Verizon 2025 DBIR: Tenable Research Collaboration Shines a Spotlight on CVE Remediation Trends 2025年Verizon数据泄露调查报告显示，漏洞利用占数据泄露的20%，较去年增长34%。Tenable Research分析了17个边缘设备相关CVE及其修复趋势。不同行业修复时间差异显著，部分行业需数月之久。VPN和边缘设备漏洞尤为突出。... 2025-4-23 04:5:0 | 阅读: 12 | 收藏 | Tenable Blog - www.tenable.com tenable cves exploited dbir

CISA BOD 25-01 Compliance: What U.S. Government Agencies Need to Know 美国政府机构需遵守CISA发布的BOD 25-01指令，针对Microsoft 365实施安全配置基线，包括多因素认证和限制外部访问，并在指定日期前完成合规性。Tenable提供审计工具协助机构实现目标。... 2025-4-22 21:19:9 | 阅读: 11 | 收藏 | Tenable Blog - www.tenable.com shall tenable aad microsoft cloud

ConfusedComposer: A Privilege Escalation Vulnerability Impacting GCP Composer Tenable发现Google Cloud Platform漏洞ConfusedComposer，允许拥有特定权限的用户通过恶意PyPI包利用默认Cloud Build服务账户提升权限至高危级别。修复已发布并采用新服务账户进行PyPI模块安装。该漏洞属于Jenga类攻击的一部分。... 2025-4-22 13:0:0 | 阅读: 5 | 收藏 | Tenable Blog - www.tenable.com cloud gcp attacker pypi privileges

Turn to Exposure Management to Prioritize Risks Based on Business Impact Tenable首席安全官Robert Huber分享了如何通过风险暴露管理聚焦对业务有影响的风险。他建议整合所有数据、理解风险在业务中的上下文、识别系统性问题，并清晰沟通风险。这种方法帮助从被动安全转向战略决策，并需变革管理和持续优化。... 2025-4-21 13:0:0 | 阅读: 8 | 收藏 | Tenable Blog - www.tenable.com exposure security tenable robert officer

CVE-2025-32433: Erlang/OTP SSH Unauthenticated Remote Code Execution Vulnerability 研究人员披露了Erlang/OTP SSH服务器中的一个最高严重级别的远程代码执行漏洞（CVE-2025-32433），CVSSv3评分为10.0。该漏洞允许未认证攻击者执行任意代码并完全控制设备。研究人员已发布概念验证代码，官方已发布补丁修复该漏洞。... 2025-4-18 15:22:15 | 阅读: 31 | 收藏 | Tenable Blog - www.tenable.com ssh tenable otp erlang security

Cybersecurity Snapshot: NIST Aligns Its Privacy and Cyber Frameworks, While Researchers Warn About Hallucination Risks from GenAI Code Generators NIST更新隐私框架以更好地与网络安全框架整合，并新增AI相关风险内容；生成式AI工具可能导致开发者下载恶意软件包；Tenable网络研讨会显示身份安全仍是关注重点；加拿大警告针对路由器的网络攻击激增；MITRE CVE计划获一年延期但未来仍存不确定性。... 2025-4-18 13:0:0 | 阅读: 20 | 收藏 | Tenable Blog - www.tenable.com security tenable network software

Frequently Asked Questions About the MITRE CVE Program Expiration and Renewal MITRE CVE计划获得一年资金延期，避免中断。 CVE基金会和GCVE计划推动非营利化和去中心化管理。 Tenable作为CNA储备了足够CVE编号，并依赖厂商公告继续服务。... 2025-4-16 19:34:56 | 阅读: 26 | 收藏 | Tenable Blog - www.tenable.com tenable security cna gcve