The Future of Cloud Access Management: How Tenable Cloud Security Redefines Just-in-Time Access 文章探讨了云环境中过度授权的风险，并介绍了Tenable Cloud Security的"即时访问"功能如何通过临时权限减少攻击面。该功能支持基于需求的访问请求、自动或审批流程、限时权限，并集成协作工具和审计日志。此外，该功能已扩展至SaaS应用，并作为Tenable Cloud Security的一部分提供，简化了采购流程。... 2025-4-30 13:0:0 | 阅读: 18 | 收藏 | Tenable Blog - www.tenable.com cloud security tenable fig lior

Exposure Management Works When the CIO and CSO Are in Sync Tenable CIO Patricia Grant强调CIO与CSO的合作对成功实施暴露管理至关重要。双方需紧密协作，共享责任，通过统一视图和风险管理策略提升企业安全性，并以业务语言向董事会传达风险。... 2025-4-28 13:0:0 | 阅读: 10 | 收藏 | Tenable Blog - www.tenable.com exposure tenable cso security

Reducing Remediation Time Remains a Challenge: How Tenable Vulnerability Watch Can Help 文章探讨了组织在漏洞修复和优先级排序方面的挑战，并介绍了Tenable的Vulnerability Watch分类系统。该系统借鉴了WHO对COVID-19变种的分类方法，通过“被监控”、“感兴趣”和“关注”三个类别提供更清晰的风险沟通方式，帮助组织更快响应和修复漏洞。... 2025-4-25 19:58:48 | 阅读: 20 | 收藏 | Tenable Blog - www.tenable.com tenable voi security

CVE-2025-31324: Zero-Day Vulnerability in SAP NetWeaver Exploited in the Wild SAP发布针对CVE-2025-31324的紧急补丁，修复SAP NetWeaver中的零日漏洞。该漏洞为未认证文件上传高危风险（CVSS 10.0），已被用于攻击部署恶意软件。建议用户立即安装补丁以应对威胁。... 2025-4-25 16:0:24 | 阅读: 33 | 收藏 | Tenable Blog - www.tenable.com security tenable netweaver 31324 scott

Cybersecurity Snapshot: Verizon DBIR Finds Attackers Feast on Vulnerability Exploits for Initial Access, While MITRE ATT&CK Adds Mobile, Cloud, ESXi Threat Intel 文章总结了 Verizon 2025 数据泄露调查报告的主要发现，包括网络攻击主要通过凭证滥用和漏洞利用进入企业网络，并指出零日漏洞攻击边缘设备和 VPN 的比例显著增加。此外还提到了 MITRE ATT&CK 框架更新、Tenable 关于 AI 安全的调查结果、SANS 针对 OT 系统的勒索软件响应框架以及 FBI 2024 年网络犯罪报告中的关键数据。... 2025-4-25 13:0:0 | 阅读: 22 | 收藏 | Tenable Blog - www.tenable.com security ransomware tenable crime dbir

Despite Recent Security Hardening, Entra ID Synchronization Feature Remains Open for Abuse 微软混合身份同步功能存在安全风险。Directory Synchronization Accounts 和 On Premises Directory Sync Account 角色仍保留关键 API 访问权限。新应用 Microsoft Entra AD Synchronization Service 引入 ADSynchronization.ReadWrite.All 特权权限，增加攻击面。安全团队应监控这些角色和权限，并使用 Tenable Identity Exposure 进行管理以降低风险。... 2025-4-24 13:0:0 | 阅读: 10 | 收藏 | Tenable Blog - www.tenable.com entra microsoft privileged premises

Stronger Cloud Security in Five: How To Protect Your Cloud Workloads 文章探讨了多云环境下云工作负载的安全挑战，并提出了持续漏洞管理、无代理扫描、容器安全、自动化合规和集中安全管理五项关键实践以确保其完整性。... 2025-4-23 13:0:0 | 阅读: 16 | 收藏 | Tenable Blog - www.tenable.com cloud security workloads workload tenable

Verizon 2025 DBIR: Tenable Research Collaboration Shines a Spotlight on CVE Remediation Trends 2025年Verizon数据泄露调查报告显示，漏洞利用占数据泄露的20%，较去年增长34%。Tenable Research分析了17个边缘设备相关CVE及其修复趋势。不同行业修复时间差异显著，部分行业需数月之久。VPN和边缘设备漏洞尤为突出。... 2025-4-23 04:5:0 | 阅读: 16 | 收藏 | Tenable Blog - www.tenable.com tenable cves exploited dbir

CISA BOD 25-01 Compliance: What U.S. Government Agencies Need to Know 美国政府机构需遵守CISA发布的BOD 25-01指令，针对Microsoft 365实施安全配置基线，包括多因素认证和限制外部访问，并在指定日期前完成合规性。Tenable提供审计工具协助机构实现目标。... 2025-4-22 21:19:9 | 阅读: 13 | 收藏 | Tenable Blog - www.tenable.com shall tenable aad microsoft cloud

ConfusedComposer: A Privilege Escalation Vulnerability Impacting GCP Composer Tenable发现Google Cloud Platform漏洞ConfusedComposer，允许拥有特定权限的用户通过恶意PyPI包利用默认Cloud Build服务账户提升权限至高危级别。修复已发布并采用新服务账户进行PyPI模块安装。该漏洞属于Jenga类攻击的一部分。... 2025-4-22 13:0:0 | 阅读: 9 | 收藏 | Tenable Blog - www.tenable.com cloud gcp attacker pypi privileges

Turn to Exposure Management to Prioritize Risks Based on Business Impact Tenable首席安全官Robert Huber分享了如何通过风险暴露管理聚焦对业务有影响的风险。他建议整合所有数据、理解风险在业务中的上下文、识别系统性问题，并清晰沟通风险。这种方法帮助从被动安全转向战略决策，并需变革管理和持续优化。... 2025-4-21 13:0:0 | 阅读: 13 | 收藏 | Tenable Blog - www.tenable.com exposure security tenable robert officer

CVE-2025-32433: Erlang/OTP SSH Unauthenticated Remote Code Execution Vulnerability 研究人员披露了Erlang/OTP SSH服务器中的一个最高严重级别的远程代码执行漏洞（CVE-2025-32433），CVSSv3评分为10.0。该漏洞允许未认证攻击者执行任意代码并完全控制设备。研究人员已发布概念验证代码，官方已发布补丁修复该漏洞。... 2025-4-18 15:22:15 | 阅读: 37 | 收藏 | Tenable Blog - www.tenable.com ssh tenable otp erlang security

Cybersecurity Snapshot: NIST Aligns Its Privacy and Cyber Frameworks, While Researchers Warn About Hallucination Risks from GenAI Code Generators NIST更新隐私框架以更好地与网络安全框架整合，并新增AI相关风险内容；生成式AI工具可能导致开发者下载恶意软件包；Tenable网络研讨会显示身份安全仍是关注重点；加拿大警告针对路由器的网络攻击激增；MITRE CVE计划获一年延期但未来仍存不确定性。... 2025-4-18 13:0:0 | 阅读: 25 | 收藏 | Tenable Blog - www.tenable.com security tenable network software

Frequently Asked Questions About the MITRE CVE Program Expiration and Renewal MITRE CVE计划获得一年资金延期，避免中断。 CVE基金会和GCVE计划推动非营利化和去中心化管理。 Tenable作为CNA储备了足够CVE编号，并依赖厂商公告继续服务。... 2025-4-16 19:34:56 | 阅读: 31 | 收藏 | Tenable Blog - www.tenable.com tenable security cna gcve

Oracle April 2025 Critical Patch Update Addresses 171 CVEs Oracle于2025年第二季度发布378个安全补丁，修复171个CVE漏洞，其中40个为关键级别。SQL Developer和Hyperion产品修复问题最多。... 2025-4-16 13:21:8 | 阅读: 25 | 收藏 | Tenable Blog - www.tenable.com security tenable quarter 378 satnam

MITRE CVE Program Funding Set To Expire MITRE的CVE项目面临资金到期风险，影响漏洞追踪。Tenable作为CNA预留了大量编号，并将继续利用厂商公告进行漏洞管理。... 2025-4-16 01:18:45 | 阅读: 18 | 收藏 | Tenable Blog - www.tenable.com tenable nessus cloud security

You Have Exposure Management Questions. We’ve Got Answers Tenable的Exposure Management Academy每周一提供指导，帮助团队从漏洞管理转向暴露管理。该学院通过FAQ系列解答常见问题，涵盖暴露管理定义、AI在其中的作用以及云基解决方案的重要性。... 2025-4-14 13:0:0 | 阅读: 19 | 收藏 | Tenable Blog - www.tenable.com exposure cloud security asset academy

Geopolitics Just Cranked Up Your Threat Model, Again. Here’s What Cyber Pros Need to Know 全球政治与网络安全交织加剧，美中贸易紧张引发网络攻击增加，关键基础设施和知识产权成为目标。私营部门承担更多防御责任，需采取主动策略应对风险。... 2025-4-11 18:30:0 | 阅读: 14 | 收藏 | Tenable Blog - www.tenable.com tenable security nessus cloud

Cybersecurity Snapshot: Beware of Mobile Spyware Attacks, Cyber Agencies Warn, While Corporate Boards Get Cyber Governance Guidance 全球移动间谍软件威胁扩大至非目标群体；英国提供网络治理资源；钓鱼攻击仍是主要网络安全威胁；CIS更新安全基准以增强产品防护能力。... 2025-4-11 13:0:0 | 阅读: 11 | 收藏 | Tenable Blog - www.tenable.com governance benchmarks spyware security 0cis

Frequently Asked Questions About Model Context Protocol (MCP) and Integrating with AI for Agentic Applications Model Context Protocol (MCP) 是Anthropic开发的开源标准，允许大型语言模型连接外部数据源如文件系统、数据库和API。通过标准化工具和模型的集成方式，MCP简化了AI开发流程，并提升互操作性。尽管带来便利，但需注意安全风险。... 2025-4-10 20:57:45 | 阅读: 11 | 收藏 | Tenable Blog - www.tenable.com mcp client llm llms claude