漏洞治理服务,是指腾讯云为您提供的面向各种软硬件系统已知或未知漏洞的情报监测及漏洞修复相关能力,通过对全网一手漏洞渠道进行持续监测、研判及分析,帮助企业及时识别互联网上的最新漏洞威胁,并提供基于VPT的修复研判能力,帮助识别企业资产风险,为漏洞修复提供更宽松的时间窗口,保障业务安全。
通过对组件官方通告、微博、博客、CERT(国家互联网应急中心)、安全社区论坛等全网一手漏洞发布渠道进行持续监测,帮助用户及时获取最新漏洞风险情报。
结合 CVSS、ESPP、VPT(漏洞优先级技术) 等多种漏洞评估方式,对漏洞利用的依赖条件和影响面进行深入评估分析,识别高风险漏洞,帮助查漏补缺。
为漏洞修复提供详细修复和缓解建议,为企业开发、运维及业务人员提供科学漏洞修复决策支持,帮助更高效的开展漏洞风险治理。
在漏洞新披露后,第一时间开展漏洞分析和组织复现,针对高风险漏洞,提供验证 PoC 及技术检测支持,帮助快速定位漏洞是否存在及业务影响。
针对部分特殊组件或小众组件的漏洞,可根据企业需求,进行定制化监测和能力运用,提供更精准、贴合业务的漏洞情报监测与分析能力。
PoC作为漏洞风险研判的重要参考,本身具备较多发布特性,通过对PoC发布渠道、发布特征等进行学习,能更精准捕获全网PoC披露情况。
维护全网数百个一手小众情报渠道,料敌机先,能够更迅速了解新披露的安全漏洞,快攻击者一步,为业务赢得更多漏洞修复的时间窗口。
结合腾讯自研 T-VPT 漏洞研判运营方法,针对每个情报源构建不同类别告警规则,企业可精准识别真正重要的漏洞情报,降低安全运营人员分析成本。
随着漏洞持续运营,大量漏洞逐步累积导致修复愈发困难,服务团队基于腾讯自身安全实践,提供经验证的落地修复建议,协助提升企业漏洞治理能力。
提供重大安全漏洞情报的持续监测、分析研判和响应,能更好支撑外部各类风险扫描需求,协助针对发现的风险提供整改支撑,帮助更好的支撑业务安全发展。
通过复用腾讯自有多维漏洞情报渠道、并由专职团队开展漏洞情报监测研判和漏洞修复咨询,解决企业漏洞治理中面临的漏洞情报多、研判难、修复慢等问题。
在新业务发布、重大节日以及国家攻防演练期间,提供专项漏洞情报支撑,针对新出现的业务相关的0/1Day进行深度监测、情报真伪研判、影响面分析等,降低漏洞利用风险。
覆盖全网600+一手情报源,覆盖800+常用系统及应用组件(开源、商业化等)。
采用腾讯自研 T-VPT 漏洞优先级研判技术和标准,可从海量情报中通过算法、研判规则快速识别出存在较高风险的漏洞。
在研判出高风险漏洞情报后,由专职漏洞分析团队进行复现,并编写漏洞扫描插件,协助进行快速影响分析和验证。
针对漏洞修复必要性,以及修复优先级和修复措施,基于腾讯自身实践,提供专业修复建议和缓解方案。
漏洞治理服务主要覆盖业务自身以及支撑业务运行的各类软硬件相关漏洞,如业务开源组件、数据库、操作系统、网络协议等漏洞。
默认提供标准化服务,服务购买后,可根据客户资产需求,按需新增漏洞情报源以及关注资产组件,结合组件做定制化漏洞监测。