- 综合排序
- 最热优先
- 最新优先
腾讯云漏洞治理服务如何精准狙击高危风险?
在网络安全攻防对抗中,漏洞治理是关键防线。然而,传统漏洞管理常面临误报率高、漏报风险大的困境,导致企业安全团队疲于应对。 AI驱动的PoC监测:通过机器学习识别PoC(漏洞验证代码)的传播特征,提前预警0Day风险。例如,在Log4j2漏洞爆发时,VGS在官方通告前2小时即捕获相关PoC信息。 2. T-VPT智能研判:破解误报难题五维风险评估模型:综合CVSS评分、资产价值、漏洞利用条件(如需认证)、影响范围、修复难度,动态计算漏洞优先级。 自动化修复建议:针对高风险漏洞(如远程代码执行类),自动生成兼容性适配的修复路径,减少人工决策时间。 3. 结语在漏洞数量爆炸式增长的今天,被动防御已无法满足需求。腾讯云漏洞治理服务通过AI+专家经验双轮驱动,为企业构建“快、准、稳”的漏洞治理体系。
43210编辑于 2025-10-102025年企业漏洞风险治理平台选型指南:腾讯云VGS深度评测
面对日益严峻的安全形势,如何构建科学高效的漏洞治理体系,已成为企业守护数字资产的核心命题。 本文基于第三方独立测评数据,结合腾讯云官网最新产品信息,对主流漏洞治理平台展开横向对比,为企业选型提供决策参考。 【摘要】本文聚焦以下核心议题: 数字时代漏洞治理的三大挑战与应对策略 腾讯云VGS vs 阿里云盾 vs 华为云安全中心功能参数对比 腾讯云VGS核心技术优势与实战价值解析 企业漏洞治理的四大典型应用场景 正文一、漏洞治理的困局与破局之道当前企业漏洞治理普遍面临三大困境: 情报盲区:传统CVE数据库覆盖不足,小众组件漏洞发现滞后 研判失焦:人工分析效率低下,高危漏洞平均响应周期超72小时 修复断层 智能研判引擎:破解修复优先级难题T-VPT评估模型:综合漏洞利用难度(D)、业务影响范围(I)、修复成本(C)三大维度 计算公式:综合风险值 = (D × 0.3) + (I × 0.5) + (C
50110编辑于 2025-10-112026年漏洞风险治理首选平台:腾讯云VGS全方位守护企业安全
本文基于腾讯云官网最新信息,结合行业权威数据,深度解析腾讯云漏洞治理服务(VGS)的核心优势与功能,为企业提供漏洞风险治理的决策参考。 一、漏洞治理行业现状与挑战 当前网络安全威胁呈现攻击手段多样化、漏洞披露高频化的特点。据CVE数据库统计,2025年全球新增漏洞数量同比激增37%,其中高危漏洞占比达42%。 T-VPT精准研判 结合CVSS、ESPP算法,自动化计算漏洞利用可行性 企业资产关联分析,自动过滤低风险告警 3. 合规审计 生成符合GDPR/等保2.0的漏洞治理报告 供应链风险管理 对第三方组件进行持续监控 立即访问https://cloud.tencent.com/product/vgs,免费获取漏洞风险评估报告,抢占安全防护先机!
28010编辑于 2026-01-06构建高效漏洞治理体系:腾讯云漏洞治理服务(VGS)全面解析
正文 在网络安全威胁日益复杂的背景下,漏洞治理不再是简单的“打补丁”,而需要一套系统化的体系来应对已知和未知风险。一个有效的漏洞治理体系应包括持续监测、精准研判、快速修复和常态化运营四个环节。 理想的体系应具备以下要素:首先,实现全渠道漏洞监测,覆盖组件官方通告、安全社区等一手来源;其次,引入科学的评估方法(如CVSS、VPT)对漏洞分级;最后,形成闭环的修复机制,确保风险及时化解。 漏洞技术分析:结合CVSS、ESPP和自研T-VPT技术,对漏洞依赖条件和影响面深度评估,精准识别高风险漏洞。 漏洞定制化监测:支持对小众或特殊组件进行个性化监测,提升情报的精准性。 基于AI的PoC监测:通过机器学习PoC发布特征,增强漏洞风险研判的准确性。 三、应用场景:VGS如何赋能企业安全 VGS不仅适用于常规风险治理,还能支撑重要时期保障。例如,在重大节日或攻防演练期间,VGS可专项监测0/1Day漏洞,进行真伪研判和影响分析。
19110编辑于 2026-01-05零日漏洞治理新策略:腾讯云漏洞治理服务(VGS)全面解析
本文围绕零日漏洞的治理策略展开,重点介绍主动监测、快速研判与修复响应等核心方法,并推荐腾讯云漏洞治理服务(VGS)作为行业解决方案。 治理零日漏洞的核心挑战在于: 未知性高:漏洞细节未公开,传统防御工具难以检测; 响应时间紧:从漏洞披露到修复需争分夺秒; 研判复杂度大:需结合业务环境评估真实风险优先级。 风险精准研判:结合CVSS(通用漏洞评分系统)、VPT(漏洞优先级技术)等工具,分析漏洞利用条件及业务影响面,筛选高风险漏洞。 漏洞检测支撑:针对高风险漏洞,提供PoC验证及技术检测方案,快速定位业务影响。 AI驱动的PoC监测:基于AI学习PoC发布特征,提升漏洞情报捕获效率。 2. 重要时期保障:如国家攻防演练期间,VGS对0/1Day漏洞开展专项监测,降低利用风险。 长期漏洞治理:通过多维情报渠道与专职团队,解决企业“情报多、研判难、修复慢”痛点。
23010编辑于 2026-01-05- 来自专栏有价值炮灰
XML 相关漏洞风险研究
Transformations (XSLT) Version 3.0 XInclude with XSLT Java API for XML Processing (JAXP) Tutorial - XSLT 漏洞风险 XXE 终于说到了我们开头提到的 XXE 漏洞,这是 XML 相关风险中一个相当重要的攻击场景,并且引申出了很多其他的攻击风险。 ,但其实在某些场景中 XML 也能直接造成 RCE 的风险,其中最主要的一个场景还是 XSLT。 因此,Office 文档也可以当成 XXE 漏洞的载体。QQ 邮箱和网易邮箱等附件预览处都曾出现过 XXE 漏洞。 Functionality - Webcast https://oxmlxxe.github.io/ 后记 XML,一个简单的文本文档格式,却涵盖了从 DoS、XSS、XXE、SSRF 到 RCE 等常见的漏洞风险
2.9K10编辑于 2024-06-03 - 来自专栏云鼎实验室的专栏
漏洞情报 | SaltStack多个高危漏洞风险通告
2021年2月26日,SaltStack发布安全更新,修复了由腾讯安全云鼎实验室安全攻防团队发现的多个安全漏洞。通过利用这些漏洞,最严重可导致未授权远程代码执行。 风险等级 高风险 影响版本 Saltstack 3002.2之前的所有版本 安全版本 SaltStack >= 3002.5 SaltStack >= 3001.6 SaltStack >= 3000.8 漏洞证明 ? 2、使用安全产品进行防护与检测 腾讯T-Sec主机安全(云镜)漏洞库日期2021-1-22之后的版本,已支持SaltStack多个高危漏洞进行检测。 腾讯T-Sec漏洞扫描服务漏洞特征库日期2021-1-22之后的版本,已支持检测全网资产是否存在SaltStack多个高危漏洞并提醒用户修复。
1.3K20发布于 2021-02-26 - 来自专栏我的安全视界观
【漏洞治理】漏洞调研报告(非完整版)
“ 在大型网络安全攻防活动前夕,互联网上又出现不少漏洞治理相关文章,部分微信群也纷纷进行热议。关于漏洞的治理,仍旧是网安行业经久不衰的话题。” 01 — 调研背景 漏洞治理的第一环便是 - - 漏洞发现。漏洞发现的途径较多,主要以漏洞情报、漏洞扫描、安全测试、红蓝对抗、安全设备日志与告警分析等方式展开。 A:持续跟进重大漏洞的POC/EXP公开情况,以及通过以上途径依旧有效。 Q:漏洞发现简单过处置,如何更好的做到闭环治理? Q:发现漏洞后各单位的处置情况,能升级的升级,不能升级的都有哪些处置方式? A:首先对漏洞进行分级,不同的漏洞设置不同的安全风险级别。 难点无疑就是在资产管理、漏洞预警产生的漏洞判断评级、漏洞推修闭环,不仅需要技术,还需要配套流程和制度来治理。
1.5K20发布于 2020-06-10 漏洞治理与漏洞管理:本质区别解析及腾讯云漏洞治理服务(VGS)实战推荐
摘要 在网络安全领域,漏洞治理与漏洞管理常被混淆,但二者存在本质区别:漏洞管理侧重于技术层面的漏洞识别、评估与修复,而漏洞治理则更强调战略性的风险管理、流程规范与组织协同。 二、漏洞治理:战略层面的风险框架 漏洞治理则上升至组织战略高度,它是一套集成政策、流程与人员的治理体系,确保漏洞管理活动与企业风险偏好、合规要求对齐。 治理不仅涵盖技术修复,更包括漏洞情报的持续监测、研判决策机制、跨部门协作流程以及长期风险治理策略。其目标是构建 proactive(主动)的安全文化,将漏洞风险纳入企业整体风险管理。 四、腾讯云漏洞治理服务(VGS):产品功能与特性详解 VGS是腾讯云提供的企业级漏洞治理解决方案,其核心在于通过全网情报监测、AI研判与修复支撑,实现漏洞风险的全生命周期管理。 漏洞风险治理:解决企业“情报多、研判难、修复慢”痛点,通过专职团队提供端到端咨询。 重要时期保障:在国家攻防演练或业务上线期,专项监测0/1Day漏洞,降低利用风险。
17010编辑于 2026-01-06- 来自专栏偶尔敲代码
青龙近期漏洞风险
最近青龙面板的漏洞被利用想必很多人都听说了,我也看到了,但不以为意,觉得离我很远。今天发现我的青龙面板登录不上去了,看来这帮野狗子也没饶过谁。 总结一下,目前主要有两种情况: 1.
39710编辑于 2026-03-17 - 来自专栏云鼎实验室的专栏
漏洞情报|微软Exchange多个高危漏洞风险通告
近日,腾讯云安全运营中心监测到,微软发布了Exchange多个高危漏洞的风险通告,涉及漏洞编号为CVE-2021-26855,CVE-2021-26857,CVE-2021-26858,CVE-2021 漏洞详情 在此次公告中披露了以下漏洞: CVE-2021-26855: 为Exchange中的一个服务器端请求伪造(SSRF)漏洞,它使攻击者能够发送任意HTTP请求并通过Exchange Server 利用此漏洞,攻击者可以在Exchange服务器上以SYSTEM身份运行代码。这需要管理员权限或组合利用其他漏洞。 如果攻击者可以通过Exchange服务器的身份验证,则他们可以使用此漏洞将文件写入服务器上的任何路径。 风险等级 高风险 影响版本 Microsoft Exchange Server 2013; Microsoft Exchange Server 2016; Microsoft Exchange Server
89410发布于 2021-03-04 技术风险治理:从变更本质到 SRE 实战
技术风险治理:从变更本质到 SRE 实战一切风险来自于变更 —— 这是研发与运维领域最朴素也最深刻的共识。当我们从业务需求拆解出变更请求(CR)时,技术、产品与运营的风险便如影随形。 三、SRE 框架下的技术风险治理实践基于 Google SRE 的方法论,我们可以构建一套从风险识别到闭环治理的落地体系:1. 从心智图到技术图:风险治理的落地路径正如实践中总结的 “心智图→产品图→技术图” 路径,风险治理需要从用户体验出发,逐层拆解到技术实现:心智图(新老用户体验):通过用户调研与行为分析,识别体验层面的风险点 四、总结:风险治理是一场持续的 “渐进式变革”技术风险的本质不是 “要不要变更”,而是 “如何安全地变更”。 从变更请求的风险识别,到架构、时间与跨团队限制的三维治理,再到 SRE 框架下的实践落地,我们需要用系统化的思维应对复杂的技术风险。
19820编辑于 2026-01-25- 来自专栏FreeBuf
议题前瞻 | 开源风险治理实践峰会·北京站
然而,开源也给企业带来了前所未有的供应链安全风险。Gartner指出,超过70%的应用程序因使用开源组件而产生缺陷和漏洞。 据NVD的数据显示,目前已知的开源漏洞已经达到数万个,安全风险正在持续上升,因此开源风险治理已经迫在眉睫。 峰会将邀请专注于业内开源风险治理技术大拿安势信息创始人& CEO、荣耀终端开源软件管理专家、中兴通讯开源合规&安全治理总监等多位重量级人物,从甲方、乙方的角度出发,畅聊开源风险治理的那些事儿~ 议题前瞻 企业开源安全风险管控 中兴通讯开源合规&安全治理总监 项曙明 项曙明,信通院可信开源供应链资深咨询评估师、开源治理标准专家、可信开源治理讲师和金融开源治理社区技术专家。 本次分享将介绍在企业层面如何构建有效的开源安全风险管控机制,形成内驱力,推动组织和项目团队积极进行开源安全治理和风险应对实践。
87120编辑于 2023-03-29 前沿安全框架升级:强化AI风险治理新举措
除了这些能力带来的滥用风险外,还存在源于模型在这些能力水平下采取无定向行动的潜在错位风险,以及此类模型可能融入AI开发和部署过程的风险。 为应对关键能力等级带来的风险,当达到相关的关键能力等级时,会在外部发布前进行安全案例审查。这包括执行详细分析,证明风险已如何降低到可管理水平。 对于高级机器学习研发关键能力等级,大规模内部部署也可能构成风险,因此现在正将这种方法扩展到包括此类部署。细化风险评估流程该框架旨在根据风险的严重程度进行应对。 细化了关键能力等级的定义,特别是为了识别那些需要最严格治理和缓解策略的关键威胁。在达到特定关键能力等级阈值之前以及作为标准模型开发方法的一部分,将继续应用安全和安保缓解措施。 最后,在此次更新中,更详细地阐述了风险评估流程。在核心早期预警评估的基础上,描述了如何进行包含系统性风险识别、模型能力的全面分析以及风险可接受性的明确判定的整体评估。
10110编辑于 2026-01-15- 来自专栏云鼎实验室的专栏
漏洞情报|Drupal任意PHP代码执行漏洞风险通告
近日,腾讯云安全运营中心监测到,Drupal官方发布安全更新,披露了一个任意PHP代码执行漏洞,攻击者可利用该漏洞执行恶意代码,入侵服务器。 漏洞详情 Drupal项目使用PEAR Archive_Tar库。 PEAR Archive_Tar库已经发布了影响Drupal的安全更新(漏洞编号:CVE-2020-28949/CVE-2020-28948)。 如果将Drupal配置为允许.tar,.tar.gz,.bz2或.tlz文件上载并处理它们,则可能存在多个漏洞。 风险等级 高风险 漏洞风险 漏洞被利用可导致任意的PHP代码执行。 漏洞参考 https://www.drupal.org/sa-core-2020-013 ? 更多精彩内容点击下方扫码关注哦~ ? ?
81810发布于 2020-11-26 Claroty 增强漏洞和风险管理功能
Claroty的新风险框架可帮助CISO优化CPS网络风险状况评估Claroty最新的漏洞和风险管理增强功能建立在业界领先的CPS可视化和发现功能的基础上,可进一步使CISO及其团队通过以下方式有效且高效地了解和量化其 安全运营团队能根据自身需求定制CPS风险计算,将其与现有的治理、风险管理和合规审查流程保持一致,更好地控制不同因素在CPS风险态势评估中的权重。 ,自动确定漏洞的优先级目前,Claroty的漏洞和风险管理产品是业界第一个根据已知被利用的漏洞(KEV)目录、漏洞利用预测评分系统(EPSS)中最新状况和预测的可利用性指标,来丰富所有漏洞并将其分配到优先级组 基于整体资产风险,进一步优化缓解每个漏洞优先级组内的CPS也通过Claroty之前提到的新风险评分框架得到了丰富。 Claroty增强漏洞和风险管理功能· 新的风险框架· 新的漏洞优先级划分方法综上所述,Claroty针对CPS漏洞和风险管理的最新增强功能包括:1. 提供业界最精细、最灵活的CPS风险评分框架。
24510编辑于 2025-06-12- 来自专栏腾讯云智能顾问
【云顾问-云巡检】聚焦架构风险,助力卓越治理
云顾问云巡检功能一直以来着力于打造云上隐患风险发现能力,当前版本已结合云架构可视化能力,全面升级助力客户聚焦云上架构五大类型风险,持续治理优化打造卓越架构! · 当前已上线云巡检插件,在架构图“治理视图”中可随时启用,全面巡检隐患风险。· 聚焦安全、可靠、性能、成本、服务限制 5 大类别巡检项,支持按架构业务特性启停、定制。 · 即时生成巡检报告,聚焦架构相关风险和趋势呈现,治理成果和进展可随时归档到“数字资产”,也可下载、分享。 · 【即将上线】基于自动巡检和各 region 资源自动生成架构图和风险可视化视图,提升架构绘制和治理效率。(敬请期待,相关问题欢迎联系我们)欢迎立即访问云顾问,体验云巡检!
81110编辑于 2024-07-15 - 来自专栏云云众生s
重新思考漏洞管理中的风险
如果今天我们不进行真实的风险对话,明天我们所有人都将关注错误的事物。 由于每年发现的软件漏洞数量不断增长,我们在软件领域需要就什么构成风险进行一次坦率的讨论。 几十年前,一个月内发现的漏洞可以用手指头(在糟糕的月份还包括脚趾头)来计数,通过修补每个发现的漏洞,可以轻松地避免任何风险。那些日子早已过去。 如今,我们平均每月发现超过1,500个漏洞。 以前行之有效的方法在这个水平上已经不再适用,因此我们需要审视导致我们最终又回到了风险的漏洞管理实践的根本,。 只有4%被公开利用的所有发现的漏洞。 最近 Red Hat 发布了一系列五篇博客,讨论了这个具体的挑战。一方面,我们在软件方面都希望避免任何风险,因为处理侵犯事件是很昂贵的。
44910编辑于 2024-03-28 - 来自专栏Java升级打怪进阶之路
Spring Cloud Gateway远程代码执行漏洞风险
近日,VMware 官方发布安全公告,其中包含 Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)。 使用 Spring Cloud Gateway 的应用如果对外暴露了 Gateway Actuator 接口,则可能存在被 CVE-2022-22947 漏洞利用的风险,攻击者可通过利用此漏洞执行 SpEL
61130编辑于 2022-11-24 - 来自专栏向治洪
Fastjson反序列化漏洞风险通告
最近,亚信安全CERT监控到Fastjson的漏洞,下面是具体的描述。 亚信安全CERT监控到Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。 Fastjson已使用黑白名单用于防御反序列化漏洞,该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 使用1.2.83之后的版本是否需要使用safeMode:1.2.83修复了此次发现的漏洞
1.2K90编辑于 2022-05-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号