漏洞评估市场定义
漏洞评估市场由提供基于漏洞的识别、分类、优先级排序和协调修复等相关能力的供应商组成。无论是在本地、云端还是在虚拟环境中交付,漏洞评估产品或或服务都具有以下几种能力:
发现识别并报告设备、操作系统和软件中的漏洞;
报告IT资产安全配置;
识别并跟踪系统的状态基线情况;
结合威胁情报、机器学习等分析技术,关联漏洞严重性、资;产重要性、攻击者手段,为风险评估提供支持;
为安全团队提供漏洞修复优先级指导和建议。
漏洞评估市场不仅仅包含产品,也包含相应的服务,这些服务旨在帮助最终用户执行漏洞评估工作。托管安全服务提供商、检测与响应服务提供商可以长期提供“漏洞评估即服务”,以这种方式交付的能力仍然是许多组织的选择。合规仍然是漏洞评估市场的主要驱动力。
漏洞优先级技术(VPT)作为一个新技术点,推动了漏洞评估能力的提升。作为威胁和漏洞管理(TVM)的替代者,漏洞优先级技术(VPT)解决方案结合漏洞评估报告、资产重要性、威胁情报等数据,通过高级分析技术,为安全管理人员提供漏洞修复优先级指导,以在最短的时间内利用有效的资源进行漏洞修复,减少攻击面。漏洞优先级技术(VPT)主要由一些技术型初创企业提供,并且作为功能订阅集成在传统的漏洞扫描产品中。
漏洞评估市场的特点是以中小型安全厂商为主,包括CrowdStrike、F-Secure等。McAfee、IBM、Symantec等大型厂商通常会选择从这些中小型厂商中OEM。近年来包括RiskBased Security, Kenna Security, RiskSense, Skybox Security, NopSecand Balbix在内的初创企业进入到了漏洞优先级技术(VPT)领域并不断获取市场份额。
市场方向
漏洞评估是一个成熟的市场,Qualys、Rapid7和Tenable三家公司获得了这个市场的主要收入,在行业中占据主导地位。尽管市场占有率领先,但这三家公司在产品功能上并没有与其他竞争对手拉开差距。除此之外,他们还要与托管服务提供商、咨询服务商以及开源扫描工具进行竞争,漏洞评估即服务越来越受市场欢迎,同时许多厂商也提供了具备基本功能的漏洞评估产品免费使用。Gartner不推荐商业机构使用开源漏洞扫描工具,因为开源产品在安全性、功能完整性、技术支持等方面无法满足商业要求。
针对诸如Windows和Linux等常见平台的漏洞评估技术比较成熟,不同的供应商在扫描精度和性能等方面差距较小,不同供应商之间的竞争越来越基于价格。但对于不常见技术或第三方应用等非通用平台,不同供应商之间差距较大。随着新技术的不断出现,单个供应商无法覆盖所有新技术的需求。同时一些供应商还通过产品组合的方式将漏洞评估能力集成到其他产品中,如日志管理、安全分析、动态应用安全测试、容器评估、云服务评估等。
市场分析
漏洞评估(VA)
传统的漏洞评估技术已经非常成熟,新技术的出现不断推动漏洞评估工作从合规性驱动,向理解和处置组织攻击面驱动转变。漏洞评估发展的趋势是,许多供应商提供了漏洞优先级技术(VPT),例如例如Qualys公司的ThreatProtect产品,Tenable公司的PredictivePrioritization产品,Rapid7公司的RealRisk Prioritization and Balbix产品等。
动态应用安全测试(DAST)
许多组织通常会将动态应用安全测试(DAST)工具与传统漏洞评估产品(VA)结合使用,DAST专注于发现像OWASPTop10中的开发代码缺陷,VA主要是发现应用程序基础框架中的漏洞,两者结合是一种在应用“全栈”中识别安全问题高效方法。
DAST一般是在开发工程中运行,有时也会在生产环境中运行,但可能破坏应用程序的运行,导致应用性能下降或运行不稳定,因此DAST无法完全替代传统的VA,几乎所有的VA供应商也都提供了DAST能力。
安全配置评估(SCA)
SCA一般都会集成在VA产品中,支持对环境中的系统配置进行远程评估和验证,功能范围从基本的密码策略检查到高级的应用程序级控制分析。用户通常会购买同时支持VA和SCA的产品,但仅将其用于VA工作。
Gartner强烈建议用户在资产部署之前进行SCA,通过有效的系统加固以减少来自威胁的攻击面,降低安全风险,减少后期系统运营的开销。
云安全态势评估
大部分安全管理人员使用传统的漏洞评估工具对虚拟机进行安全评估,对“黄金镜像”进行评估成为了最有效的方法,利用云环境中快速回收镜像的优势减轻总体评估负担。但涉及到公有云,尤其是涉及到公有云租户的时候,传统的漏洞评估产品效果不佳。
公有云API接口支持对云进行状态评估和检测,因此也非常适用于漏洞评估。安全管理人员应关注如何将API应用于安全工作,需要利用API来评估云实例是如何配置的,以及如何进行安全状态变化感知,并通过API进行漏洞修复工作。Amazon和Microsoft的云服务提供了类似的功能。
运营技术评估(OT)
面向包括监控和数据采集系统(SCDA)和工业控制系统(ICS)在内的OT的评估还不太成熟,并非所有供应商都具备评估能力。不同的供应商采取不同的评估方法,一些采用基于代理的方式,记录系统中的变化并进行分析,另一些被动的分析网络数据包,将资产信息与漏洞数据关联。
这类资产的两个关键部分是资产重要性以及漏洞评估脆弱性。由于SCADA/ICS系统的重要性和业务特性,因此要谨慎进行漏洞评估工作,比如采用被动评估时,使用IDPS和WAF进行虚拟修补和安全监控。
漏洞优先级技术(VPT)
Gartner将其定义为VPT,技术型初创企业在VPT技术上具有领先地位。VPT综合分析攻击者的行为和漏洞利用的威胁报告、内部资产暴露面和重要性,以便从根本上分析组织的实际风险,进而提供漏洞修复优先级的数据支撑。作为安全管理人员,他们会看到风险问题优先级列表,安全管理人员只需要做最后一公里的功能工作,进行漏洞修复和处理。
突破与攻击模拟测试(BAS)
像新兴的VPT一样,BAS也成为了新的技术方向和亮点,不断有供应商发布BAS工具,比如自动化渗透测试工具、安全控制评估工具等,这些工具模拟攻击者常用的方法,主动测试环境中的问题,它们并不关注发现所有漏洞,而是关注那些可以利用的漏洞。
BAS从内到外提供环境的“攻击者视角”,包括如何在环境中绕过现有的安全防护措施,这种攻击建模非常有效地映射到了MitreATT&CK框架,因此许多供应商在其解决方案中使用了ATT&CK框架。
渗透测试
渗透测试在行业内已经具备了良好的基础,并且竞争非常激烈。渗透测试服务的质量与提供服务的供应商规模并没有直接关系,小型的专业的渗透测试服务提供商仍然具备较强的竞争力。
尽管与漏洞评估不同,但渗透测试在根据Gartner的RBVM方法确定漏洞优先级和漏洞评估方面发挥着重要作用,通过渗透测试服务来了解环境的真实情况,以帮助安全人员及时发现问题并进行处理。另外某些VPT工具能够分析处理渗透测试报告的数据,用于辅助确定漏洞优先级。
漏洞悬赏与安全众测
漏洞悬赏与安全众测是针对系统漏洞的发现和披露而向安全研究人员提供的金钱奖励。越来越多的商业机构提供了漏洞悬赏和众测计划,并且越来越受到大型机构和企业的认可。
在发起漏洞悬赏和安全众测时,组织需要确定众测人员的行为边界、所关注的漏洞及价格等。在执行一个计划时,组织必须考虑如何将悬赏结果集成到现有的安全管理工作流程中。
漏洞评估方法
针对组织的IT和相关资产类型,扫描器部署方法如下:
漏洞风险影响分析和修复优先级
许多漏洞评估解决方案都基于通用漏洞评分系统(CVSS)为这些漏洞的严重程度进行评分。这些数据是根据一个公式计算的,该公式依赖于几个指标,指标包括漏洞易用性和漏洞利用所产生的影响。但这并不适用于大规模漏洞环境。
高级分析方法(例如ML)使用威胁情报、资产数据和风险建模方法(如攻击路径分析)分析漏洞并确定其优先级,与传统的评分系统相比,这支持更细粒度和更智能的优先级分析,以支持更有效的补救措施,尤其是适用于大规模的环境,使组织能够确定优先级并专注于高级别风险。基于专有的评估数据处理引擎,为每个漏洞提供了风险等级。这一能力正成为不同供应商之间的关键差异点。
代表厂商
突破与攻击模拟测试供应商
运营技术漏洞评估供应商
漏洞评估供应商
漏洞优先级技术供应商
市场建议
根据组织的规模和成熟度,漏洞管理过程中涉及漏洞评估的程度和方式通常会有很大不同。一些组织以单独的方式部署漏洞评估解决方案,以评估风险并满足合规性要求,帮助安全运营团队确定优先级并完成及时修复工作。还有一些组织则将漏洞评估集成到其DevSecOps流程中,以便将其应用在持续不断的应用开发和部署过程中。
漏洞评估作为一个功能点或一个产品
漏洞评估产品可以单独销售,也可以用于补充其他威胁检测和响应能力。例如,EDR和SIEM供应商在其产品中添加了漏洞评估功能,以协助进行威胁检测、调查和响应,并提供在系统范围内的的另一种可视化视角。
基于风险的漏洞管理
Gartner已经指出了评估资产配置问题和漏洞的关键需求,并且能够基于组织的风险,根据评估结果确定需要优先级执行的工作。这考虑到了当前的威胁环境以及其他因素,如资产关键性。本指南的演进方向是Gartner的RBVM方法论。
交叉性问题
交叉性问题指的是处理在人员、过程和技术方面以不同方式相互重叠并相关联的多个项目的交集。例如安全与风险管理人员需要关注与漏洞相关的资产重要性、漏洞评分、漏洞利用等。这些因素本身就是有效的考虑因素,而且可能是安全运维的优先考虑因素。然而,从安全角度来看,漏洞管理主要是降低威胁所带来的风险并满足合规性要求。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
