漏洞管理仍然是安全运营工作的重要组成部分,可以帮助组织识别资产、防护威胁并满足合规性要求。2019年底,Gartner发布了漏洞评估市场指南,天极智库进行了编译,回看请点击 《Gartner发布2019年漏洞评估市场指南》。近期Gartner发布了2021年版本的漏洞评估市场指南,天极智库也在第一时间进行了编译,希望让更多的安全管理者可以使用本指南,了解实施漏洞管理计划的关键要素。

01 概述

主要发现

  • 漏洞评估VA工具的购买者正在从漏洞识别工具转向主动评估、管理和报告弱点来的风险的工具。

  • 漏洞评估VA工具提供商扩大了非标准IT资产的覆盖范围,特别是针对移动互联、云计算、运营技术OT和物联网IoT。然而对OT/工控资产的支持仍然不足。

  • 漏洞评估工具提供商正在不断集成补丁管理等其他提供商的能力,以帮助用户进行优先级评估,并提高漏洞修复能力。

  • 相近市场的提供商(例如EDR、IT系统和配置管理等)正在通过增加覆盖范围和风险上下文分析,并提供一些有限的评估和优先级能力,来完善其漏洞评估功能。

建议

负责选择和运营漏洞评估解决方案的管理人员应该:

  • 评估VA解决方案的覆盖广度和深度以及集成第三方独立产品的能力,以落地漏洞生命周期管理,进而支撑漏洞修复自动化。

  • 利用漏洞优先级技术(VPT)解决方案实现基于风险的漏洞管理方法。利用统一平台融合不同的工具能力和数据,以进行漏洞优先级排序和修复,将有助于提高运营效率。

  • 将主动网络扫描、被动扫描、agent代理和基于API的扫描相结合,以提高现有的功能,可有效提高资产管理覆盖率和可视化管理能力。

  • 评估VA提供商的基于agent的VA能力,以支撑开展远程漏洞运营服务。

0市场定义

漏洞评估VA提供商能够识别、分类、优先级排序和协调漏洞的修复或缓解。他们的解决方案具有以下能力:

  • 根据相关标准发现、识别并报告硬件设备、操作系统、软件上的漏洞和配置。

  • 为系统、应用程序和数据库建立安全基线,以识别和跟踪状态变化。

  • 根据合规性、控制框架和多角色的场景需求提供安全报告。

  • 关联漏洞危害程度、资产和威胁上下文,进行漏洞修复优先级排序。

  • 为漏洞修复和配置缓解措施提供指南。

  • 管理扫描器、代理和API网关等设备和产品。

  • 直接集成,或者通过API的方式融合资产管理工具、工作流管理工具和补丁管理工具。

0市场描述

漏洞评估VA技术通常适用于安全运营、网络资产和系统可视化等合规性的需求场景,合规仍然是主要的驱动力,例如支付行业数据安全标准(PCIDSS)和美国国家标准与技术研究所NIST都有相应的合规性要求。

漏洞评估VA可以基于软件、硬件、代理、云平台、托管解决方案等方式单独交付或者混合交付。同时也可以通过托管安全服务提供商(MSSP)、托管检测和响应提供商(MDR)、咨询和外包商等机构购买漏洞评估服务。越来越多的端点保护平台(EPP)、终端检测和响应(EDR)提供商正在提供漏洞评估VA产品和能力。新冠疫情让很多的企业开始尝试远程安全服务,一个有趣的趋势是端点保护平台(EPP)开始基于代理的方式进行漏洞扫描和修复,并且获得了用户青睐,例如CrowdStrike的FalconSpotlight产品和微软的威胁与漏洞管理TVM产品。

漏洞管理VM市场中一个亮点是漏洞优先级技术(VPT)。VPT结合漏洞扫描、资产重要性和环境上下文信息,并集成的多个威胁情报源,通过高级分析来丰富漏洞数据。与传统的方式相比,VPT可以帮助组织在时间和资源有限的情况下,快速进行关键漏洞修复,快速缩小组织的攻击面。未来,VPT将成为漏洞评估VA提供商的标配功能。

入侵和攻击模拟(BAS)工具是另外一类有助于确定漏洞优先级的产品。BAS工具通过攻击模拟的方式,让组织深入了解资产可能面临的风险,并可以对已部署的漏洞缓解措施的有效性进行测试和验证。

漏洞评估VA市场主要由提供VA的中小型提供商和提供综合安全管理能力的大型提供商组成。漏洞优先级技术(VPT)主要由独立的提供商提供,未来将在大型组织中得到广泛应用。入侵和攻击模拟(BAS)主要由初创公司提供,作为通过攻击的视角来检测安全防护的有效性的创新技术,Gartner预计未来的几年内,BAS的市场份额将会快速增长。

04 市场方向

漏洞评估VA是一个成熟的市场,VA是信息安全管理和监管框架的重要组成部分。Qualys、Rapid7和Tenable三家公司获得了这个市场的主要收入,在行业中占据主导地位。但他们面临来自漏洞优先级技术(VPT)提供商的竞争压力,VPT提供商在优先级技术方面处于领先地位,并且还在不断集成工单管理、配置管理数据库(CMDB)、编排和补丁管理等功能。除此之外,他们还要与托管服务提供商、咨询服务商以及开源扫描工具进行竞争。

理想的漏洞评估VA需要覆盖一定的IT资产广度和深度,广度即能够覆盖多种资产类别,例如端点、服务器、存储、网络、移动和安全,深度即能够支持合规性要求和资产全面评估的需求。针对诸如Windows和Linux等常见平台的漏洞评估技术比较成熟,不同的提供商在扫描精度和性能等方面差距较小,不同提供商之间更多的是价格的竞争。但对于不常见技术或第三方应用等非通用平台,不同提供商之间差距较大。随着新技术的不断出现,单个提供商无法覆盖所有新技术的需求,因为覆盖新技术需要较高的研发费用投入。

VA提供商还通过产品组合的方式将漏洞评估能力集成到其他产品中,如EDR、MDR、SEIM、应用安全测试DAST、容器安全、补丁管理、云安全配置管理CSPM等。

0市场分析

漏洞评估VA

大多数用户关注的焦点仍然是传统的漏洞评估VA,经过20多年的发展已经非常成熟。近年来VA厂商覆盖范围逐渐扩大到了网络、移动、OT和云计算等领域,例如Tenable和Qualys。漏洞优先级技术(VPT)是一个重要的技术方向,例如TenableLumin。对于组织来说,从现有的提供商那里直接增购VA组件,将有助于降低成本。

过去VA提供商仅提供漏洞扫描能力,而现在提供的是漏洞管理能力。通过集成融合不同的安全能力,来提高漏洞管理的工作效率。例如有的VA工具提供资产管理或者CMDB功能,有的通过集成补丁管理、安全编排和自动化响应SOAR、SIEM工具等来提高自动化的漏洞修复能力。

除了评估之外,VA市场还包括以下几个部分:

安全配置评估

安全配置评估(SCA)一直是漏洞评估VA的功能之一,主要对环境中的系统配置进行远程评估和验证。本指南中的VA提供商都提供了类似的功能,有的可能需要单独付费,因此该功能的完整程度可能有所不同。Gartner研究表明,用户通常会购买漏洞和SCA扫描二合一的工具。在资产部署之前进行安全配置评估,并进行安全加固,可有效缩小攻击面,实现合规性的目标。

云安全态势评估

安全从业人员习惯于针对运行在AmazonWeb Services、GoogleCloud Platform或MicrosoftAzure等平台的虚拟机上部署传统的评估工具,对“黄金镜像”进行评估成为了最有效的方法,利用云环境中快速回收镜像的优势减轻总体评估负担。

VA在云计算中的解决方案日渐成熟,如今大多数解决方案可以适配多个云环境。这包括将动态云工作负载的速度与持续扫描服务进行匹配。VA提供商还支持RESTAPI与持续集成/持续交付(CI/CD)工具链进行对接。

在某些场景中,仍然需要集成第三方的产品和解决方案。云基础设施和平台服务(CIPS)服务商正在将一些优秀的产品和能力集成到平台中,并以服务的方式进行交付,但仅适配于自己的云平台,例如AmazonInspector和MicrosoftAzure 安全中心。

运营技术评估

通用的漏洞评估VA技术无法覆盖运营技术OT资产,例如监控和数据采集系统(SCADA)和工业控制系统(ICS)等。许多VA提供商声称解决方案支持SCADA或ICS,但用户仍要慎重考虑,因为跟IT相比,OT需要充分兼顾业务风险和安全风险的平衡。

不同的提供商会针对OT采取不同的漏洞评估VA方法,有的是被动地分析网络数据包,有的是将资产信息与漏洞数据库进行关联匹配。

渗透测试

渗透测试可以检测系统是否易受攻击,还可以检查这些系统是否可以被恶意利用,因此需要在特定时间内发现弱点和突破口,然后基于此提出修复建议。

根据Gartner的基于风险的漏洞管理(RBVM)方法,尽管渗透测试与漏洞评估有所不同,但仍在漏洞的优先排序和评估中发挥着重要作用。通过渗透测试服务,让用户对当前面临的主要威胁有更清楚的认识。领导者需要充分采纳渗透测试的结果,并优先解决面临的主要问题,降低安全风险。

漏洞悬赏和众测

漏洞悬赏,顾名思义,是向发现并合规披露漏洞的安全研究人员提供奖励或报酬。越来越多的商业公司和政府组织推出了正式的漏洞悬赏计划和众测计划,并受到了安全研究人员的欢迎。

漏洞悬赏计划和众测计划发现的漏洞包括应用以及基础架构的问题,因此贯穿漏洞评估VA和应用安全等领域。在实施计划时,组织必须充分考虑如何将输出结果集成到现有的工作流程中,以修复和缓解应用程序及基础设施漏洞。

漏洞优先级技术

漏洞优先级技术(VPT)对漏洞评估VA市场产生了重大的影响,VPT填补了VA的解决方案空白。大多数VPT工具一开始都侧重于优先级排序,但是现在正逐渐演变为漏洞情报(vulnerabilityintelligence)工具,为漏洞管理VM赋能。

VPT工具本身不进行漏洞评估,而是通过威胁情报的威胁上下文和资产上下文两种形式的数据进行综合分析。VPT提供商专注于优先级排序并整合不同安全测试技术的输出数据,例如VA、DAST、SAST和渗透测试。来自任何安全测试工具的协作数据都将成为组织的“情报”来源。这有助于降低噪声数据,帮助用户确定哪些漏洞需要优先修复和缓解。

VPT工具使用威胁情报、组织资产上下文和风险建模方法来分析漏洞并确定其优先级,机器学习ML在其中可以发挥价值,有的提供商通过机器学习来预测漏洞在野利用的可能性。

VPT提供商之间的一个差异点在于报告和仪表板,领先的VPT提供商基于不同视角,提供全面的资产管理、威胁管理、漏洞管理等可视化功能,让用户可以清晰地了解业务风险状况。一些VPT提供商开始提供集成漏洞修复和SOAR技术,推动实现自动化漏洞修复。

入侵和攻击模拟

近年来,入侵与攻击模拟(BAS)提供商不断发展,他们利用代理/虚拟机,模拟攻击者常用的方法,主动测试环境中的暴露面。BAS工具被定为安全控制验证工具,而不是VA解决方案,但是在某些功能上与VA有重叠,BAS工具无需使用VA工具或从其中导入数据即可评估环境中的漏洞。

BAS工具并不专注于发现所有漏洞,而是更加关注哪些可以被利用的漏洞,然后详细报告如何采取安全控制,来措施修复和缓解发现的通用漏洞披露(CVE)。BAS以攻击者视角来发现安全问题,让用户了解如何绕过已有的安全控制措施,这将是安全管理人员下一步工作的输入,即利用它们来确定安全差距和部署正确的控制措施。

VPT提供商还集成了各种网络和端点安全产品,以获取内部上下文。从BAS工具中获得内部控制上下文对于VPT工具的优先排序来说是一件有价值的事情。

技术映射

漏洞管理VM是安全运营的基本要素。根据组织的规模和成熟度,漏洞评估VA在漏洞管理VM流程中的角色会有所不同。有的组织独立部署VA,提供评估和审计功能以满足合规性要求;有的组织将漏洞评估VA作为IT运营的一部分,确定优先级并进行补丁验证和漏洞修复;有的组织将漏洞评估VA集成到DevSecOps中,在开发和部署应用的过程中充分落地漏洞评估VA工作。

漏洞管理VM计划的最终目标是降低风险,任何有助于在最短时间内提供风险可视化并缩小攻击面的工具都应该立即采购。但这不能仅通过漏洞评估VA工具来实现,因为漏洞管理VM需要将人员、流程和工具动态的结合在一起,需要在整个漏洞生命周期中正确组合和集成工具集。

下图为基于风险的漏洞管理(RBVM)方法的活动部分,以及生命周期阶段中每种技术提供的能力。

0代表厂商

0市场建议

每个漏洞都有生命周期,而且这个生命周期的每个阶段对于降低风险都很重要。

  • 选择覆盖范围广泛的漏洞评估VA工具。大多数VA工具识别和扫描漏洞能力比较强大。应该选择覆盖组织IT架构的提供商,能够适配组织的IT资产类型(包括端点、服务器、存储、网络、移动和安全等)。

  • 利用漏洞优先级技术VPT工具实施基于风险的漏洞管理方法。恶意软件、可利用工具、漏洞可利用性、流行性、资产上下文以及威胁信息是评估网络风险的关键因素。VPT应成为VA提供商的重要组成部分。

  • 客户应评估VA工具提供的漏洞缓解的工作流程和集成的组件。如果缺少这些功能,那么除了优先级顺序之外,还需要评估VPT工具提供商的编排能力。对这种能力的评估很重要,尤其是对于缺乏漏洞修复自动化能力的组织更为重要。

  • 计划通过远程服务的方式进行VA的组织,应该优先考虑能够通过agent代理方式提供VA的提供商。端点产品中的VA能力可以帮助用户实现远程漏洞管理服务,因为EPP/EDR代理可以使用补偿控制来提供即时缓解或补救措施,缩小攻击面。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。