漏洞管理是一项关键的安全运营活动,可帮助组织识别资产、减轻威胁并满足合规性要求。安全和风险管理领导者可以使用本指南来了解 VA漏洞评估技术,作为更广泛的风险管理计划的一部分。
主要发现
-
漏洞评估 (VA) 技术买家已从仅识别漏洞的工具发展为还能够主动评估、管理和报告这些漏洞带来的风险的工具。
-
大多数领先的 VA 供应商都通过有机方式或通过收购增加了外部攻击面管理 (EASM) 功能。
-
针对漏洞优先级的点解决方案仍然占据主导地位,并且在许多情况下可以提供比现有 VA 解决方案内置的功能更好的功能。
-
VA 供应商面临着来自网络安全验证产品的日益激烈的竞争,例如漏洞和攻击模拟以及自动渗透测试。企业 VA 供应商也正在将 VA 与这些验证方法集成。
建议
负责选择和运营 VA 解决方案的安全运营的安全和风险管理领导者必须:
-
评估 VA 解决方案的评估覆盖范围和深度的能力,以及对独立产品集成的支持,以填补漏洞生命周期中的空白,并协助修复自动化。
-
利用漏洞优先级技术 (VPT) 解决方案帮助实施基于风险的漏洞管理 ( RBVM ) 方法。工具将结果放在统一平台上进行优先级排序和处理(例如修补和其他补偿措施)的能力对于提高运营效率也很重要。
-
将主动网络扫描与基于代理的扫描相结合作为主要部署方法,并利用被动和基于 API 的扫描来增强现有功能,并通过改善资产覆盖范围来获得实时可见性。这是许多组织正在转向的主要部署模型(OT 用例除外)。
-
如果您的组织资源有限或想要整合供应商,请确定提供组合解决方案的供应商。越来越多的 VA 供应商正在为其产品添加优先级划分、攻击面管理和攻击路径映射功能——无论是补充还是通过附加模块。
市场定义
VA 解决方案可对漏洞进行识别、分类和优先排序,并协调修复或缓解措施。他们的主要重点是漏洞和安全配置评估,以识别和降低企业风险,并根据各种合规标准进行报告。VA 可以通过本地、托管和基于云的解决方案提供,并且可以使用设备和代理。
核心能力包括:
-
根据安全相关标准发现、识别和报告设备、操作系统、软件漏洞和配置
-
为系统、应用程序和数据库建立基线以识别和跟踪状态变化
-
合规性、控制框架和多种角色的报告选项
标准功能包括:
-
务实的修复优先级,能够关联漏洞严重性、资产背景和威胁背景,从而更好地了解特定环境的真实风险
-
修复和配置补偿控制指南
-
管理扫描仪实例、代理和网关
-
与资产管理工具、工作流程管理工具和补丁管理工具直接集成或通过 API 访问
市场描述
VA技术通常支持安全运营、网络资产和系统可见性、以及合规性用例。安全用例包括漏洞和安全配置评估,用于根据各种合规标准识别、减少和报告企业风险。合规用例仍然是强大的驱动力,包括满足监管或其他合规制度的扫描要求,例如支付卡行业数据安全标准 (PCI DSS) 或美国国家标准与技术研究所 (NIST)。这些要求还可以包括合规性标准范围内基础设施的应用程序评估。
VA 可以通过基于软件、设备、代理、云、托管解决方案和/或这些选项的混合的本地解决方案来交付。此外,托管安全服务提供商 (MSSP)、一些托管检测和响应 (MDR) 提供商、顾问和外包商也广泛提供该服务。一些端点保护平台 (EPP)/端点检测和响应 (EDR) 供应商也提供 VA。
与 VA 相邻,VPT利用 VA 监控、资产关键性上下文、环境上下文和多个预集成的威胁情报源,通过高级分析来增强漏洞数据。这种组合使组织能够对其特定网络风险有根本不同的看法。与尝试手动进行此分析相比,VPT 可以节省大量时间。它还提供了更好的洞察力和背景,因为根据这些优先结果采取行动将大大减少组织的攻击面,并且用最少的时间和最有效地利用人力资源。
优先级划分虽然是 RBVM 的一个阶段,但对于有效减少风险和威胁至关重要。从本质上讲,它直接帮助减少组织的攻击面。优先级排序能力的领先颠覆者仍然是纯粹的 VPT 供应商。也就是说,优先级排序作为一项功能同时存在于所有主要 VA 供应商的产品中,无论是本机功能还是附加功能。
网络安全验证技术,例如攻击范围和攻击模拟 (BAS) 工具,是另一种产品类别,可通过使用攻击路径映射来帮助确定优先级。BAS 工具为组织提供了一种采取“攻击者观点”的方法以及测试其遭受攻击的程度的方法,利用现有的漏洞和已部署的安全控制的有效性。
VA 市场由提供 VA 服务的中小型供应商和将 VA 作为更广泛的统一安全管理产品组合的一个组成部分提供的大型供应商组成。VPT 主要由独立供应商提供,这些供应商以其优先级为重点,由于更复杂的优先级划分方法而在大型企业中获得市场采用。
漏洞驱动技术通常被视为更广泛的功能生态系统的一部分,帮助组织更广泛地了解其面临的威胁。VA 专注于组织拥有和运营的技术,对软件和这些平台的配置中存在的问题的可访问性和可利用性进行评估。考虑在更广泛的企业 IT、非自有资产(例如 SaaS 应用程序、其他订阅和社交媒体)背景下漏洞工具和服务发现的风险。对关键业务功能的认识超出了组织可能拥有和控制的范围。通过攻击面评估来了解攻击者可以看到什么,并验证攻击的严重性和可访问性,以充分了解所发现的漏洞的影响并有效地确定其优先级,这一点可能非常重要。
市场方向
VA是一个成熟的市场,是信息安全管理和监管框架的强制性组成部分。外包商、MSSP 和 MDR 继续为大量最终用户组织执行 VA,并且仍然是作为服务提供的 VA 技术消费的非常受欢迎的工具。
VA 市场的收入主要集中在三个供应商:Qualys、Rapid7 和 Tenable。但他们面临来自 VPT 供应商的可信竞争,这些供应商在优先级功能方面处于领先地位,并且还开始添加更多 VA 流程,例如票务、配置管理数据库 (CMDB)、编排和修补集成。
近年来,VA 供应商现在只能逐步改进,并在某些情况下通过收购来扩展功能。例如,他们正在将其产品组合扩展到相邻领域,产品涵盖EDR、MDR、SIEM、动态应用程序安全测试 (DAST)、容器安全、补丁管理、云安全态势管理 (CSPM)、EASM网络资产攻击面管理 (CAASM) 等(见图 1)。这些大部分都发生在最近几年。因此,Gartner 客户表示,一些供应商减少了投资,专注于其核心 VA 产品,更新和新功能较少。同时,对于其他客户来说,这些具有更多实用性的供应商正在提供方法来降低与他们所使用的供应商数量相关的复杂性。
图 1:漏洞评估概述
传统的 VA 解决方案并未广泛支持对数据库和应用程序(例如 ERP 系统(例如 SAP 或 Oracle))的深入评估。如今,大多数 VA 供应商都提供了一些 OT 安全功能,包括最近收购的功能,以更好地解决此用例。但对于特定的成熟用例,应评估专门的 OT VA 供应商,以确定主流 VA 所做的事情与专业功能集之间是否存在差异。
针对通用平台/主要操作系统、网络设备和流行的第三方应用程序的VA在市场上得到普遍覆盖,领先厂商的解决方案在范围和覆盖范围上只有微小的差异。基于这些标准的差异化解决方案几乎是不可能的。仅根据扫描精度和性能很难区分供应商。Gartner 认为竞争通常基于定价而非功能,此外还扫描云、容器、移动、OT 和物联网等其他资产类型。
这些交付 IT 的新方法与云、DevOps 和无服务器计算等传统 IT 的工作方式完全不同。一个例子是对覆盖容器和云安全态势管理的支持。这些是重叠的市场,供应商目前比 VA 供应商拥有更成熟、更可见的解决方案。为了支持发现和管理对这些新工作方法的广泛威胁,可能有必要重新评估处理已发现漏洞的流程,对于希望更广泛地管理威胁暴露的连续流程应该是组织的考虑因素。对其 VM 计划进行现代化改造。
VA 功能在独立 VA 市场以及相邻市场中提供,其中 VA 功能用于补充其他威胁检测和响应功能。例如,EPP/EDR 供应商添加了某些级别的 VA,作为其更广泛产品的一部分,以协助威胁检测、调查和响应用例,并为该范围内的系统提供另一个级别的可见性。尽管 VA 功能可能看起来与 VA 供应商提供的功能相同,但漏洞覆盖范围和评估所包含资产的能力通常不如 VA 工具那么广泛。Gartner 认为这些供应商在一般 VA 市场上不具有竞争力。
市场分析
漏洞评估
大多数用户的核心和关键焦点仍然是传统的 VA。这项技术在商业上已经存在了 20 多年,因此也经历了很长一段时间的发展和成熟。近年来,VA厂商在网络、移动、OT、云和攻击面管理等领域的覆盖范围不断扩大。VA 的不断发展是,一些提供商正在提供各种复杂程度的漏洞优先级。对于使用 VA 供应商的同构环境进行安全测试的中小型客户来说,VA 供应商确定优先级可能是一个很好的起点。此外,从同一供应商购买附加产品有助于供应商整合,有时还可以降低成本,同时减少新培训和工具部署的工作量。这是一个关键的创新领域,强烈建议最终用户在采购周期中寻找并在未来优先考虑。
VA 供应商已经从仅仅扫描发展到在整个 RBVM 流程中提供支持,通过提供与其他工具或本机模块更紧密的集成来提高整个 RBVM 流程的效率。一些 VA 工具提供资产管理或 CMDB 增强功能,大多数工具通过内置模块、组合产品或与补丁管理、安全编排、自动化和响应 (SOAR)、SIEM 工具等直接集成来提供修复自动化。
优先级确实减少了当前需要修复的漏洞数量,但对于大型企业来说,这一目标可以通过编排得到加强。对于那些致力于通过从定期扫描转向连续扫描来使其 VM 程序更加成熟的组织来说尤其如此。对于大型组织来说,自动化在实现及时修复方面发挥着重要作用。
VPT
VPT 工具极大地改变了 VA 市场。如今,这些解决方案主要解决 VA 解决方案中的关键差距,即如何更好地对 VA 解决方案产生的大量遥测数据进行后处理。大多数 VPT 工具一开始侧重于优先级,但现在已发展成为漏洞智能工具,以推动 VM 的各个方面。
当今的 VPT 工具本身通常不运行评估活动;相反,他们不可知地利用最终用户已经拥有的通常多个现有监控来源。这些 VPT 解决方案支持创建漏洞遥测的工具,例如传统的 VA 工具、动态 Web 应用程序测试 (DAST) 和渗透测试数据。
他们主要使用两种其他形式的数据:通过威胁情报的威胁上下文和组织的资产重要性上下文。有关攻击者活动、恶意软件中的漏洞使用和内部资产暴露的威胁情报为组织提供了从根本上更好的运营网络风险视图,以了解其网络风险并采取关键的主动行动来防止违规。
优先级的第三种形式是攻击路径映射。攻击路径映射是了解攻击者是否以及如何针对您的组织、他们可能采取什么路径进入、他们是否以及如何横向移动以及攻击者由于无效的安全控制/配置而绕过哪些系统。然而,攻击路径映射不一定必须验证安全缺陷才能构建攻击路径。从本质上讲,将漏洞、资产和活动目录信息提取到云实例,然后根据潜在的迁移路径计算路径,并不意味着它在资产上执行二进制文件或实际接管帐户或提升权限。
来自任何安全测试工具的协作数据将该供应商定位为组织的“情报”聚合和传播源。这有助于显着减少噪音,并识别和优先考虑哪些漏洞需要通过修复或缓解来积极处理。
许多组织充分利用 Web 应用程序防火墙 (WAF)、入侵防御系统 (IPS)、多因素身份验证 (MFA) 和网络分段控制,在补丁不可用或需要更多时间时降低漏洞的风险严重性。VPT 解决方案输出可以为如何调整这些类型的补偿控制以更有效地发挥作用提供出色的见解和输入。一些 VPT 供应商还从各种网络和端点安全控制收集数据。然而,对于当今大多数供应商来说,利用这些数据来降低漏洞严重性是一个不断发展的领域。
VPT 工具通过使用威胁情报、组织资产上下文和风险建模方法(例如攻击路径分析)来执行分析并确定漏洞的优先级。这也是使用机器学习 (ML) 等高级分析方法的领域。与更简单的严重性方法相比,这允许更精细和更智能的修复策略,特别是在大规模和使用有限资源进行修复时。一些提供商还使用机器学习来帮助预测漏洞“在野外”被利用的可能性。这使得组织能够在周期的早期就优先考虑并关注较高风险的场景。
VPT 供应商之间的另一个差异点在于他们的报告和仪表板功能。通过从不同来源获取的所有数据,我们有很好的机会对漏洞数据进行切片和切块,以提供更多以威胁为中心和结果驱动的指标以及基准测试功能。进一步的进展将是提供更多的绩效指标、添加实际业务数据(货币价值)的能力,以及提供根据组织的功能风险、价值和成本提供风险排名的仪表板(请参阅跟踪正确的漏洞管理指标)。适用于此功能的一个有趣的用例是最终使用多个 VA 工具的客户,或使用不同供应商进行代理和网络扫描,或使用不同供应商进行基础设施和 Web 应用程序的客户。VPT 产品有助于将多个供应商的结果整合并优先排序到一个位置,以提高可视性和运营效率。
一些 VPT 供应商提供修补和 SOAR 集成,在某些情况下与现有 VA 工具的本机或附加功能重叠。组织应该评估和利用更紧密集成的产品的修复自动化。
最后,不仅是最大的、更知名的 VA 供应商,而且许多其他较小的新兴供应商现在都在这些工具中内置了不同级别的 VPT 功能。虽然功效各不相同,但 Gartner 建议首先检查现有产品中的 VPT 功能,看看这是否满足您的需求,而不是部署其他解决方案。
邻近市场
EASM
EASM 是一套新兴产品,可支持组织识别源自组织可能不知道的面向互联网的资产和系统的风险。VA 工具始终具有评估外部资产的能力。然而,这种方法很少被使用,即使使用,它也主要集中在已知资产上,并且没有评估所有资产的职权范围,包括所有经批准和未经批准的资产。Gartner 的攻击面管理创新洞察描述了我们对需要更全面地了解攻击面的组织的不断演变的思维,以及如何在此背景下考虑 EASM。
然而,在这个研究周期中,许多最著名的 VA 供应商现已将 EASM 添加到其现有平台中,其中一些平台对用户免费,使其成为围绕更好的组织环境可见性的出色附加功能。多年来,Gartner 观察到 EASM 市场正在被多个市场吸收,包括一些新兴市场,例如数字风险保护服务 (DRPS) 和漏洞与攻击模拟 (BAS),以及 VA 市场——后者尤其如此由于现有 VA 供应商市场占有率的规模和规模。
拥有独立 EASM 工具的安全和风险管理领导者现在应该重新评估独立产品的使用,因为 EASM 是从现有解决方案(例如 VA)本地集成的,因为它可能有助于提高生产力,并有可能增加基于数量的折扣。该组织已经承诺的采购周期。
CAASM
CAASM 是一个新兴技术领域,致力于帮助安全团队克服资产可见性和暴露挑战。它使组织能够主要通过与现有工具的 API 集成来查看所有资产(内部和外部)、查询整合数据、识别安全控制中的漏洞范围和差距并修复问题。CAASM 的核心用例包括:资产概况整合、可见性差距分析、安全控制报告、审计/合规报告、安全资产管理和问题优先级排序。
CAASM 可用于帮助提高资产清单的准确性。此外,他们还从各种源系统中获取漏洞,并用资产信息和资产依赖性覆盖它们,以提供更好、优先的修补方法。CAASM 工具专注于安全团队的资产用例,而不是 ITSM 用例,并且可以与 CMDB(例如数据源)双向集成,并可用于增强或修复 CMDB 数据集中的问题。CAASM 技术与其他成熟技术(例如 VA、CMDB、防火墙和端点管理)和新兴技术(例如 EASM 和 DRPS)相结合,为安全团队实现更加自动化的攻击面管理流程奠定了基础。
漏洞和攻击模拟
近年来,BAS 供应商不断发展。这些供应商拥有部署在环境各个部分的技术,并使用代理和/或虚拟机来主动测试环境的暴露情况,模拟攻击者使用的常见方法。这些工具更多地被定位为安全控制验证工具,而不是 VA 解决方案。然而,在某些功能上与 VA 存在重叠,因为 BAS 工具通过枚举一系列漏洞来评估环境,而不需要使用 VA 工具或从其中导入遥测数据来执行漏洞测试。
他们的重点是针对攻击框架的控制技术进行验证,例如涵盖一系列漏洞的MITRE,以及可以在违规中利用的较小漏洞子集。重要的是,BAS工具并不专注于查找所有漏洞。相反,他们专注于那些可以被可靠利用的漏洞,然后详细报告安全控制如何充分解决发现的常见漏洞和暴露(CVE)。这可能是漏洞优先级的另一个关键方面,因为与VPT不同,这种级别的测试是主动的还是被动的。
在本研究的背景下,BAS 通过提供最终用户环境的“攻击者视角”来帮助最终用户,包括如何在其环境中绕过最终用户现有的补偿控制套件。安全和风险管理领导者还可以使用模拟违规作为后续优先级活动的输入,涉及“下一步要采取什么行动”。这些操作的范围从配置/更新补偿控制(例如入侵检测和防御系统 (IDPS) 和 WAF)到网络分段,当然还有修补。他们还可以突出显示这些控件的配置问题。
BAS 工具是将内部安全控制上下文作为关键用例的有效方法。作为 CTEM 框架的一部分,它们是“验证”高风险漏洞对环境影响的一种方法。BAS 工具可以识别差距并识别/改进正确的补偿控制,以更好地预防、检测和响应威胁。VPT 供应商还与各种网络和端点安全控制集成以获取内部上下文。
一个有趣的用例是跨 VA、VPT 和 BAS 进行自动化和协调,以提供一致、快速的主动威胁防护。此处的结果示例是将漏洞 (CVE) 转换为 Mitre ATT&CK 框架 (TTP)。这将为任何组织提供一个从根本上更好的视角来了解运营网络风险。
技术图谱
漏洞管理 (VM) 是希望减少威胁暴露的安全运营团队的基本要素。VA 对虚拟机漏洞管理流程的重要性通常根据组织的规模、基础设施构成和成熟度而有很大差异。
一些组织以独立能力部署 VA,提供审计或评估功能来评估风险或衡量合规性。其他人则以更具操作性的方式使用它,以协助 IT 运营确定优先级并验证补丁等内容是否已成功应用。其他人将 VA 集成到他们的 DevSecOps 流程中,以便 VA 在应用程序开发和部署时持续应用于应用程序。许多组织两者都做。然而,购买中心往往是安全组织/审计组织。IT 运营参与配置评估。
实际风险降低是任何 VM 计划的最终成功,并且有多种解决方案可以帮助实现该目标。任何有助于在最短的时间内提供更好的可见性并减少暴露面的工具都是现在值得投资的工具。遗憾的是,仅使用 VA 工具无法实现这一目标,因为 VM 将人员、流程和工具方面的许多动态部分结合在一起。需要正确组合可在整个漏洞生命周期中发挥作用的集成和支持工具集。图 2 旨在捕获 RBVM 程序的移动部分以及漏洞生命周期阶段中每种技术提供的功能。
图 2:Gartner 基于风险的漏洞管理方法
代表厂商
本市场指南表1列出的40家供应商提供了涵盖VA和VPT的成熟能力。
表1 :代表性供应商(漏洞评估和漏洞优先级技术)
| 供应商 | 产品或解决方案名称 |
| Alfa Group | RHD VM |
| Armis Security | Armis 资产漏洞管理 |
| Autobahn Security | Autobahn Security |
| Balbix | Balbix 安全云 |
| Brinqa | Brinqa 攻击面情报平台 |
| Continuity | StorageGuard |
| CrowdStrike | CrowdStrike Falcon Spotlight |
| Frontline Vulnerability Manager (Frontline VM) | |
| Epiphany Systems | Epiphany Intelligence Platform |
| Flashpoint | 漏洞管理(VulnDB) |
| Flexera | 软件漏洞管理器 |
| Greenbone Networks | Greenbone 企业设备/云服务 |
| Hive Pro | HivePro Uni5 |
| Holm Security | Holm Security VMP |
| Intruder | 持续的漏洞管理 |
| Ivanti | 用于 RBVM 的 Ivanti Neurons |
| Cisco (Kenna Security) | 思科漏洞管理(以前称为 Kenna.VM) |
| ManageEngine | 漏洞管理增强版 |
| Microsoft Defender 漏洞管理 | |
| Nanitor | Nanitor平台 |
| NopSec | 统一VRM |
| NorthStar | NorthStar Navigator |
| Nucleus Security | 企业漏洞管理 |
| Outpost24 | Farsight |
| Qualys | Qualys VMDR |
| Rapid7 | Nexpose 漏洞扫描器/InsightVM |
| RedSeal | RedSeal 网络/云 |
| Rezilion | 软件供应链安全 |
| Runecast | Runecast Analyzer |
| Seconize Technologies | Seconize DeRisk Center |
| Secureworks | Secureworks Taegis VDR |
| ServiceNow | ServiceNow漏洞响应 |
| Skybox Security | 漏洞和威胁管理 |
| Tanium | Tanium Comply |
| Tenable | Tenable 安全中心/Tenable 漏洞管理/Tenable Lumin |
| Tufin | 漏洞优先级划分和管理 |
| Veriti | 统一安全态势管理 |
| Intrinsic (Vicarius) | TOPIA |
| Vulcan Cyber | 网络风险管理平台 |
| WithSecure | WithSecure Elements 漏洞管理 |
资料来源:Gartner(2023 年 8 月)
市场建议
每个漏洞都有一个生命周期,该生命周期的每个阶段对于实现风险降低都很重要:
-
选择覆盖范围全面的 VA 工具。大多数 VA 工具在识别和扫描漏洞和系统配置方面都很强大。选择能够与您组织的计算架构保持一致的供应商,为您的 IT 资产提供广泛的支持(就资产类别的数量而言,例如端点、服务器、存储、网络、移动和安全)。
-
通过利用内置或专用 VPT 工具执行关键优先级功能,实施基于风险的漏洞管理方法。可利用性;恶意软件和漏洞利用工具包的流行;现有安全/补偿控制的存在和配置;资产背景;威胁行为者的主动利用是评估网络风险的关键限定因素。优先级划分已成为主要 VA 供应商解决方案的一个特点。有时,VA 供应商提供的漏洞优先级划分功能可能不如独立的纯供应商那么全面。
-
客户应评估 VA 工具提供的工作流程和集成以进行修复。如果缺少这些功能,那么除了优先级之外,还可以对 VPT 工具供应商进行编排评估。对此功能的评估也很重要,但对于拥有缺乏自动化修复的 VA 工具的组织来说更是如此。
-
与 VPT 相比,今天的 BAS 并没有提供更好的广度,而是提供了深度。它系统地评估漏洞如何被利用,并提供准确的洞察,威胁参与者在您的环境中下一步可能会移动,以及如果漏洞被利用,他们还可以利用该漏洞做什么。他们还使用 MITRE ATT&CK 等开放框架提供输出,允许安全运营团队优先配置现有补偿控制,以应对 BAS 评估中已知存在的紧迫威胁。
-
计划拥有大量远程员工的组织应评估 VA 供应商基于代理的解决方案的扫描和修补能力。端点产品中存在的 VA 功能也可以针对此类用例进行评估,因为 EPP/EDR 代理可以专注于使用补偿控制来提供即时缓解或补救,以减少攻击面。其中一些 EPP/EDR 供应商提供了可接受的评估功能,但仍仅限于评估其代理的部署位置。
扫一扫
805
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
