Также были предложения сделать полноценную карту отечественных Vulnerability Management вендоров, чтобы уж там-то точно всех упомянуть. Почему бы и нет. Я сам в VM-ном вендоре НЕ работаю, относительно беспристрастен, стараюсь со всеми дружить, каких-то интересов кроме продвижения российской VM-ной темы в целом не имею. Для себя профитов вижу 2: когда кто-то приходит с вопросом о выборе VM-решния, можно будет не повторяться, а просто показывать карту; если представители вендоров будут сами приходить и предлагать что-то поправить на карте, будет проще отслеживать состояние VM рынка.
В чем вообще беда таких карт и обзоров от Gartner/Forrester? Ну кроме того, что это маркетинговые инструменты с понятными целями, задачами, схемой монетизации и т.п. 😏 Основная беда в том, что там всё вперемешку. Вендоры продуктов детектирующих уязвимости идут вместе с вендорами продуктов только приоритизирующих уязвимости. Вендоры продуктов для детекта известных инфраструктурных уязвимостей идут вместе с вендорами сканеров веб-приложений. Хаос. Маркетинг вендоров этой неразберихе только способствует. Без негатива, понять можно, их интерес конверсию и продажи поднимать. Но объективное сравнение продуктов в интересах конечного пользователя это усложняет.
Как эту проблему минимизировать? Начать следует с более-менее четкого определения групп продуктов. И рассматривать затем вендоров и их продукты в рамках этих групп. Я прикинул, у меня группы получились такие:
Средства Управления Уязвимостями (СУУ) - зонтичный термин, включающий в себя всё, что ниже.
1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)
Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.
2. Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)
Позволяют детектировать известные уязвимости CVE/БДУ, мисконфигурации и (частично) неизвестные уязвимости (например XSS в самописном веб-приложении) для активов, которые публично доступны из Интернет. Для сбора информации об активах используется активное сетевое сканирование. Сканирование производится с внешней площадки вендора, что обеспечивает взгляд на анализируемую инфраструктуру как у атакующего.
3. Средства Детектирования Уязвимостей Приложений (СДУП)
Позволяют детектировать неизвестные уязвимости в приложениях (например XSS в самописном веб-приложении или переполнение буфера с перезаписью адреса возврата в серверном/десктопном приложении). Приложения включают в себя веб-приложения, программные интерфейсы (API), десктопные и серверные приложения, приложения для мобильных устройств (Android, iOS, Аврора). Анализ, как правило, динамический без доступа к исходному коду.
4. Средства Детектирования Уязвимостей Кода (СДУК)
Позволяют детектировать неизвестные уязвимости (например XSS в самописном веб-приложении или переполнение буфера с перезаписью адреса возврата в серверном/десктопном приложении) и известные уязвимости CVE/БДУ на основе анализа исходного кода. Анализ, как правило, статический и проводится в рамках жизненного цикл разработки ПО (SDLC).
5. Средства Анализа Уязвимостей (САУ)
Позволяют анализировать и приоритизировать уязвимости для конкретной инфраструктуры. Имеется в виду не дополнительная функциональность в рамках детектирующего решения, а решение позволяющее импортировать данные об уязвимостях из сторонних источников. Анализ может включать в себя построение цепочки атаки и симуляцию атаки.
6. Средства Исправления Уязвимостей (СИУ)
Позволяют автоматизированное исправлять уязвимости в конкретной инфраструктуре. Имеется в виду не управление задачами для системных администраторов, а непосредственное воздействие на актив, такое как обновление хоста или изменение его конфигурации.
@avleonovrus #VMmap
В чем вообще беда таких карт и обзоров от Gartner/Forrester? Ну кроме того, что это маркетинговые инструменты с понятными целями, задачами, схемой монетизации и т.п. 😏 Основная беда в том, что там всё вперемешку. Вендоры продуктов детектирующих уязвимости идут вместе с вендорами продуктов только приоритизирующих уязвимости. Вендоры продуктов для детекта известных инфраструктурных уязвимостей идут вместе с вендорами сканеров веб-приложений. Хаос. Маркетинг вендоров этой неразберихе только способствует. Без негатива, понять можно, их интерес конверсию и продажи поднимать. Но объективное сравнение продуктов в интересах конечного пользователя это усложняет.
Как эту проблему минимизировать? Начать следует с более-менее четкого определения групп продуктов. И рассматривать затем вендоров и их продукты в рамках этих групп. Я прикинул, у меня группы получились такие:
Средства Управления Уязвимостями (СУУ) - зонтичный термин, включающий в себя всё, что ниже.
1. Средства Детектирования Уязвимостей Инфраструктуры (СДУИ)
Позволяют детектировать известные уязвимости CVE/БДУ и мисконфигурации CIS/CCE для инфраструктурных активов. Для сбора информации об активах может использоваться установка агентов, активное сетевое сканирование, интеграция с системами инвентаризации, перехват сетевого трафика. Анализируемые объекты включают операционные системы, различные программные продукты, сетевые устройства, контейнеры и базовые образы.
2. Средства Детектирования Уязвимостей Сетевого Периметра (СДУСП)
Позволяют детектировать известные уязвимости CVE/БДУ, мисконфигурации и (частично) неизвестные уязвимости (например XSS в самописном веб-приложении) для активов, которые публично доступны из Интернет. Для сбора информации об активах используется активное сетевое сканирование. Сканирование производится с внешней площадки вендора, что обеспечивает взгляд на анализируемую инфраструктуру как у атакующего.
3. Средства Детектирования Уязвимостей Приложений (СДУП)
Позволяют детектировать неизвестные уязвимости в приложениях (например XSS в самописном веб-приложении или переполнение буфера с перезаписью адреса возврата в серверном/десктопном приложении). Приложения включают в себя веб-приложения, программные интерфейсы (API), десктопные и серверные приложения, приложения для мобильных устройств (Android, iOS, Аврора). Анализ, как правило, динамический без доступа к исходному коду.
4. Средства Детектирования Уязвимостей Кода (СДУК)
Позволяют детектировать неизвестные уязвимости (например XSS в самописном веб-приложении или переполнение буфера с перезаписью адреса возврата в серверном/десктопном приложении) и известные уязвимости CVE/БДУ на основе анализа исходного кода. Анализ, как правило, статический и проводится в рамках жизненного цикл разработки ПО (SDLC).
5. Средства Анализа Уязвимостей (САУ)
Позволяют анализировать и приоритизировать уязвимости для конкретной инфраструктуры. Имеется в виду не дополнительная функциональность в рамках детектирующего решения, а решение позволяющее импортировать данные об уязвимостях из сторонних источников. Анализ может включать в себя построение цепочки атаки и симуляцию атаки.
6. Средства Исправления Уязвимостей (СИУ)
Позволяют автоматизированное исправлять уязвимости в конкретной инфраструктуре. Имеется в виду не управление задачами для системных администраторов, а непосредственное воздействие на актив, такое как обновление хоста или изменение его конфигурации.
@avleonovrus #VMmap