Gartner發布2021年漏洞評估市場指南
漏洞管理仍然是安全運營工作的重要組成部分,可以幫助組織識別資產、防護威脅并滿足合規性要求。2019年底,Gartner發布了漏洞評估市場指南,天極智庫進行了編譯。近期Gartner發布了2021年版本的漏洞評估市場指南,天極智庫也在第一時間進行了編譯,希望讓更多的安全管理者可以使用本指南,了解實施漏洞管理計劃的關鍵要素。 
01 概述
1 主要發現
漏洞評估VA工具的購買者正在從漏洞識別工具轉向主動評估、管理和報告弱點來的風險的工具。
漏洞評估VA工具提供商擴大了非標準IT資產的覆蓋范圍,特別是針對移動互聯、云計算、運營技術OT和物聯網IoT。然而對OT/工控資產的支持仍然不足。
漏洞評估工具提供商正在不斷集成補丁管理等其他提供商的能力,以幫助用戶進行優先級評估,并提高漏洞修復能力。
相近市場的提供商(例如EDR、IT系統和配置管理等)正在通過增加覆蓋范圍和風險上下文分析,并提供一些有限的評估和優先級能力,來完善其漏洞評估功能。
2 建議
負責選擇和運營漏洞評估解決方案的管理人員應該:
評估VA解決方案的覆蓋廣度和深度以及集成第三方獨立產品的能力,以落地漏洞生命周期管理,進而支撐漏洞修復自動化。
利用漏洞優先級技術(VPT)解決方案實現基于風險的漏洞管理方法。利用統一平臺融合不同的工具能力和數據,以進行漏洞優先級排序和修復,將有助于提高運營效率。
將主動網絡掃描、被動掃描、agent代理和基于API的掃描相結合,以提高現有的功能,可有效提高資產管理覆蓋率和可視化管理能力。
評估VA提供商的基于agent的VA能力,以支撐開展遠程漏洞運營服務。
02 市場定義
漏洞評估VA提供商能夠識別、分類、優先級排序和協調漏洞的修復或緩解。他們的解決方案具有以下能力:
根據相關標準發現、識別并報告硬件設備、操作系統、軟件上的漏洞和配置。
為系統、應用程序和數據庫建立安全基線,以識別和跟蹤狀態變化。
根據合規性、控制框架和多角色的場景需求提供安全報告。
關聯漏洞危害程度、資產和威脅上下文,進行漏洞修復優先級排序。
為漏洞修復和配置緩解措施提供指南。
管理掃描器、代理和API網關等設備和產品。
直接集成,或者通過API的方式融合資產管理工具、工作流管理工具和補丁管理工具。
03 市場描述
漏洞評估VA技術通常適用于安全運營、網絡資產和系統可視化等合規性的需求場景,合規仍然是主要的驅動力,例如支付行業數據安全標準(PCIDSS)和美國國家標準與技術研究所NIST都有相應的合規性要求。 漏洞評估VA可以基于軟件、硬件、代理、云平臺、托管解決方案等方式單獨交付或者混合交付。同時也可以通過托管安全服務提供商(MSSP)、托管檢測和響應提供商(MDR)、咨詢和外包商等機構購買漏洞評估服務。越來越多的端點保護平臺(EPP)、終端檢測和響應(EDR)提供商正在提供漏洞評估VA產品和能力。新冠疫情讓很多的企業開始嘗試遠程安全服務,一個有趣的趨勢是端點保護平臺(EPP)開始基于代理的方式進行漏洞掃描和修復,并且獲得了用戶青睞,例如CrowdStrike的FalconSpotlight產品和微軟的威脅與漏洞管理TVM產品。 漏洞管理VM市場中一個亮點是漏洞優先級技術(VPT)。VPT結合漏洞掃描、資產重要性和環境上下文信息,并集成的多個威脅情報源,通過高級分析來豐富漏洞數據。與傳統的方式相比,VPT可以幫助組織在時間和資源有限的情況下,快速進行關鍵漏洞修復,快速縮小組織的攻擊面。未來,VPT將成為漏洞評估VA提供商的標配功能。 入侵和攻擊模擬(BAS)工具是另外一類有助于確定漏洞優先級的產品。BAS工具通過攻擊模擬的方式,讓組織深入了解資產可能面臨的風險,并可以對已部署的漏洞緩解措施的有效性進行測試和驗證。 漏洞評估VA市場主要由提供VA的中小型提供商和提供綜合安全管理能力的大型提供商組成。漏洞優先級技術(VPT)主要由獨立的提供商提供,未來將在大型組織中得到廣泛應用。入侵和攻擊模擬(BAS)主要由初創公司提供,作為通過攻擊的視角來檢測安全防護的有效性的創新技術,Gartner預計未來的幾年內,BAS的市場份額將會快速增長。
04 市場方向
漏洞評估VA是一個成熟的市場,VA是信息安全管理和監管框架的重要組成部分。Qualys、Rapid7和Tenable三家公司獲得了這個市場的主要收入,在行業中占據主導地位。但他們面臨來自漏洞優先級技術(VPT)提供商的競爭壓力,VPT提供商在優先級技術方面處于領先地位,并且還在不斷集成工單管理、配置管理數據庫(CMDB)、編排和補丁管理等功能。除此之外,他們還要與托管服務提供商、咨詢服務商以及開源掃描工具進行競爭。 理想的漏洞評估VA需要覆蓋一定的IT資產廣度和深度,廣度即能夠覆蓋多種資產類別,例如端點、服務器、存儲、網絡、移動和安全,深度即能夠支持合規性要求和資產全面評估的需求。針對諸如Windows和Linux等常見平臺的漏洞評估技術比較成熟,不同的提供商在掃描精度和性能等方面差距較小,不同提供商之間更多的是價格的競爭。但對于不常見技術或第三方應用等非通用平臺,不同提供商之間差距較大。隨著新技術的不斷出現,單個提供商無法覆蓋所有新技術的需求,因為覆蓋新技術需要較高的研發費用投入。 VA提供商還通過產品組合的方式將漏洞評估能力集成到其他產品中,如EDR、MDR、SEIM、應用安全測試DAST、容器安全、補丁管理、云安全配置管理CSPM等。
05 市場分析
1 漏洞評估VA
大多數用戶關注的焦點仍然是傳統的漏洞評估VA,經過20多年的發展已經非常成熟。近年來VA廠商覆蓋范圍逐漸擴大到了網絡、移動、OT和云計算等領域,例如Tenable和Qualys。漏洞優先級技術(VPT)是一個重要的技術方向,例如TenableLumin。對于組織來說,從現有的提供商那里直接增購VA組件,將有助于降低成本。 過去VA提供商僅提供漏洞掃描能力,而現在提供的是漏洞管理能力。通過集成融合不同的安全能力,來提高漏洞管理的工作效率。例如有的VA工具提供資產管理或者CMDB功能,有的通過集成補丁管理、安全編排和自動化響應SOAR、SIEM工具等來提高自動化的漏洞修復能力。 除了評估之外,VA市場還包括以下幾個部分:
安全配置評估 安全配置評估(SCA)一直是漏洞評估VA的功能之一,主要對環境中的系統配置進行遠程評估和驗證。本指南中的VA提供商都提供了類似的功能,有的可能需要單獨付費,因此該功能的完整程度可能有所不同。Gartner研究表明,用戶通常會購買漏洞和SCA掃描二合一的工具。在資產部署之前進行安全配置評估,并進行安全加固,可有效縮小攻擊面,實現合規性的目標。
云安全態勢評估 安全從業人員習慣于針對運行在AmazonWeb Services、GoogleCloud Platform或MicrosoftAzure等平臺的虛擬機上部署傳統的評估工具,對“黃金鏡像”進行評估成為了最有效的方法,利用云環境中快速回收鏡像的優勢減輕總體評估負擔。 VA在云計算中的解決方案日漸成熟,如今大多數解決方案可以適配多個云環境。這包括將動態云工作負載的速度與持續掃描服務進行匹配。VA提供商還支持RESTAPI與持續集成/持續交付(CI/CD)工具鏈進行對接。 在某些場景中,仍然需要集成第三方的產品和解決方案。云基礎設施和平臺服務(CIPS)服務商正在將一些優秀的產品和能力集成到平臺中,并以服務的方式進行交付,但僅適配于自己的云平臺,例如AmazonInspector和MicrosoftAzure 安全中心。
運營技術評估 通用的漏洞評估VA技術無法覆蓋運營技術OT資產,例如監控和數據采集系統(SCADA)和工業控制系統(ICS)等。許多VA提供商聲稱解決方案支持SCADA或ICS,但用戶仍要慎重考慮,因為跟IT相比,OT需要充分兼顧業務風險和安全風險的平衡。 不同的提供商會針對OT采取不同的漏洞評估VA方法,有的是被動地分析網絡數據包,有的是將資產信息與漏洞數據庫進行關聯匹配。
滲透測試 滲透測試可以檢測系統是否易受攻擊,還可以檢查這些系統是否可以被惡意利用,因此需要在特定時間內發現弱點和突破口,然后基于此提出修復建議。 根據Gartner的基于風險的漏洞管理(RBVM)方法,盡管滲透測試與漏洞評估有所不同,但仍在漏洞的優先排序和評估中發揮著重要作用。通過滲透測試服務,讓用戶對當前面臨的主要威脅有更清楚的認識。領導者需要充分采納滲透測試的結果,并優先解決面臨的主要問題,降低安全風險。
漏洞懸賞和眾測 漏洞懸賞,顧名思義,是向發現并合規披露漏洞的安全研究人員提供獎勵或報酬。越來越多的商業公司和政府組織推出了正式的漏洞懸賞計劃和眾測計劃,并受到了安全研究人員的歡迎。 漏洞懸賞計劃和眾測計劃發現的漏洞包括應用以及基礎架構的問題,因此貫穿漏洞評估VA和應用安全等領域。在實施計劃時,組織必須充分考慮如何將輸出結果集成到現有的工作流程中,以修復和緩解應用程序及基礎設施漏洞。
2 漏洞優先級技術
漏洞優先級技術(VPT)對漏洞評估VA市場產生了重大的影響,VPT填補了VA的解決方案空白。大多數VPT工具一開始都側重于優先級排序,但是現在正逐漸演變為漏洞情報(vulnerabilityintelligence)工具,為漏洞管理VM賦能。 VPT工具本身不進行漏洞評估,而是通過威脅情報的威脅上下文和資產上下文兩種形式的數據進行綜合分析。VPT提供商專注于優先級排序并整合不同安全測試技術的輸出數據,例如VA、DAST、SAST和滲透測試。來自任何安全測試工具的協作數據都將成為組織的“情報”來源。這有助于降低噪聲數據,幫助用戶確定哪些漏洞需要優先修復和緩解。 VPT工具使用威脅情報、組織資產上下文和風險建模方法來分析漏洞并確定其優先級,機器學習ML在其中可以發揮價值,有的提供商通過機器學習來預測漏洞在野利用的可能性。 VPT提供商之間的一個差異點在于報告和儀表板,領先的VPT提供商基于不同視角,提供全面的資產管理、威脅管理、漏洞管理等可視化功能,讓用戶可以清晰地了解業務風險狀況。一些VPT提供商開始提供集成漏洞修復和SOAR技術,推動實現自動化漏洞修復。
3 入侵和攻擊模擬
近年來,入侵與攻擊模擬(BAS)提供商不斷發展,他們利用代理/虛擬機,模擬攻擊者常用的方法,主動測試環境中的暴露面。BAS工具被定為安全控制驗證工具,而不是VA解決方案,但是在某些功能上與VA有重疊,BAS工具無需使用VA工具或從其中導入數據即可評估環境中的漏洞。 BAS工具并不專注于發現所有漏洞,而是更加關注哪些可以被利用的漏洞,然后詳細報告如何采取安全控制,來措施修復和緩解發現的通用漏洞披露(CVE)。BAS以攻擊者視角來發現安全問題,讓用戶了解如何繞過已有的安全控制措施,這將是安全管理人員下一步工作的輸入,即利用它們來確定安全差距和部署正確的控制措施。 VPT提供商還集成了各種網絡和端點安全產品,以獲取內部上下文。從BAS工具中獲得內部控制上下文對于VPT工具的優先排序來說是一件有價值的事情。
4 技術映射
漏洞管理VM是安全運營的基本要素。根據組織的規模和成熟度,漏洞評估VA在漏洞管理VM流程中的角色會有所不同。有的組織獨立部署VA,提供評估和審計功能以滿足合規性要求;有的組織將漏洞評估VA作為IT運營的一部分,確定優先級并進行補丁驗證和漏洞修復;有的組織將漏洞評估VA集成到DevSecOps中,在開發和部署應用的過程中充分落地漏洞評估VA工作。 漏洞管理VM計劃的最終目標是降低風險,任何有助于在最短時間內提供風險可視化并縮小攻擊面的工具都應該立即采購。但這不能僅通過漏洞評估VA工具來實現,因為漏洞管理VM需要將人員、流程和工具動態的結合在一起,需要在整個漏洞生命周期中正確組合和集成工具集。 下圖為基于風險的漏洞管理(RBVM)方法的活動部分,以及生命周期階段中每種技術提供的能力。 
06 代表廠商
07 市場建議
每個漏洞都有生命周期,而且這個生命周期的每個階段對于降低風險都很重要。
選擇覆蓋范圍廣泛的漏洞評估VA工具。大多數VA工具識別和掃描漏洞能力比較強大。應該選擇覆蓋組織IT架構的提供商,能夠適配組織的IT資產類型(包括端點、服務器、存儲、網絡、移動和安全等)。
利用漏洞優先級技術VPT工具實施基于風險的漏洞管理方法。惡意軟件、可利用工具、漏洞可利用性、流行性、資產上下文以及威脅信息是評估網絡風險的關鍵因素。VPT應成為VA提供商的重要組成部分。
客戶應評估VA工具提供的漏洞緩解的工作流程和集成的組件。如果缺少這些功能,那么除了優先級順序之外,還需要評估VPT工具提供商的編排能力。對這種能力的評估很重要,尤其是對于缺乏漏洞修復自動化能力的組織更為重要。
計劃通過遠程服務的方式進行VA的組織,應該優先考慮能夠通過agent代理方式提供VA的提供商。端點產品中的VA能力可以幫助用戶實現遠程漏洞管理服務,因為EPP/EDR代理可以使用補償控制來提供即時緩解或補救措施,縮小攻擊面。
