Nauka i technologia stojąca za zarządzaniem lukami w zabezpieczeniach bardzo się zmieniły w krótkim czasie. Po początkowym wdrożeniu firmy zajmujące się zarządzaniem lukami zachowywały się prawie jak dostawcy antywirusów, ponieważ starały się nakłonić skanery do wykrycia jak największej liczby potencjalnych zagrożeń. Będą nawet chwalić się tym, że są w stanie wykryć więcej luk ukrywających się w testbeds niż ich konkurenci.

problem z tą logiką polega na tym, że w przeciwieństwie do wirusów i innych rodzajów złośliwego oprogramowania luki w zabezpieczeniach są tylko potencjalnie problemem. Aby luka była naprawdę niebezpieczna, musi być dostępna dla atakującego i stosunkowo łatwa do wykorzystania. Tak więc luka w zabezpieczeniach wewnętrznych nie jest potencjalnym zagrożeniem, ani nie wymaga dodatkowych komponentów, takich jak bezpieczny dostęp do innych usług sieciowych. Wiedza, co jest naprawdę niebezpieczne, jest ważna, abyś mógł zaplanować, co Naprawić teraz, a co odłożyć na później, a nawet zignorować.

pomocne jest również kategoryzowanie słabych punktów w oparciu o ich potencjalny wpływ, jeśli zostaną one wykorzystane. Obejmuje to potencjalną powagę exploita, taką jak wymazanie całej bazy danych, a zablokowanie pojedynczego użytkownika oraz wartość zasobów, których to dotyczy. Zdewastowanie Twojej strony internetowej jest kłopotliwe, ale kradzież poufnych danych może mieć kluczowe znaczenie.

najlepsze programy do zarządzania lukami powinny dodawać kontekst do skanów. Niektórzy oferują nawet automatyczne poprawki, szkolenia lub pomoc zapobiegawczą przy użyciu sztucznej inteligencji (AI). Ważne jest również zrozumienie standardów zgodności, wymogów prawnych i najlepszych praktyk mających zastosowanie do organizacji uruchamiającej skanowanie. Ponieważ potencjalnie tysiące luk ukrywa się w każdej dużej sieci korporacyjnej, jest to jedyny sposób, w jaki poprawki mogą być niezawodnie priorytetyzowane.

następujące sześć produktów przesuwa kopertę na co najmniej jeden aspekt zarządzania lukami w zabezpieczeniach.

Kenna Security Vulnerability Management

Platforma Kenna Security Vulnerability Management była jedną z pierwszych, które kilka lat temu włączyły dane o zagrożeniach w czasie rzeczywistym do zarządzania lukami w zabezpieczeniach. Od tego czasu platforma rozszerza się o więcej kanałów zagrożeń, w tym jeden, który firma zarządza specjalnie w oparciu o sieci swoich klientów. Dodano również wsparcie dla większej liczby skanerów podatności i obecnie współpracuje z prawie wszystkimi na rynku.

Kenna sama nie robi skanów. Zamiast tego zapewnia programy złączy, które pozwalają mu pobierać dane z prawie każdego skanera luk, w tym tych wykonanych przez Tripwire, Qualys, McAfee i CheckMarx. Sama platforma jest wdrażana jako usługa, a klienci logują się do portalu w chmurze, aby sprawdzić swoje informacje i dać Kenna pozwolenie na poznanie sieci, którą chroni.

idea Kenna polega na tym, że zbiera wiele alertów o lukach w zabezpieczeniach wysyłanych przez skanery, a następnie porównuje je z danymi o zagrożeniach w czasie rzeczywistym. Może powiązać wykrytą lukę z aktywną kampanią zagrożeń, która ją wykorzystuje, i nadać priorytet szybkiej naprawie. Wszelkie luki w zabezpieczeniach wykorzystywane na świecie są automatycznie priorytetowe, więc obrońcy mogą rozwiązać najbardziej niebezpieczne problemy, zanim atakujący je odkryją i wykorzystają.

Platforma wykonuje dobrą robotę wyjaśniając, dlaczego luki istnieją w chronionej sieci i daje wskazówki, jak je naprawić. Może ustalać priorytety wykrytych wad w oparciu o zasoby, na które mogą wpłynąć i dotkliwość problemu. Jest to dobra funkcja, ale priorytetyzacja luk w zabezpieczeniach w oparciu o aktywne kampanie zagrożeń jest Asem w rękawie, który sprawia, że platforma Kenna jest jedną z najlepszych w podkreślaniu krytycznych problemów, które muszą być absolutnie naprawione jako pierwsze.

Flexera Vulnerability Manager

podczas gdy wielu menedżerów luk w zabezpieczeniach koncentruje się na aplikacjach i kodzie opracowanym przez firmę, Platforma Flexera jest bardziej zainteresowana programami innych firm, których prawie każde przedsiębiorstwo używa do prowadzenia działalności. W większości przypadków naprawianie luki w zakupionym lub licencjonowanym oprogramowaniu odbywa się poprzez zastosowanie poprawki. W przypadku przedsiębiorstwa może to stać się ogromną sprawą, zwłaszcza jeśli muszą wyłączyć tysiące systemów lub krytycznych usług w trybie offline, aby zastosować poprawkę. Jest nawet możliwe, że ze względu na to, jak mocno oprogramowanie jest obecnie zintegrowane, że naprawienie jednego problemu może stworzyć sporo innych.

oprogramowanie Flexera do zarządzania lukami w zabezpieczeniach pomaga w rozwiązaniu tego problemu, tworząc bezpieczny proces zarządzania poprawkami w całym przedsiębiorstwie. Może znaleźć luki w oprogramowaniu innych firm i poinformować administratorów o wadze potencjalnego zagrożenia. Może niewiele zyskać na udostępnieniu ogromnej poprawki tysiącom użytkowników w celu naprawienia drobnej luki lub załatania funkcji, która nie jest zainstalowana ani używana przez chronioną organizację. Flexera może pomóc w podejmowaniu tych decyzji, zapewniając kontekst, a następnie wdrażając łatkę, gdy stanie się to konieczne.

może być również używany do zakotwiczenia zautomatyzowanego systemu zarządzania poprawkami poprzez naprawianie luk w razie potrzeby w sposób, który nie zaszkodzi operacjom. Wreszcie, może generować niestandardowe raporty na temat zarządzania lukami i łatkami, a także na temat tego, w jaki sposób organizacja przestrzega odpowiednich ram, przepisów i najlepszych praktyk.

Tenable.io

Tenable jest dobrze znany w branży z tworzenia pulpitów bezpieczeństwa dla każdego środowiska. Wprowadzają tę samą technologię diagnostyczną do swojego programu zarządzania lukami, Tenable.io. ta platforma jest zarządzana w chmurze, więc ma niewielki rozmiar wewnątrz chronionej organizacji. Wykorzystuje kombinację aktywnych agentów skanujących, pasywnego monitorowania i złączy w chmurze do wyszukiwania luk w zabezpieczeniach. Tenable.io następnie stosuje uczenie maszynowe, naukę danych i sztuczną inteligencję, aby przewidzieć, które poprawki należy najpierw wprowadzić, zanim atakujący będzie mógł je wykorzystać.

jednym z największych atutów Tenable.io to fakt, że używa zarówno Pulpitu nawigacyjnego, jak i niestandardowych raportów, aby pokazać luki w zabezpieczeniach w sposób, który każdy może zrozumieć. Niezależnie od tego, czy ktoś jest programistą, członkiem zespołu operacyjnego, czy członkiem bezpieczeństwa IT, może łatwo zrozumieć Ostrzeżenia generowane przez Tenable.io. W pewnym sensie, Tenable.io zapewnia zarządzanie lukami w zabezpieczeniach wszystkim bez specjalistycznego szkolenia lub wiedzy specjalistycznej.

ZeroNorth

włączenie ZeroNorth do podsumowania programów do zarządzania lukami może wydawać się trochę dziwne, ponieważ platforma sama niczego nie skanuje. Zamiast tego został zaprojektowany w celu konsolidacji innych skanerów luk w zabezpieczeniach i uzupełnienia ich braków. Biorąc pod uwagę niemożliwą liczbę luk w zabezpieczeniach, z którymi boryka się większość dużych przedsiębiorstw, jest to narzędzie, które szybko zademonstruje swoją przydatność.

ZeroNorth jest wdrażany jako usługa, z użytkownikami logującymi się do bezpiecznej platformy internetowej, aby monitorować swoje środowisko. Podłączenie różnych skanerów w naszej sieci testowej do platformy ZeroNorth było łatwe, a my w mgnieniu oka zaczęliśmy działać. Oczywiście potrzebne są skanery luk w zabezpieczeniach w swoim środowisku, aby rozpocząć pobieranie danych z ZeroNorth, ale może obsługiwać dane pochodzące z dowolnej części sieci, od środowiska programistycznego po produkcję. Jeśli nie masz żadnych skanerów, platforma oferuje łatwy sposób na dodanie do środowiska skanerów open-source lub komercyjnych, które są następnie automatycznie połączone z platformą.

Platforma ZeroNorth wykonuje wiele pracy konsolidując i analizując dane pochodzące ze skanerów. Jedną z fajnych funkcji jest to, że może pokazać, jak luki są powiązane, a nawet zależne od siebie. Na przykład, podczas gdy skanowanie raw może ujawnić nowe luki 20, w większości przypadków nie powie Ci, że 19 z nich istnieje z powodu pierwszej wady. ZeroNorth tak. Następnie naprawiając tylko jedną lukę, możesz usunąć 20 innych z sieci. W naszej sieci testowej każda luka, którą zaleciliśmy ZeroNorth, wyeliminowała średnio 14 innych.

świetnie sprawdza się również w śledzeniu, kto stworzył podatne zasoby i kto nimi zarządza. Może oczywiście zgłaszać wszystkie swoje odkrycia administratorom i swojej konsoli centralnej, ale może również wysyłać alerty i zalecane poprawki do właścicieli aplikacji. W ten sposób osoby najbardziej odpowiedzialne za podatną na ataki aplikację i prawdopodobnie najbardziej zainteresowane poprawieniem wszelkich problemów mogą natychmiast rozpocząć pracę nad poprawką.

wykonuje również dobrą robotę, monitorując same Skanery luk. Na przykład poinformuje cię, czy skanerowi brakuje krytycznej luki, którą odkrywają inni. W ten sposób można sprawdzić, czy inwestycja w konkretne Skanery luk w zabezpieczeniach się opłaca. W związku z tym ZeroNorth będzie bardzo cennym dodatkiem dla każdej organizacji próbującej oswoić się z potopem alertów sprawl skanera lub poprawić ich dokładność skanowania za pomocą nowych zasad lub narzędzi.

ThreadFix

jedna z najbardziej znanych platform zarządzania lukami w zabezpieczeniach, ThreadFix centralizuje dane testowe z różnych źródeł w jednym miejscu i za pomocą jednego pulpitu nawigacyjnego. Może pobierać wyniki skanowania w formatach takich jak SAST, DAST, IAST i analiza składu oprogramowania (SCA).

nie tylko może zbierać i zestawiać wyniki, ale także je rozkłada i zapewnia pomoc w analizie luk w zabezpieczeniach i ustalaniu priorytetów. Robi to w zaawansowany sposób, który jest rzadki dla menedżerów luk w zabezpieczeniach. Może na przykład usuwać i korelować luki w zabezpieczeniach na poziomie aplikacji i luki w zabezpieczeniach, które są zakorzenione w samej infrastrukturze. Możliwość oddzielenia takich krytycznych rozróżnień może pomóc zespołom IT w dostosowaniu konkretnych poprawek luk w zabezpieczeniach bez niszczenia niczego nowego w tym procesie.

oprócz równoważenia i koordynowania wyników z wielu komercyjnych i otwartych skanerów luk, ThreadFix może również pomóc zautomatyzować proces skanowania i usuwania luk, usprawniając przepływ zaplecza między zespołami ds. bezpieczeństwa i rozwoju. Fakt, że może działać w czasie rzeczywistym sprawia, że jest idealnym narzędziem do wdrożenia w środowisku DevSecOps, gdzie programiści mogą wziąć odpowiedzialność za tworzenie bezpiecznego kodu od samego początku. ThreadFix może znaleźć luki w czasie ich generowania i pomóc programistom je naprawić, zanim znajdą się w pobliżu środowiska produkcyjnego.

ThreadFix może również określić ilościowo działania związane z usuwaniem luk w zabezpieczeniach i czas potrzebny na naprawienie wykrytych błędów. Uzbrojone w te dane zespoły ds. bezpieczeństwa mogą lepiej poznać swoje prawdziwe okna luk, a kierownictwo może sprawdzić, czy i w jaki sposób sytuacja poprawia się z czasem.

Infection Monkey

program Infection Monkey od Guardicore może być uważany za kolejny dziwny wybór dla podsumowania luk w zabezpieczeniach, ale poziom szczegółowości, który zapewnia w odniesieniu do luk w zabezpieczeniach sprawia, że jest on cenny dla prawie każdej organizacji. Jest również bezpłatny, z modyfikowalnym kodem źródłowym, więc nie masz nic do stracenia, próbując go.

Infection Monkey to świetne narzędzie, ponieważ nie tylko identyfikuje luki w zabezpieczeniach, ale pokazuje dokładnie, w jaki sposób atakujący mógłby je potencjalnie wykorzystać. Możesz użyć programu do sprawdzania luk w zabezpieczeniach w środowiskach Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack i Google Cloud Platform. Ponieważ kod źródłowy oparty na Pythonie jest również dostarczany, użytkownicy mogą skonfigurować go do pracy w dowolnym zastrzeżonym lub unikalnym środowisku.

program wykorzystuje rzeczywiste ataki i techniki, które są stale aktualizowane i aktualizowane przez Guardicore. Właściwie to nie jest symulacja, bo atakuje sieć. Po prostu nie ma złośliwego ładunku. Jeśli istniejące narzędzia bezpieczeństwa mogą zatrzymać Infection Monkey, tym lepiej, ponieważ oznacza to, że każda Luka ukrywająca się za tą obroną może być uważana za niski priorytet.

prawdziwa wartość pojawia się, gdy Infection Monkey z powodzeniem włamuje się, co może trwać od kilku minut do wielu godzin w zależności od złożoności zaatakowanej sieci. Gdy znajdzie słabość i wykorzysta ją, program rejestruje każdy krok, który wykonał po drodze, w tym luki, które wykorzystał i które zabezpieczenia zostały pominięte lub oszukane.

jeśli patrzysz na listę tysięcy luk w zabezpieczeniach, użyj Infection Monkey, aby dowiedzieć się, które z nich nadają się do wykorzystania przez atakujących. Następnie załataj je jako pierwsze i ponownie Rozmieść małpę, aby sprawdzić swoją pracę.