Articles

6 top sårbarhetshanteringsverktyg och hur de hjälper till att prioritera hot

vetenskapen och tekniken bakom sårbarhetshantering har förändrats mycket på kort tid. När de ursprungligen distribuerades agerade sårbarhetshanteringsföretag nästan som antivirusleverantörer genom att de försökte få sina skannrar att upptäcka så många potentiella hot som möjligt. De skulle till och med skryta om att kunna upptäcka fler sårbarheter som gömmer sig i testbäddar än sina konkurrenter.

problemet med den logiken är att till skillnad från virus och andra typer av skadlig kod är sårbarheter bara potentiellt ett problem. För att en sårbarhet ska vara riktigt farlig måste den vara tillgänglig för en angripare och relativt lätt att utnyttja. Så en sårbarhet som sitter på en intern resurs är inte mycket av ett potentiellt hot, och det är inte heller en som kräver ytterligare komponenter som säker åtkomst till andra nätverkstjänster. Att veta vad som verkligen är farligt är viktigt så att du kan planera vad du ska Fixa nu och vad du ska skjuta upp till senare eller till och med ignorera.

det är också bra att kategorisera sårbarheter baserat på deras potentiella effekter om de utnyttjas. Detta inkluderar den potentiella svårighetsgraden av utnyttjandet som att utplåna en hel databas jämfört med att låsa ut en enda användare och värdet på de resurser som påverkas. Att ha din offentliga webbplats skadad är pinsamt, men att ha konfidentiella uppgifter stulna kan vara avgörande.

de bästa sårbarhetshanteringsprogrammen bör lägga till kontext för skanningar. Vissa erbjuder även automatiska korrigeringar, utbildning eller förebyggande hjälp med artificiell intelligens (AI). Att förstå efterlevnadsstandarder, lagliga mandat och bästa praxis som gäller för organisationen som startar skanningen är också viktigt. Med potentiellt tusentals sårbarheter som gömmer sig i alla stora företagsnätverk är det det enda sättet att korrigeringar kan prioriteras på ett tillförlitligt sätt.

följande sex produkter trycker på kuvertet för minst en aspekt av sårbarhetshantering.

Kenna Security Vulnerability Management

Kenna Security Vulnerability Management-plattformen var en av de första som införlivade hotdata i realtid i sårbarhetshantering för flera år sedan. Sedan dess har plattformen expanderat för att inkludera fler hotflöden inklusive en som företaget hanterar specifikt baserat på kundens nätverk. Det har också lagt till stöd för fler sårbarhetsskannrar och fungerar idag med nästan alla på marknaden.

Kenna gör inga skanningar själv. Istället tillhandahåller det anslutningsprogram som gör det möjligt att ta in data från nästan vilken sårbarhetsskanner som helst, inklusive de som gjorts av Tripwire, Qualys, McAfee och CheckMarx. Plattformen i sig distribueras som en tjänst, med kunder som loggar in på en molnportal för att kontrollera deras information och ge Kenna tillstånd att lära sig om nätverket som det skyddar.tanken bakom Kenna är att den samlar in de många sårbarhetsvarningar som skickas in av skannrar och jämför sedan det med hotdata i realtid. Det kan binda en upptäckt sårbarhet tillbaka till en aktiv hotkampanj som utnyttjar den och prioritera en snabbkorrigering. Alla sårbarheter som utnyttjas i världen höjs automatiskt i prioritet, så försvarare kan åtgärda de farligaste problemen innan angripare upptäcker och utnyttjar dem.

plattformen gör ett bra jobb med att förklara varför sårbarheter finns i ett skyddat nätverk och ger tips om hur man åtgärdar dem. Det kan prioritera upptäckta brister baserat på vilka tillgångar de kan påverka och svårighetsgraden av problemet. Det är en bra funktion att ha, men prioriteringen av sårbarheter baserade på aktiva hotkampanjer är esset i hålet som gör Kennas plattform till en av de bästa för att lyfta fram kritiska problem som absolut måste åtgärdas först.

Flexera Vulnerability Manager

medan många sårbarhetshanterare koncentrerar sig på appar och kod som ett företag utvecklar sig, är Flexera-plattformen mer intresserad av program från tredje part som nästan alla företag använder för att bedriva verksamhet. I de flesta fall görs en sårbarhet i köpt eller licensierad programvara genom att använda en patch. För ett företag kan det bli en stor sak, särskilt om de måste ta tusentals system eller kritiska tjänster offline för att tillämpa korrigeringsfilen. Det är även möjligt att på grund av hur tätt programvara är integrerad i dessa dagar, att fixa ett problem kan skapa en hel del andra.

Flexera Software Sårbarhetshanteringsprogramvara hjälper till med detta problem genom att skapa en säker patchhanteringsprocess över ett helt företag. Det kan hitta sårbarheter i programvara från tredje part och ge administratörer råd om svårighetsgraden av det potentiella hotet. Det kan vara lite att vinna på att lägga ut en massiv patch till tusentals användare för att fixa en mindre sårbarhet eller att patcha en funktion som inte är installerad eller används av den skyddade organisationen. Flexera kan hjälpa till att fatta dessa beslut genom att tillhandahålla sammanhang och sedan distribuera korrigeringsfilen när det blir nödvändigt.

det kan också användas för att förankra ett automatiserat patchhanteringssystem genom att fixa sårbarheter vid behov på sätt som inte skadar operationer. Slutligen kan det generera anpassade rapporter om sårbarhet och patchhantering, och även om hur en organisation följer relevanta ramar, lagar och bästa praxis.

Tenable.io

Tenable är välkänt i branschen för att skapa säkerhetspaneler för alla miljöer. De tar med sig samma diagnostiska teknik till sitt sårbarhetshanteringsprogram, Tenable.io. denna plattform hanteras i molnet, så den har ett litet fotavtryck i en skyddad organisation. Den använder en kombination av aktiva skanningsagenter, passiv övervakning och molnanslutningar för att söka efter sårbarheter. Tenable.io sedan tillämpar maskininlärning, datavetenskap och AI för att förutsäga vilka korrigeringar som måste göras först innan en angripare kan utnyttja dem.

en av de största styrkorna i Tenable.io är det faktum att den använder både instrumentpanelen och dess anpassade rapporter för att visa sårbarheter på ett sätt som alla kan förstå. Oavsett om någon är en utvecklare, en del av operationsteamet eller en medlem av IT-säkerhet, kan de lätt förstå varningarna som genereras av Tenable.io. På ett sätt, Tenable.io ger sårbarhetshantering till alla utan specialutbildning eller expertis som krävs.

ZeroNorth

inklusive ZeroNorth i en sammanställning av sårbarhetshanteringsprogram kan verka lite udda, eftersom plattformen faktiskt inte skannar någonting själv. Istället var det utformat för att konsolidera andra sårbarhetsskannrar och hjälpa till att kompensera för deras brister. Med tanke på det omöjliga antalet sårbarheter som de flesta stora företag står inför är det ett verktyg som snabbt visar sin användbarhet.

ZeroNorth distribueras som en tjänst, med användare som loggar in på en säker webbplattform för att övervaka sin miljö. Det var enkelt att ansluta olika skannrar i vårt testnätverk till zeronorth-plattformen, och vi var igång på nolltid. Naturligtvis måste du ha sårbarhetsskannrar i din miljö för att börja få data med ZeroNorth, men det kan hantera data som kommer från någon del av nätverket, från utvecklingsmiljö till produktion. Om du inte har några skannrar erbjuder plattformen ett enkelt sätt att lägga till öppen källkod eller kommersiella skannrar i din miljö, som sedan automatiskt ansluts till plattformen.

zeronorth-plattformen gör mycket arbete med att konsolidera och analysera data som kommer från skannrar. En trevlig funktion är att den kan visa hur sårbarheter är relaterade och till och med beroende av varandra. Till exempel, medan en raw-skanning kan avslöja 20 nya sårbarheter, kommer det oftast inte att berätta att 19 av dem finns på grund av den första bristen. ZeroNorth will. Sedan genom att fixa bara en sårbarhet kan du ta bort 20 andra från ditt nätverk. I vårt testnätverk eliminerade varje sårbarhet som ZeroNorth rekommenderade att vi fixade i genomsnitt 14 andra.

det gör också ett bra jobb med att spåra vem som skapade sårbara resurser och vem som hanterar dem. Det kan naturligtvis rapportera alla sina resultat till administratörer och dess centrala konsol men kan också skicka varningar och rekommenderade korrigeringar till applikationsägare. På så sätt kan de personer som är mest ansvariga för en sårbar applikation, och troligen de mest intresserade av att korrigera eventuella problem, omedelbart börja arbeta med en fix.

det gör också ett bra jobb med att övervaka sårbarhetsskannrarna själva. Det kommer till exempel att berätta om en skanner saknar en kritisk sårbarhet som andra upptäcker. På så sätt kan du se om din investering i specifika sårbarhetsskannrar lönar sig. Som sådan skulle ZeroNorth vara ett mycket värdefullt tillskott för alla organisationer som försöker tämja översvämningen av scanner sprawl alerts eller förbättra deras skanningsnoggrannhet med antingen nya policyer eller verktyg.

ThreadFix

en av de mest kända sårbarhetshanteringsplattformarna, threadfix centraliserar testdata från olika källor på ett ställe och med en instrumentpanel. Det kan inta skanningsresultat i format som SAST, DAST, IAST och Software Composition Analysis (SCA).

det kan inte bara samla in och sortera resultat, det bryter också ner dem och ger hjälp med att analysera sårbarheter och prioritera korrigeringar. Det gör detta på avancerade sätt som är sällsynta för sårbarhetshanterare. Det kan till exempel av-dupera och korrelera mellan sårbarheter på applikationsnivå och säkerhetssvagheter som är inblandade i själva infrastrukturen. Att kunna separera kritiska skillnader som det kan hjälpa IT-team att skräddarsy specifika sårbarhetsfixar utan att bryta något nytt i processen.

förutom att balansera och samordna resultaten från flera kommersiella och Open-source sårbarhetsskannrar kan ThreadFix också hjälpa till att automatisera processen att skanna och fixa sårbarheter genom att effektivisera backendflödet mellan säkerhets-och utvecklingsteam. Det faktum att it kan agera i realtid gör det till ett perfekt verktyg att implementera i en DevSecOps-miljö, där utvecklare kan ta ansvar för att skapa säker kod från början. ThreadFix kan hitta sårbarheter när de genereras och hjälpa utvecklare att fixa dem innan de gör det någonstans nära en produktionsmiljö.

ThreadFix kan också kvantifiera sårbarhetslösningsaktiviteter och den tid det tar att åtgärda upptäckta fel. Beväpnad med dessa data kan säkerhetsteam få en bättre uppfattning om deras verkliga sårbarhet windows, medan ledningen kan se om och hur situationen förbättras över tiden.

infektion Monkey

infektion Monkey programmet från Guardicore kan betraktas som en annan udda val för en sårbarhet roundup, men den detaljnivå som det ger när det gäller säkerhetsbrister och sårbarheter gör det värdefullt för nästan alla organisationer. Det är också gratis, med modifierbar källkod, så du har inget att förlora genom att prova det.

Infection Monkey är ett bra verktyg eftersom det inte bara identifierar sårbarheter utan visar exakt hur en angripare potentiellt kan utnyttja dem. Du kan använda programmet för att kontrollera säkerhetshål i Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack och Google Cloud Platform miljöer. Eftersom den Python-baserade källkoden också tillhandahålls kan användarna konfigurera den för att fungera i alla egna eller unika miljöer.

programmet använder verkliga attacker och tekniker som ständigt uppgraderas och uppdateras av Guardicore. Det är faktiskt inte tekniskt en simulering eftersom det faktiskt attackerar ett nätverk. Det har bara inte en skadlig nyttolast. Om dina befintliga säkerhetsverktyg kan stoppa infektion apa, så mycket bättre, eftersom det innebär att någon sårbarhet gömmer sig bakom detta försvar kan betraktas som en låg prioritet.

det verkliga värdet kommer när Infektionsapa framgångsrikt bryter in, vilket kan ta allt från några minuter till många timmar beroende på komplexiteten hos det attackerade nätverket. När den finner en svaghet och utnyttjar den, registrerar programmet varje steg som det tog på vägen, inklusive vilka sårbarheter det utnyttjade och vilka försvar som kringgås eller luras.

om du stirrar på en lista med tusentals sårbarheter, använd Infection Monkey för att ta reda på vilka som kan utnyttjas av angripare. Sedan lappa dem först och distribuera apan igen för att kontrollera ditt arbete.