Про историю Vul­ner­a­bil­i­ty Management‑а. Иногда люди говорят публично что-то странное, но делают это настолько уверенно, что сам начинаешь в себе сомневаться. Вдруг они лучше знают? Ну или может ты их не так понял? Вот, например, посмотрел ролик "Tra­di­tion­al Vul­ner­a­bil­i­ty Man­age­ment is Dead!" с Ste­fan Thel­berg, CEO Holm Secu­ri­ty. Это те ребята, которые считают, что без встроенного Антифишинга VM уже не VM.

В начале Ste­fan Thel­berg заявляет про историю Vul­ner­a­bil­i­ty Assessment‑а (Vul­ner­a­bil­i­ty Management‑а) буквально следующее:

1. Оригинальная идея Vul­ner­a­bil­i­ty Assessment‑а появилась в гайдлайнах NIST‑а.
2. Прошло 20 лет и появились первые Vul­ner­a­bil­i­ty Assess­ment продукты.
3. Большая часть Vul­ner­a­bil­i­ty Assess­ment продуктов родились из опенсурсного проекта Open­VAS.
4. Один из наиболее распространенных продуктов на рынке, Nes­sus, это коммерческий форк Open­VAS.
5. Прошло ещё несколько лет и около 2000-го появилось несколько больших компаний: Rapid7, Ten­able, Qualys.

То, что VA/VM родился из каких-то публикаций NIST‑а не проверишь особо, организация в 1901 году основана, вполне вероятно что-то и было в 80х. Но заявление, что сначала был Open­VAS, а потом Nes­sus это очень странно. Первая версия The Nes­sus Project вышла в 1998 как GPL проект. Первая версия XSpi­der (тогда Spi­der) также появилась в 1998, а в 2000 он стал публично доступным. Компания Qualys была основана в 1999, Rapid7 в 2000, Ten­able в 2002, Pos­i­tive Tech­nolo­gies в 2002. Проект Open­VAS (GNes­sUs) появился не раньше 2005-го как форк последней опенсурсной версии Nessus‑а, т.к. сам Nes­sus с 2005 года стал проприетарным продуктом Ten­able.

Вот и думай теперь, то ли Ste­fan Thel­berg говорит о том, о чем понятия не имеет. То ли он как-то странно называет Open­VAS-ом оригинальный Nes­sus 1998-го года. Но даже говорить, что другие VM продукты родились из Nessus‑а или OpenVAS‑а более чем странно, как минимум потому что другие продукты (Qualys, Rapid7 Nex­pose, XSpider/MaxPatrol) не используют и не использовали NASL-скрипты, которые составляют основу Nes­sus. Может, конечно, у самих Holm Secu­ri­ty движок это Open­VAS и они всех по себе меряют, не знаю. 😏

Немного про остальной ролик. Само обоснование почему традиционный VM уже не живой это отличный пример борьбы с "соломенным чучелом". Определяют "традиционный VM" так, как удобно. Что он, дескать, не поддерживает новые технологии (облака, IoT, SCADA). Добавляют свой спорный тезис, что обучение пользователей через Антифишинг это тоже обязательная часть VM. И дальше получившееся удобное "соломенное чучело" атакуют. Хотя чего бы "традиционному VM‑у" не поддерживать все типы активов, которые в организации есть — непонятно. Да и какой-то проблемы прикрутить к VM‑у Антифишинг, если так уж хочется, тоже нет.