Вчера Qualys представили Cyber­Se­cu­ri­ty Asset Man­age­ment 3.0. В названии решения значится "Asset Man­age­ment", но само решение сразу презентуется нам как "переопределение управления поверхностью атаки" , т.е. EASM. Такая вот гартнеровская маркетинговая мешанина. 🤷‍♂️ При этом, у Qualys действительно достаточно необычный Asset Man­age­men­tи и EASM. И необычно как они к этому пришли. Тут, естественно, исключительно мои впечатления как стороннего наблюдателя, никакого инсайда у меня нет.

🔹 В 2020 году Qualys представили решение Glob­al AssetView. Если упрощённо, то пользователи могли бесплатно раскатать облачные агенты Qualys на известные в инфре хосты, развернуть Qualys Pas­sive Sen­sor для поиска неизвестных активов по трафику и получить некоторое базовое представление о составе инфры и её состоянии (без расчета уязвимостей). Такое Freemi­um предложение, с которого можно было бы удобно апселить основную функциональность Vul­ner­a­bil­i­ty Man­age­ment и Com­pli­ance Man­age­ment. Ход весьма и весьма смелый.

🔹 В 2021 году как развитие Glob­al AssetView появился продукт Cyber­Se­cu­ri­ty Asset Man­age­ment. Это уже был заход в полноценное Управление Активами: двусторонняя синхронизация с CMDB Ser­vi­ceNow, учёт критичности активов, учёт ПО, оценка поверхности атаки при помощи Shodan (последнее тогда не особенно подчёркивали). Насколько я могу понять, изначальная цель CSAM была в том, чтобы отслеживать кейсы, которые влияют на безопасность активов, но уязвимостями, строго говоря, не являются: shad­ow IT, хосты с подходящими end-of-life (EoL)-of-support (EoS), хосты без установленных EDR, рискованные порты опубликованные в Интернет, мисконфигурации софта и сервисов.

🔹 В 2022 Qualys выпустили Cyber­Se­cu­ri­ty Asset Man­age­ment 2.0 с интегрированным решением по контролю внешней поверхности атаки (EASM). Сама идея, что EASM можно развивать и продавать в рамках решения по Управлению Активами весьма необычная. Но логика в этом есть. Уменьшение поверхности атаки это не про то, что нужно пропатчить тот или иной торчащий наружу сервер, а про то, что какого-то торчащего наружу старья вообще не должно быть ("if an exter­nal­ly fac­ing asset or its con­fig­u­ra­tion is not nec­es­sary for the busi­ness, then it should be shut down"). И вот с этой точки зрения EASM это действительно не столько периметровый сканер, сколько хитрая штуковина, которая накидывает неочевидные активы, с некоторой вероятностью относящиеся к компании, и показывает риски с ними связанные. 🐇 🎩 Часть управления активами? Ну видимо да.

Таким образом, насколько я понимаю, сейчас у Qualys есть VMDR (Vul­ner­a­bil­i­ty Man­age­ment, Detec­tion and Response), который включает в себя CSAM (Cyber­Se­cu­ri­ty Asset Man­age­ment ), который включает в себя EASM (Exter­nal Attack Sur­face Man­age­ment). Такая вот матрёшка. 🪆

А что же в версии CSAM 3.0?

🔻 Убрали упоминания Shodan. "CSAM 3.0 использует новую систему оценки атрибуции и расширяет использование технологий с открытым исходным кодом и собственного интернет-сканера для обеспечения точного обнаружения, атрибуции и оценки уязвимостей" . При атрибуции актива отображаются показатели достоверности (можно по ним фильтровать).

🔻Используются возможности детектирования активов Cloud Agent Pas­sive Sens­ing (хостовые агенты, снифающие трафик — я о них уже писал)

🔻Коннекторы для интеграции с источниками данных об активах (анонсированы коннекторы для Active Direc­to­ry и BMC Helix). Видимо раньше интеграции с AD не было. 🤷‍♂️