Не сканер детектирует уязвимости, а VM-щик детектирует уязвимости с помощью сканера. Такая вот невероятно глубокая мысль. 🙂 Сканер уязвимостей это просто инструмент. Если этот инструмент не выполняет заявленные функции, это не снимает ответственность с того, кто этот инструмент закупил и использует.
Представим ситуацию: сканер фолснегативил при детекте уязвимости, через неё поломали организацию. VM-щик бежит с претензией к VM-вендору. После боданий, если получилось доказать проблему, вендор извиняется и выпускает обновлённый детект. И всё. А из-за этой уязвимости возможно всю инфру пошифровали. 🤷♂️ И кто в этой ситуации будет крайним и будет иметь бледный вид?
Пока нет обязательной сертификации VM-решений, предъявляющей требования к детектированию уязвимостей, и/или ответственности за некачественный детект, оценка качества работы решений целиком лежит на клиенте. И, к сожалению, делать это нужно не только перед закупкой, но и в течение всего периода эксплуатации.
Уведомление: Базовая Оценка Состояния Процесса Управления Уязвимостями (БОСПУУ) | Александр В. Леонов
Уведомление: Ещё немного про то, что не все сканеры одинаково хороши | Александр В. Леонов
Уведомление: А можно мне, пожалуйста, не заниматься оценкой адекватности средств детектирования уязвимостей? | Александр В. Леонов