Mаппинг сегментов рынка по анализу защищённости от Gart­ner на мои группы VM-продуктов (2/2)

📌 Dig­i­tal risk pro­tec­tion ser­vice (DRPS).

"Gart­ner defines DRPS as “a com­bi­na­tion of tech­nol­o­gy and ser­vices in order to pro­tect crit­i­cal dig­i­tal assets and data from exter­nal threats. These solu­tions pro­vide vis­i­bil­i­ty into the open (sur­face) web, social media, dark web, and deep web sources to iden­ti­fy poten­tial threats to crit­i­cal assets and pro­vide con­tex­tu­al infor­ma­tion on threat actors, their tools, tac­tics, and process­es for con­duct­ing mali­cious activ­i­ty.”

Сейчас фактически это дополнительная функциональность Средств Детектирования Уязвимостей Сетевого Периметра (СДУСП).

📌 Con­tin­u­ous Threat Expo­sure Man­age­ment (CTEM)

"Gart­ner defines CTEM as a set of process­es and capa­bil­i­ties that enable enter­pris­es to con­tin­u­al­ly eval­u­ate the acces­si­bil­i­ty, expo­sure and exploitabil­i­ty of their dig­i­tal and phys­i­cal assets.

In short, CTEM is the cen­ter that informs gov­er­nance, risk and com­pli­ance (GRC) man­dates. Using CTEM, you can build mature, strate­gic secu­ri­ty con­trols with detec­tion and response capa­bil­i­ties that are always aligned with the business’s risk appetite."

Честно говоря, это "expo­sure" меня люто бесит. Более размытого и бессмысленного термина в мире ИБ найти сложно. Когда начинают затирать про "cyber expo­sure" или "threat expo­sure", я расцениваю это как 100% признак, что вендору нечего показать и остаётся только прятаться под завесой неконкретных слов и концепций. К "Ten­able — The Expo­sure Man­age­ment Com­pa­ny" это также относится. Но это тема для отдельного поста. Здесь же можно сказать, что любой способ анализа уязвимостей и инфраструктуры, который они смогут придумать, вполне ляжет в Средства Анализа Уязвимостей (САУ).

В общем, при желании все эти Gart­ner-овские придумки можно вполне успешно по моим группам VM-продуктов разложить. Не понимаю зачем Gart­ner заводит по аббревиатуре чуть ли не на каждую высокоуровневую фичу. Ну если не брать вариант, что они так каждому более-менее крупному вендору-спонсору могут выдать по отдельному сегменту и нарисовать его там стопроцентным уникальным лидером. 🙂

Часть 1

Mаппинг сегментов рынка по анализу защищённости от Gart­ner на мои группы VM-продуктов (1/2)

Алексей Лукацкий снова поднял тему моих аббревиатур для групп VM-продуктов и привёл перечень сегментов рынка по анализу защищённости от Gart­ner. Задачи полностью импортозаместить гартнеровские термины у меня никогда не было и я к этому не призывал. Я хотел только карту отечественных VM-вендоров более-менее адекватную нарисовать. Но за любое упоминание и буст канала всегда спасибо! 😊 Раз на то пошло, попробовал сделать маппинг этих Gart­ner-овских сегментов рынка на мои группы VM-продуктов.

📌 Vul­ner­a­bil­i­ty Assess­ment (VA)

"The vul­ner­a­bil­i­ty assess­ment (VA) mar­ket is made up of ven­dors that pro­vide capa­bil­i­ties to iden­ti­fy, cat­e­go­rize and man­age vul­ner­a­bil­i­ties. These include unse­cure sys­tem con­fig­u­ra­tions or miss­ing patch­es, as well as oth­er secu­ri­ty-relat­ed updates in the sys­tems con­nect­ed to the enter­prise net­work direct­ly, remote­ly or in the cloud."

Довольно "резиновый" сегмент, т.к. не определяются методы детекта, виды активов, функциональность по анализу. В моих терминах решения из этого сегмента попадут в Средства Детектирования Уязвимостей Инфраструктуры (СДУИ), если они сами детекты уязвимостей делают, или Средства Анализа Уязвимостей (САУ), если позволяют анализировать уязвимости из сторонних источников.

📌 Exter­nal attack sur­face man­age­ment (EASM)

"Exter­nal attack sur­face man­age­ment (EASM) refers to the process­es, tech­nol­o­gy and man­aged ser­vices deployed to dis­cov­er inter­net-fac­ing enter­prise assets and sys­tems and asso­ci­at­ed vul­ner­a­bil­i­ties which include exposed servers, cre­den­tials, pub­lic cloud ser­vice mis­con­fig­u­ra­tions, deep dark web dis­clo­sures and third-par­ty part­ner soft­ware code vul­ner­a­bil­i­ties that could be exploit­ed by adver­saries."

Здесь полное соответствие Средствам Детектирования Уязвимостей Сетевого Периметра (СДУСП).

📌 Cyber asset attack sur­face man­age­ment (CAASM)

"Cyber Asset Attack Sur­face Man­age­ment (CAASM) is an emerg­ing tech­nol­o­gy that focused on pre­sent­ing a uni­fied view of cyber assets to an IT and secu­ri­ty team. […] In order to detect assets con­tain­ing out­dat­ed soft­ware, mis­con­fig­u­ra­tions, and oth­er vul­ner­a­bil­i­ties CAASM tools use API inte­gra­tions to con­nect with exist­ing data sources of the orga­ni­za­tion."

Это дополнительная функциональность по учету информации об активах в Средствах Анализа Уязвимостей (САУ). Т.к. подчеркивается, что интеграция с другими системами через API, проблем с добавлением сторонних уязвимостей быть не должно.

📌 Breach and attack sim­u­la­tion (BAS)

"Breach and Attack Sim­u­la­tion (BAS) Tools enable orga­ni­za­tions to gain a deep­er under­stand­ing of secu­ri­ty pos­ture vul­ner­a­bil­i­ties by automat­ing test­ing of threat vec­tors such as exter­nal and insid­er, lat­er­al move­ment, and data exfil­tra­tion."

Если есть возможность добавлять сторонние уязвимости, то это дополнительная функциональность по построению цепочек атак в Средствах Анализа Уязвимостей (САУ), если нет, то дополнительная функциональность в Средствах Детектирования Уязвимостей Инфраструктуры (СДУИ).

📌 Vul­ner­a­bil­i­ty pri­or­i­ti­za­tion tech­nol­o­gy (VPT)

Упоминается только в одном документе как обозначение для решений, которые сами уязвимости не детектируют, но занимаются только приоритизацией. В таком описании соответствуют Средствам Анализа Уязвимостей (САУ).

📌 Pen­e­tra­tion and test­ing as a ser­vice (PTaaS)

Описания на сайте Gartner‑а не нашел. Всё, что я видел, сводилось к периметровым сервисам с ручной валидацией. Поэтому пока выглядит как дополнительная функциональность Средств Детектирования Уязвимостей Сетевого Периметра (СДУСП).

📌 Auto­mat­ed pen­test­ing and red team­ing (а тут аббревиатуру пока не придумали)

Описания у Gart­ner в свободном доступе не нашел. Если эта штука будет касаться не только периметра, но и внутренней инфраструктуры, то будет похоже на продвинутый BAS и также можно будет уложить в Средства Анализа Уязвимостей (САУ) или Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) в зависимости от возможности добавлять сторонние уязвимости.

Часть 2