Архив метки: IDC

Что такое "Device Vulnerability Management" у IDC? Почему Device

Что такое Device Vulnerability Management у IDC? Почему Device

Что такое "Device Vulnerability Management" у IDC? Почему Device? Оно только для сетевых устройств что ли? Цисок, джуниперов, фортиков и прочих апплаенсов? 🤔

Ну на самом деле нет. 🙂 Хорошо, что в отчёте IDC есть отдельный небольшой раздел про определение рынка, который я сейчас разберу.

"Управление Уязвимостями Устройств [Device vulnerability management] включает в себя сетевые или локальные сканеры/агенты, которые сканируют серверы, рабочие станции, другие устройства и приложения для выявления уязвимостей безопасности в виде известных [known] дыр в безопасности (уязвимостей) или параметров конфигурации, которые могут быть проэксплуатированы."

То есть всё ок, "устройства" толкуют максимально широко, как практически все инфраструктурные активы. Фактически описывают таргеты как для СДУИ (Средства Детектирования Уязвимостей Инфраструктуры). Чтобы не припахать сюда ещё сканеры приложений делают акцент на "известных" уязвимостях, то есть детектировать должны в основном CVE-шки.

"Они могут

🔹 иметь доступ к устройствам с использованием учетных записей (имен пользователей и паролей)

или

🔹 предоставлять взгляд но устройство без использования учётных записей (hacker's view).

Сканеры с использованием учетных записей могут глубоко погрузиться в устройство, чтобы найти известные уязвимости, а hacker view имитирует атаки, чтобы понять, может ли устройство быть проэксплуатировано."

То есть фиксируют 2 типа сканирования: с аутентификацией и без. Замечаем, что тут довольно жёстко сформулированы типы сканов. Нет "пассивного сканирования" на основе анализа трафика или логов. Забыли или посчитали, что это тоже hacker view? Имхо, скорее забыли.

Дальше новый абзац:

"Эти сканеры анонимно ищут [search out] и обнаруживают [discover] устройства и пытаются найти известные уязвимости в целевых системах."

Это "анонимно" меня смутило. Но наверное имеется ввиду, что раз при сетевых сканированиях (PING или SYN) мы учётку не указываем, значит взаимодействуем с узлами "анонимно". Возможно они хотели подчеркнуть, что решение должно уметь детектить активные хосты и сервисы самостоятельно, а не полагаться только на интеграции. Но то, что это необязательное требование будет видно ниже.

"Всё чаще платформы управления уязвимостями устройств приоритизируют результаты сканирования (какие активы требуют первоочередного внимания) и риски организации от обнаруженных уязвимости, в случае если они не будут исправлены."

Функциональность по приоритизации активов (которая невозможна без приоритизации уязвимостей) и оценке риска эксплуатации уязвимости является желательной, но видимо необязательной.

"Сканирование уязвимостей также распространилось на устройства интернета вещей (IoT, internet of things) / промышленной автоматизации (OT, Operational technology), а также облачные контейнеры и инфраструктуру."

Набор типов активов из первого предложения здесь дополняется. Причём включаются и "эфемерные" (в терминах BOD 23-01) активы, такие как контейнеры. Весьма интересно что выше задаются 2 типа сканирования, которые вряд ли кто-то будет использовать для OT (т.к. будут смотреть по трафику) и для облачных активов (т.к. будут использовать API).

"Помимо вендоров, предлагающих сканеры, есть и другие вендоры, которые принимают [ingest] результаты работы сканеров в свои платформы, объединяют их с другими данными и определяют приоритетность проблем [issues], которые необходимо решить. Поскольку результаты сканирования уязвимостей устройств являются основой их платформы, они включены [в DVM]."

Таким образом IDC расписываются в том, что сознательно мешают разные вещи: поставщиков информации об обнаруженных уязвимостях и обработчиков этой информации. То есть в моих терминах Средства Детектирования Уязвимостей Инфраструктуры (СДУИ) и Средства Анализа Уязвимостей (САУ). Правильно ли так делать? На мой взгляд, неправильно. Когда в одном отчёте Tenable или Qualys с выдающейся экспертизой по детекту уязвимостью и Balbix, у которых её вообще нет, это выглядит странновато. 🤷‍♂️

Итого: DVM = СДУИ + САУ 😉

Вышел отчёт IDC "Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present Danger"

Вышел отчёт IDC Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present DangerВышел отчёт IDC Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present DangerВышел отчёт IDC Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present Danger

Вышел отчёт IDC "Worldwide Device Vulnerability Management Market Shares, 2022: Exposures Present a Clear and Present Danger". Выдержку можно забрать у Tenable. Отчёт интересный, с большим фокусом на эти самые "экспозиции". Буду понемногу разбирать. Начнём с цифр.

🔹 DVM - концентрированный рынок: 3 крупнейших вендора в 2022 году занимают 63,4% рынка (было 61,2% в 2021 году). Наибольшая доля снова у Tenable, далее Qualys и Rapid7. В 2022 году доля Tenable выросла до 28,7% с 27,5% в 2021 году. Вендоры за пределами TOP3 имели выручку менее 50 миллионов долларов в 2022 году.

🔹 В таблице лидеры мирового рынка DVM по выручке в 2021 и 2022 годах (с доходом от DVM не менее 20 миллионов долларов в 2022 году).

🔹 Вендоры, упомянутые в отчёте: Tenable, Qualys, Rapid7, Tanium, Skybox, ServiceNow, Venustech Group, Balbix, Fortra, Vulcan Cyber, Armis, Nucleus Security, SecPod, Hive Pro, ArmorCode, Intruder, Seemplicity, Microsoft (Defender Vulnerability Management), SentinelOne.

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tuesday
11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"
18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Linux Patch Wednesday
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"

Подъехало свежее маркетинговое чтиво от IDC MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment

Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment". Выдержку можно скачать у Tenable, правда она на 7 страничек и описание вендора там только для Tenable.

Что можно сказать, просто глядя на картинку? Глобальный расклад сил не меняется. Большая TQR тройка на месте. С другой стороны, маркетинг такой маркетинг. Опять масса компаний, решения которых к VM-у имеют опосредованное отношение. При этом нет более-менее известных игроков. Ну ладно, российских нет. Сложно было бы ожидать. 😏 Но вот Greenbone и SecPod могли бы и упомянуть. Да даже тот же самый Microsoft с Defender for Endpoint. Хорошо хоть Outpost24 есть. 😅

Тут, конечно, всегда можно попробовать заявить, что решения отсутствующих VM-вендоров недостаточно Risk-Based, но это очень сомнительная аргументация.

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC

Доли мирового (Device) Vulnerability Management рынка на 2021 год по версии IDC. Сам отчет "Worldwide Device Vulnerability Management Market Shares, 2021: The Stakes Are High" (Ставки высоки!) вышел в декабре 2022 года и вы могли насладиться этими чарующими 13 страницами уже тогда за какие-то жалкие $4,500.00. 😏 Однако Tenable начали хвастаться своим первым местом в нем только сегодня. Видимо потому, что им только сегодня разрешили выложить бесплатный отрывок, включающий разделы: резюме, доля рынка, кто повлиял на год, контекст рынка, приложение и дополнительная информация. Почитаем, порефлексируем, прокомментируем. Пока же можно констатировать то, что большая тройка не поменялась, это всё ещё: Tenable, Qualys и Rapid7. В принципе и по ощущениям оно как-то так же.