На какие вопросы должен ответить Vulnerability Intelligence. Допустим у нас есть трендовая уязвимость, о которой все пишут. Вот я посмотрел в свой автоматический канал с новостями @avleonovnews, сегодня пишут про code injection в Citrix NetScaler ADC и RCE в Apache OpenMeetings. От Vulnerability Intelligence решения хочется ответы на следующее:

1. У нас этот уязвимый продукт вообще используется? А где именно? И не только в проде, не только в HQ, во всех дочерних компаниях и т.д.
2. Можем мы получить полный список потенциально уязвимых активов? Что нужно сделать, чтобы его получить?
3. Все эти потенциально уязвимые активы покрыты VM-ом? Что нужно сделать, чтобы были покрыты все?
4. Наш VM умеет детектировать уязвимости для таких продуктов и детектируется ли эта конкретная уязвимость? Как будем детектить эту уязвимость, если нет (альтернативные утилиты, вручную и т.д.)?

Иными словами, делать все те базовые вещи, обеспечивающие адекватность VM-а.

Зачем нужен Vulnerability Intelligence, если уже есть Vulnerability Management? Затем, что в вашем VM-е всегда будут не все уязвимости, которые по факту есть в вашей инфраструктуре 😏:

1. VM охватывает не все активы, потому что зачастую покрытие VM-ом как-то специально не контролируется. Или контролируется только в рамках каких-то конкретных типов хостов (Windows десктопы/серверы, Linux серверы, Cisco и т.д.), а в реальности инфраструктура оказывается гораздо разнообразнее.
2. Возможности VM-решений по детектированию уязвимостей ограничены. В лучшем случае вы получите от вендора список поддерживаемых ОС/продуктов/устройств, но достаточно ли этого для вашей инфраструктуры кроме вас никто не скажет. Скорее всего недостаточно и где-то ваше VM-решение детектировать уязвимости не сможет. Или детекты уязвимостей будут появляться с задержкой (если генерация детектов не автоматизирована полностью).

Vulnerability Intelligence должен эти проблемы подсветить и компенсировать.