Vulnerability Assessment 2015

Первые дни нового года. Время прогнозов и пожеланий. 

Мои прогнозы по Vulnerability Assessment.

1. Основная информационная активность вендоров VA будет строиться вокруг громких 0day уязвимостей таким как POODLE, Heartbleed и Shellshock. Продолжится негласное соревнование вендоров кто быстрее выпустит правила детекта. Здесь есть небольшое лукавство. Раннее обнаружение уязвимости это здорово, но не совсем ясно, что делать с этой информацией конечному пользователю до момента пока патч не вышел. А когда патч вышел, правила детекта можно получить тривиальным образом на основе бюллетеня безопасности в рамках стандартного процесса обновления базы знаний. Таким образом эта активность позволяет обойти конкурентов в лучшем случае на 2-3 дня, после чего информация об этой уязвимости появятся и у остальных вендоров VA, которые никаких особых усилий для этого не прилагали.
2. Будет много шума вокруг Continuos Monitoring. Информация о защищенности хостов должна быть максимально полной и актуальной. С этим не поспоришь. Спорный вопрос в том, стоит ли преподносить это как какой-то отдельный продукт или как расширение функциональности текущих продуктов. Маркетологам видней. Пока похоже, что пользователям, желающим познать блага Continuos Monitoring, придется раскошелиться еще раз. 
3. Рост вширь. Стремление поддерживать как можно большее количество систем. Среди больших вендоров будет актуальна поддержка облачных сервисов, в первую очередь CRM-систем. Вендоры поменьше будут стремиться закрепиться в менее конкурентных нишах, таких как поддержка АСУ ТП, специфического оборудования для телекомов и т.д. С ростом количества поддерживаемых систем становится острее вопрос оценки качества поддержки конкретной системы конкретным вендорам. Конечным пользователям стоит иметь это ввиду.
4. Еще больший рост вширь. Дальнейшее сочетание в решениях Vulnerability Assessment признаков других классов, в первую очередь SIEM, APT protection, remediation management. Таким образом решения станут еще менее сравнимыми и проблема выбора для конечного пользователя усложнится. С другой стороны совсем не плохо получить больше функциональности за те же деньги. 

Мои пожелания вендорам решений Vulnerability Assessment.

1. Хотелось бы пожелать вендорам VA в наступившем году уделять больше внимания качеству сканирования и активнее апеллировать к качеству в конкурентной борьбе. Красивые дашборды — это здорово, но если они отображают недостоверные данные, то есть ли в них смысл? В конечном счете именно некачественно реализованное сканирование, обилие ошибок перового и второго рода, вызывает скептическое отношение к инструментальному аудиту в целом.
2. Также хотелось бы пожелать большей прозрачности в представлении информации о полноте базы знаний и логике принятия решения о наличии уязвимости. Да, есть опасность выдать при этом какие-то свои know-how, но задайте себе вопрос, а согласились бы вы сами советоваться с таким Оракулом, который принципиально не хочет отвечает на вопрос "почему", и могли бы вы ему полностью доверять?
3. Хотелось бы пожелать чтобы в этом году вендоры VA с большей охотой участвовали в развитии репозиториев открытого security content-а, таких как OVAL MITRE или OpenVAS NVT. В самом деле, только два небольших вендора из Индии и России регулярно участвуют в обновлении открытого OVAL-репозитория. При этом у всех вендоров есть выделенные группы экспертов и автоматизированные средства, которые выдают в результате одинаковые по содержанию проверки. Масса усилий тратится на изобретение уже изобретенного и каких-то подвижек в изменении ситуации не наблюдается.
4. И, наконец, хотелось бы пожелать появления независимых объективных сравнений средств VA. И если с маркетинговой точки зрения имеется неплохой выбор сравнений (спасибо Frost & Sullivan, IDC, Gartner), то публикаций посвященных техническому сравнению продуктов практически нет. Это, вероятно, свидетельствует о все еще недостаточной зрелости рынка. Хочется надеяться, что такие сравнения могут развиться из существующих технических программ сертификации NVD SCAP, PCI ASV и CIS.