Первые дни нового года. Время прогнозов и пожеланий.
Мои прогнозы по Vulnerability Assessment.
- Основная информационная активность вендоров VA будет строиться вокруг громких 0day уязвимостей таким как POODLE, Heartbleed и Shellshock. Продолжится негласное соревнование вендоров кто быстрее выпустит правила детекта. Здесь есть небольшое лукавство. Раннее обнаружение уязвимости это здорово, но не совсем ясно, что делать с этой информацией конечному пользователю до момента пока патч не вышел. А когда патч вышел, правила детекта можно получить тривиальным образом на основе бюллетеня безопасности в рамках стандартного процесса обновления базы знаний. Таким образом эта активность позволяет обойти конкурентов в лучшем случае на 2-3 дня, после чего информация об этой уязвимости появятся и у остальных вендоров VA, которые никаких особых усилий для этого не прилагали.
- Будет много шума вокруг Continuos Monitoring. Информация о защищенности хостов должна быть максимально полной и актуальной. С этим не поспоришь. Спорный вопрос в том, стоит ли преподносить это как какой-то отдельный продукт или как расширение функциональности текущих продуктов. Маркетологам видней. Пока похоже, что пользователям, желающим познать блага Continuos Monitoring, придется раскошелиться еще раз.
- Рост вширь. Стремление поддерживать как можно большее количество систем. Среди больших вендоров будет актуальна поддержка облачных сервисов, в первую очередь CRM-систем. Вендоры поменьше будут стремиться закрепиться в менее конкурентных нишах, таких как поддержка АСУ ТП, специфического оборудования для телекомов и т.д. С ростом количества поддерживаемых систем становится острее вопрос оценки качества поддержки конкретной системы конкретным вендорам. Конечным пользователям стоит иметь это ввиду.
- Еще больший рост вширь. Дальнейшее сочетание в решениях Vulnerability Assessment признаков других классов, в первую очередь SIEM, APT protection, remediation management. Таким образом решения станут еще менее сравнимыми и проблема выбора для конечного пользователя усложнится. С другой стороны совсем не плохо получить больше функциональности за те же деньги.
Мои пожелания вендорам решений Vulnerability Assessment.
- Хотелось бы пожелать вендорам VA в наступившем году уделять больше внимания качеству сканирования и активнее апеллировать к качеству в конкурентной борьбе. Красивые дашборды — это здорово, но если они отображают недостоверные данные, то есть ли в них смысл? В конечном счете именно некачественно реализованное сканирование, обилие ошибок перового и второго рода, вызывает скептическое отношение к инструментальному аудиту в целом.
- Также хотелось бы пожелать большей прозрачности в представлении информации о полноте базы знаний и логике принятия решения о наличии уязвимости. Да, есть опасность выдать при этом какие-то свои know-how, но задайте себе вопрос, а согласились бы вы сами советоваться с таким Оракулом, который принципиально не хочет отвечает на вопрос "почему", и могли бы вы ему полностью доверять?
- Хотелось бы пожелать чтобы в этом году вендоры VA с большей охотой участвовали в развитии репозиториев открытого security content-а, таких как OVAL MITRE или OpenVAS NVT. В самом деле, только два небольших вендора из Индии и России регулярно участвуют в обновлении открытого OVAL-репозитория. При этом у всех вендоров есть выделенные группы экспертов и автоматизированные средства, которые выдают в результате одинаковые по содержанию проверки. Масса усилий тратится на изобретение уже изобретенного и каких-то подвижек в изменении ситуации не наблюдается.
- И, наконец, хотелось бы пожелать появления независимых объективных сравнений средств VA. И если с маркетинговой точки зрения имеется неплохой выбор сравнений (спасибо Frost & Sullivan, IDC, Gartner), то публикаций посвященных техническому сравнению продуктов практически нет. Это, вероятно, свидетельствует о все еще недостаточной зрелости рынка. Хочется надеяться, что такие сравнения могут развиться из существующих технических программ сертификации NVD SCAP, PCI ASV и CIS.