Yönetişim ve Risk Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Veri Kullanımı Merkez Aşamasına Geçerken Qualys ve Rapid7 Forrester Liderlik Sıralamasından Ayrılıyor
Michael Novinson (MichaelNovinson) •
18 Ekim 2023
Tenable, Forrester’ın güvenlik açığı risk yönetimi sıralamasında istikrarlı bir şekilde üst sıralarda yer alırken, Vulcan Cyber liderler kategorisine girerken Rapid7 ve Qualys liderlik tablosundan geriledi.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Forrester Kıdemli Analisti Erik Nost, satıcıların güvenlik açığı yönetimi sağlama yöntemlerinin son zamanlarda güvenlik açığı değerlendirme sonuçlarını almaktan ve iyileştirme önceliklerini belirlemek için risk değerlendirmeleri yapmaktan uzaklaştığını söyledi. Bunun yerine sağlayıcılar, varlık riskine ilişkin ayrıntılı bir resim sağlamak ve bunu tehdit istihbaratı ve telafi edici kontrollerle bağlamsallaştırmak için mümkün olduğu kadar çok veri almak istiyor (bkz:: İçeriden Bakış: FDA’nın Tıbbi Cihazlar için Siber İnceleme Süreci).
Nost, “Güvenlik açığı yönetimini nasıl yürüteceğimize dair düşüncelerimiz kesinlikle oldukça değişti” dedi. “Bu satıcılar gerçekten de, varlık odaklı bir önceliklendirme risk tablosu sağlamak için ellerinden geldiğince fazla veri arıyor.”
Güvenlik açığı risk yönetimi Forrester Wave, 2019 sonbaharından itibaren sürümün yerini aldı. Tenable bir kez daha en yüksek strateji sıralamasını aldı. Vulcan Cyber, Microsoft’u ikinci en yüksek puanla geride bırakırken NopSec ve Rapid7 de dördüncü en yüksek puanla berabere kaldı. Bu, Tenable’ın en yüksek puan için Qualys’i az farkla yendiği ve Rapid7’nin Kenna Security’yi üçüncü olarak az farkla yendiği 2019’un aksine.
Nost, Vulcan Cyber’ın Ar-Ge ekiplerinin çalışmalarını oyunlaştırarak ve küçük ve orta ölçekli müşterilerin ilgisini artırmak için ürünlerinin ücretsiz bir versiyonunu sunarak güvenlik açığı risk yönetimi pazarına güçlü bir inovasyon kültürü getirdiğini söyledi. Qualys, Rapid7 ve Tenable, üçüncü taraf verilerinin alınması konusunda hala arayı kapatıyor ve Nost, bunun Vulcan ve Nucleus Security için fırsatlar yarattığını söyledi.
“Bu satıcılar gerçekten ellerinden geldiğince fazla veri arıyorlar.”
– Erik Nost, kıdemli analist, Forrester
Tenable ayrıca mevcut güvenlik açığı risk yönetimi platformu için Forrester’dan en yüksek puanı alırken, Balbix, Vulcan Cyber ve Brinqa sırasıyla ikinci, üçüncü ve dördüncü en yüksek sıralamayı aldı. 2019’da Tenable, mevcut en yüksek teklif sıralamasında Rapid7’yi geride bıraktı ve Digital Defense, NopSec ve Qualys sırasıyla üçüncü, dördüncü ve beşinci en yüksek puanları aldı.
Nost, Vulcan, Nucleus ve Brinqa gibi şirketlerin sağlayabileceği girdi ve üçüncü taraf entegrasyonlarının genişliğinden yoksun olmasına rağmen Tenable’ın, OT ve bulut güvenliği gibi pazarlara girmek için stratejik birleşme ve satın almalardan yararlanarak bütünsel bir teklif oluşturduğunu söyledi. Tenable’ın güvenlik açığından risk yönetimine geçişine, yerel çözümler kapsamında daha geniş bir kapsam eşlik etti.
Liderlerin dışında Forrester’ın güvenlik açığı risk yönetimi pazarını nasıl gördüğü şöyle:
- Güçlü Performans Gösterenler: Microsoft, Brinqa, Balbix, NopSec, Rapid7, Qualys
- Yarışmacılar: Cisco, Nucleus Güvenliği, Skybox Güvenliği
Gelecekte güvenlik açıklarının tanımı, politika ihlallerini veya SBOM analizi yoluyla ortamda bulunmasına izin verilmeyen kabul edilemez kitaplıkları içerecek şekilde genişleyecektir. Nost ayrıca, güvenlik açığı yönetimi sağlayıcılarının risk puanları konusunda daha fazla özelleştirmeye izin vereceğini ve saldırı yüzeyi yönetimi satıcılarının sunduklarına benzer şekilde tek bir cam görünümü sağlayan toplu bir platform oluşturacağını söyledi.
Nost, “Klasik güvenlik açığı risk yönetimi çözümleri yazılımdaki güvenlik açıklarını tespit ediyordu” dedi. “OT ve IoT’nin çok farklı kullanım durumları ve bunlarla ilişkili farklı türde riskleri var; bunların bu platformda giderek daha fazla ortaya çıktığını göreceğinizi düşünüyorum.”
Güvenlik Açığı Yönetimi Liderleri Nasıl Zirveye Çıktı?
| Firma Adı | Kazanma | Miktar | Tarih |
|---|---|---|---|
| savunulabilir | Bit Keşfi | 43,8 Milyon Dolar | Haziran 2022 |
| savunulabilir | Belirti | 23 Milyon Dolar | Şubat 2022 |
| savunulabilir | Alsit | 98,5 Milyon Dolar | Nisan 2021 |
| Vulkan Siber | Hiçbiri | Yok | Yok |
Kimliğe Sağlam Bakış, Daha İyi Önceliklendirmek için Erişim
Tenable, güvenlik açıklarını etkili bir şekilde önceliklendirmek için CVE puanının ötesinde ihtiyaç duyulan bağlamı sağlamak amacıyla her kuruluşa özgü birden fazla değişkene bakıyor, dedi Baş Teknoloji Sorumlusu Glen Pendley. Pendley, CVE puanının sistem yöneticileri ile giriş seviyesi çalışanlar arasında ayrım yapmadığını ve hangi çalışanın onları kullandığına bağlı olarak bazı makinelerin diğerlerinden daha riskli olduğunu dikkate almadığını söyledi.
Columbia, Maryland merkezli şirket, bir makineyi kimin kullandığını cihazda bulunan güvenlik açıklarına bağlamak için kimlik ve erişim kontrol düzlemini denetlemeye odaklandı; Pendley, bunun insanların önceliklendirmeye bakış açısını temelden değiştirdiğini söyledi. Tenable, hem internete yönelik varlıklarda daha fazla görünürlük elde etmeye hem de saldırı yüzeyi yönetimi yoluyla neler olup bittiğini programlı bir şekilde söylemek için gerekli bağlamı elde etmeye odaklandı (bkz: Tenable, Bulutları Korumak İçin Startup Ermetic’i 265 Milyon Dolara Satın Alacak).
Pendley, ISMG’ye şöyle konuştu: “Çözmeye ve hesaba katmaya çalışmak istediğimiz yeni ve alışılmışın dışında kullanım durumları varsa, sistemle etkileşim şeklimizi değiştirme konusunda dünyada her türlü yeteneğe sahibiz.” “Bizi yenilik yapmaya devam etmekten alıkoyan hiçbir şey yok çünkü denklemin her iki tarafını da kontrol ediyoruz… Piyasadaki en iyi güvenlik açığı yönetimi verilerine sahip olduğumuz yaygın olarak biliniyor.”
Forrester, Tenable’ı puanlama konusunda sezgisel şeffaflıktan ve kişiselleştirmeden yoksun olduğu için eleştirdi. Pendley, Tenable’ın şirketin puanını oluşturmak için hangi kriterleri kullandığı konusunda daha şeffaf olmak, belirli bir güvenlik açığının neden öncelikle ele alınması gerektiğini niteliksel olarak açıklamak ve müşterilerin kıyaslama veya derecelendirme amacıyla kendi puanlama sistemlerini uygulamalarına izin vermek istediğini söyledi.
Pendley, “Bugün çoğu şey sadece ‘İşte bir sayı. Skoru bulduk. Bize güvenin, işte burada'” dedi. “Bu, üretken yapay zekanın, kriterlere ve makine öğrenimi perspektifinden programlı olarak yaptığını bildirdiğimiz şeylere dayalı olarak dinamik olarak bir açıklama üreterek gerçekten çok yardımcı olabileceği yerdir.”
Vulcan Cyber, Risk Puanlamasına Saldırgan Perspektifini Getiriyor
Kurucu ortak ve Baş Teknoloji Sorumlusu Roy Horev, Vulcan Cyber’in kuruluşların kaynaklarını risk azaltma perspektifinden en büyük etkiyi yaratacak sorunlara odaklamalarını sağlamak için risk önceliklendirmenin yanı sıra izleme ve raporlamayı da vurguladığını söyledi. Saldırı yolu grafiğinin, bir saldırganın, silolanmış bir güvenlik açığını nasıl alıp organizasyon içinde geçiş yapmak için kullanabileceğine dair hikayeyi anlattığını söyledi.
Horev, şirketin güvenlik açığına risk puanı vermenin ötesine geçmek ve bunun yerine saldırganların bir kuruluşun en önemli değerlerine ulaşamamasını sağlayacak tutarlı bir hikaye oluşturmak istediğini söyledi. Vulcan, sahiplik sorununa iki kez tıkladı; çünkü biletler yalnızca sistemdeki varlıklarla korelasyon gerektiren, hangi güvenlik açıklarının düzeltilmesinden hangi kişilerin sorumlu olduğunun açık olması durumunda otomatikleştirilebiliyor (bkz.: Güvenlik açıklarıyla niceliksel olarak değil niteliksel olarak mücadele etmek).
“Kuruluşlarının farklı alt kümeleri veya farklı alanları için farklı araçlar seçen kuruluşlar görüyorsunuz. Hatta aynı tür varlıklar için bunu yaptıklarını da görüyoruz.” Horev dedi. “Bunun onların güvenlik açığı alanını her zaman %100 kapsamasını önleyeceğine inanıyoruz. Bunun Tenable’a karşı en büyük farkımız olacağını düşünüyorum.”
Forrester, Vulcan Cyber’i rakiplerinin yaptığı varlık türlerinin derinliğini yerel olarak desteklemediği için eleştirdi. Horev, 2024’ün başlarında Vulcan’ın, şirketin yeni alanlara odaklanmak veya yeni alan adlarını takip etmek zorunda kalmadan, ortaya çıktıkça yeni siber alan adlarına hızlı bir şekilde erişmesine olanak tanıyacak yetenekleri kullanıma sunacağını söyledi.
Horev, “Platformun şu anda veya gelecekte karşımıza çıkacak her türlü varlığı ele alacak kadar esnek olmasını hedefliyoruz çünkü siber alanın gelişmeye devam ettiğini biliyoruz” dedi. “Güvenlik ekibinin yönettiği güvenlik açıklarını ve bulguları %100 desteklemeyi hedefliyoruz.”