【笔记】Qualys Security Conference 2019

Qualys 是脆弱性管理领域的国际大厂，和 Rapid 7、Tenable 各有千秋，但每年在 RSAC 上的风头可是比同类任何一家都要牛。从这次大会来看，很多内容我在脆弱性管理方面的观点类似。

• 对脆弱性处理的优先级排序是一大难点。既需要修复，又不能眉毛胡子一把抓，而目前的 CVSS 分数基本只能看看笑笑别无他用。
• 通过数据和图计算，找出攻击路径/暴露面，在脆弱性管理这个领域是一个比简单测绘来说更切实际的一条路。

其实这上面的观点也没什么特别，之前和不少同事/朋友简单聊过，也观察到不少业内朋友都关注到了。例如：安全喷子 的 《 漏洞管理新说 》 ；zwell 的《网络空间测绘的生与死（一）》和《网络空间测绘的生与死（二）》 。

我更想强调的是：目前 Qualys 谈到的这些内容更多是“二层楼”的事情，其实关键在于完整、准确的资产数据，以及准确有效的漏洞情报信息。而国内大多数企业/组织在这个领域还需要有更坚实的“一层楼” —— 至少资产数据要完整、准确吧。千万不要认为看到互联网上有主管单位或各厂家标着“高危”、“紧急”之类的漏洞情报，发文要求打补丁就是管理体系。能不能结合自己的业务，判断紧迫度、平衡补丁对业务的影响以及安全风险，并把这些工作融入到 IT 基础设施和应用的整个运行中，这才是形成可靠的 漏洞/脆弱性/暴露面/攻击路径 管理体系的基础。

站在“十四五”启动的当下，建议大家把 “二层楼” 的事情当成旗舰项目，通过引领和牵引推动更多“一层楼”的基础建设。而不要光顾“二层楼”，那就忘记初心、本末倒置了。光修二层楼，迟早会这样的 ……

不扯了，说说大会吧 ……

一、大会主要内容

Qualys 认为现有安全生态中的人、流程、工具都是互相隔离的“烟囱”，而计算环境的变化给整个安全行业带来了变化和挑战。Qualys 认为未来的安全市场很可能会形成大企业、云服务商、新一代的 MSSP、IoT 和 OT 供应商等几个细分市场。原有的企业安全厂商会遇到安全架构变革、渠道变革、买家变化、商业模式变革四大挑战。因此，Qualys 提出了 VMDR（Vulnerability Management, Detection & Response） 把漏洞管理带入下一个层次。多个单点产品的集成工作量会非常复杂，而且无法提供完整的上下文信息；而目前基于 SIEM 增加或扩展 UEBA 和 AI/ML 技术也不能让检测结果更加可信。因此，Qualys 期望通过提供单一的云平台来支持 IT 团队、DevOps 团队、安全团队、合规团队，提供前所未有的具有丰富上下文信息的实时可视、检测、自动化和响应的能力。

当然，所谓的计算环境的变化，并不是 Qualys 自己拍脑袋的，也是通过 451Research 这家调研公司调研得来的（IBM、Redhat、HP、…… 公司都用过这家公司的调研数据，在美国还有一些名气）。

Qualys 认为可以通过 “网络可达性 + 资产安全态势” 发现攻击路径，并且通过攻击路径来调整漏洞和补丁管理的优先级，优化防御态势（优先给攻击路径中关键节点打补丁）；也可以通过攻击路径来提高检测和响应的效率（优先分析攻击路径中的关键主机）。

同样，Qualys 也认为必须通过 DevOps 把安全集成到 IT 中，并且通过编排工具来提供自动化的效果。

二、Qualys 客户发言

大部分客户讲的还是自己的实践总结，其中一个客户讲了漏洞管理的演进路线。

三、资料

• 链接: https://pan.baidu.com/s/1YiRHv5omTZd8VU2AWUE4WA
• 提取码: nmgw