網(wǎng)絡(luò)安全漏洞管理簡單來說就是一個識別、分析、補救或緩解和報告系統(tǒng)與軟件安全威脅的過程。漏洞評估需要定期進行，以評估現(xiàn)有的安全狀況，以及漏洞管理計劃是否需要更改。

開展全面且持續(xù)的漏洞管理工作，對于企業(yè)組織改善數(shù)字化應(yīng)用安全狀況，降低潛在風(fēng)險，并保持?jǐn)?shù)字資產(chǎn)的完整性和可信度至關(guān)重要。在此過程中，企業(yè)組織除了需要遵循漏洞管理的最佳實踐，還需要借助新一代的智能化漏洞管理工具和解決方案。本文收集整理了當(dāng)前市場上應(yīng)用熱度較高的10款智能化漏洞管理工具（解決方案），并對其主要應(yīng)用特點進行了分析。

1、Qualys

Qualys是一款基于云的漏洞管理和評估解決方案，擁有較為廣泛的漏洞管理功能，包括資產(chǎn)發(fā)現(xiàn)、漏洞掃描和報告，同時在可擴展性和集成功能方面也有較好表現(xiàn)。

圖片

產(chǎn)品特點：

• 漏洞識別：查明并管理各平臺上的漏洞。
• 資產(chǎn)管理：發(fā)現(xiàn)和清點從服務(wù)器等硬件到軟件組件的IT資產(chǎn)。
• 實時監(jiān)控：持續(xù)洞察IT資產(chǎn)的安全狀態(tài)。
• 快速補救：有效地處理威脅。
• 資產(chǎn)監(jiān)管：在整個生命周期中管理漏洞。
• 用戶界面：清晰準(zhǔn)確的界面，誤報較少。

主要缺點：

• Qualys的許多功能需要另購許可證才能使用。
• 掃描結(jié)果存在延遲，檢索掃描結(jié)果用時長。
• 一些用戶反饋在客戶支持質(zhì)量方面需要提升。

傳送門：https://www.qualys.com/

2、Rapid7 InsightVM

Rapid7 InsightVM是一款基于云的現(xiàn)代化漏洞管理工具，旨在提供掃描、監(jiān)控、報告和修補服務(wù)，與各種端點安全工具集成，以滿足中小企業(yè)的需求。該平臺強調(diào)風(fēng)險優(yōu)先級確定，可以外包的托管服務(wù)方式提供給中小型企業(yè)組織使用。

圖片

產(chǎn)品特點：

• 通過可定制的控制界面實時查看風(fēng)險。
• 整合的威脅情報，并與McAfee、CyberArk和Palo Alto等安全解決方案集成。
• 可以進行資產(chǎn)分組，實現(xiàn)風(fēng)險的優(yōu)先級確定和逐步修補指導(dǎo)。
• 擁有漏洞例外功能，允許企業(yè)注意可接受的風(fēng)險。
• 可以作為托管服務(wù)來訪問，面向缺乏廣泛安全專業(yè)知識的團隊。

主要缺點：

• 成本高昂，價格取決于資產(chǎn)數(shù)量。
• 存在誤報的情況，移除設(shè)備有難度。
• 數(shù)據(jù)庫的穩(wěn)定性受到一定質(zhì)疑，一些用戶稱丟失了大量數(shù)據(jù)。

傳送門：https://www.rapid7.com/products/insightvm/

3、Tenable

Tenable是一款基于云的漏洞管理工具，強調(diào)基于風(fēng)險來檢測和管理網(wǎng)絡(luò)、網(wǎng)站和應(yīng)用程序上的漏洞。它可以提供實時漏洞洞察能力，利用威脅情報根據(jù)嚴(yán)重程度和潛在影響對漏洞進行分類和優(yōu)先級確定。

圖片

產(chǎn)品特點：

• 可以對云資產(chǎn)進行持續(xù)監(jiān)控和評估。
• 能夠根據(jù)威脅情報和嚴(yán)重程度為漏洞確定優(yōu)先級。
• 可以與AWS、Splunk和ServiceNow等第三方工具集成，確保應(yīng)用合規(guī)，并針對最佳實踐進行基準(zhǔn)測試。
• 全面洞察組織整個IT環(huán)境，擁有較強大的CVE和安全配置支持。
• 可以使用機器學(xué)習(xí)自動化來分析眾多威脅。
• 能夠簡化初始設(shè)置和預(yù)定義模板的可用性，以便資產(chǎn)評估和審計。

主要缺點：

• 許多基本功能藏在收費墻后面。
• 用戶界面的靈活性和易用性較差。
• 客戶支持獲得了一些負(fù)面反饋，定價體系可能無法吸引所有用戶。

傳送門：https://www.tenable.com/

4、GFI Languard

GFI LanGuard是一款適用于為網(wǎng)絡(luò)安全運營提供支撐的企業(yè)漏洞掃描、補丁管理和網(wǎng)絡(luò)審計解決方案。它擅長自動檢測網(wǎng)絡(luò)資產(chǎn)，監(jiān)控資產(chǎn)漏洞，并集中打補丁或單個設(shè)備上打補丁。

圖片

產(chǎn)品特點：

• 全面的補丁管理功能，包括補丁回滾。
• 內(nèi)置漏洞評估數(shù)據(jù)庫，可掃描60000多個已知漏洞。
• 支持各種虛擬機，包括發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備的資產(chǎn)。
• 強大地網(wǎng)絡(luò)設(shè)備資產(chǎn)發(fā)現(xiàn)功能，如路由器、交換機和虛擬機。
• 定期更新漏洞評估數(shù)據(jù)庫，確?？梢苑婪蹲钚峦{。

主要缺點：

• 缺少強大的風(fēng)險評分和優(yōu)先級確定功能。
• 對于大型企業(yè)用戶缺少定制化支持能力。
• 自動發(fā)現(xiàn)和主動監(jiān)控功能對專業(yè)性要求較高，對于一些用戶來說使用難度較大。

傳送門：https://www.gfi.com/products-and-solutions/network-security-solutions/languard

5、Intruder

Intruder是一款基于云的智能化漏洞管理解決方案，旨在主動識別和修復(fù)網(wǎng)絡(luò)系統(tǒng)中的各類安全漏洞。該平臺可自動化識別漏洞，提供實時的安全性警報，并根據(jù)優(yōu)先級提出補救策略。

產(chǎn)品特點：

• 可以開展持續(xù)安全掃描，識別數(shù)字資產(chǎn)的漏洞。
• 具備響應(yīng)式監(jiān)控能力，可在檢測到變化時啟動掃描。
• 能夠生成已確定優(yōu)先級的漏洞報告。
• 用戶界面簡化，便于開展安全管理。
• 可以為客戶提供專門的服務(wù)支持和幫助。

主要缺點：

• 雖然界面對用戶友好，但剛接觸漏洞管理的人往往難以上手，專業(yè)性要求較高。
• 專業(yè)版僅提供30天免費試用，對大多數(shù)企業(yè)而言不足以進行全面測試。

傳送門：https://www.intruder.io/

6、ManageEngine Vulnerability Manager Plus

ManageEngine Vulnerability Manager Plus是一款本地化部署的漏洞管理和合規(guī)解決方案，提供了廣泛的威脅可見性、漏洞檢測修補以及針對系統(tǒng)配置的CIS基準(zhǔn)檢查功能。

圖片

產(chǎn)品特點：

• 可以對影響操作系統(tǒng)、應(yīng)用程序和服務(wù)器的漏洞威脅進行實時掃描和評估。
• 可以自動化方式進行補丁管理。
• 包含了75項衡量系統(tǒng)安全性的CIS基準(zhǔn)測試。
• 全面掃描各種操作系統(tǒng)和第三方應(yīng)用程序上的漏洞，并確定優(yōu)先級。
• 提供了緩解威脅的內(nèi)置安全工具。

主要缺點：

• 還不支持macOS系統(tǒng)的漏洞管理。
• 漏洞補丁不會自動審批，需要人工干預(yù)。
• 只允許選擇50個客戶端進行補丁管理工作。

傳送門：https://www.manageengine.com/vulnerability-management/

7、TripWire IP360

TripWire IP360是來自Fortra的漏洞管理解決方案，可以幫助企業(yè)組織實現(xiàn)內(nèi)部網(wǎng)絡(luò)環(huán)境、容器和云資產(chǎn)的深度可見性。它還使用了先進的漏洞評分系統(tǒng)為關(guān)鍵漏洞確定優(yōu)先級，并與現(xiàn)有的安全系統(tǒng)集成，通過多種掃描方式確保對網(wǎng)絡(luò)資產(chǎn)進行精確掃描。

圖片

產(chǎn)品特點：

• 具備全面的網(wǎng)絡(luò)可見性，能夠洞察企業(yè)中的所有資產(chǎn)，無論它們在本地、容器中還是在云端。
• 使用漏洞風(fēng)險評分矩陣，對漏洞的優(yōu)先級進行評價。
• 可以與現(xiàn)有資產(chǎn)管理系統(tǒng)、SIEM和入侵檢測防護方案無縫集成。
• 可以進行全面的資產(chǎn)檢測，確保準(zhǔn)確識別所有資產(chǎn)。

主要缺點：

• 軟件的部署和初始設(shè)置很耗時，需要一周以上的時間。
• 在掃描過程中會存在性能下降的情況。
• 一些用戶稱技術(shù)支持有問題，發(fā)現(xiàn)很難獲得專業(yè)服務(wù)。

傳送門：https://www.tripwire.com/

8、 Acunetix

Acunetix是一款針對應(yīng)用軟件系統(tǒng)的安全性測試平臺，可以有效的掃描網(wǎng)頁、API和Web應(yīng)用程序中的安全漏洞。它可以檢測超過7000個漏洞，確?？焖賿呙璧耐瑫r避免服務(wù)器過載，同時，還擁有先進的計劃掃描自動化，并與眾多跟蹤系統(tǒng)無縫集成。

圖片

產(chǎn)品特點：

• 具有宏記錄功能，允許掃描密碼保護的區(qū)域和多層表單。
• 可以設(shè)置在特定的時間或按間隔的時間自動掃描。
• 能夠與Jira、Bugzilla和Mantis等各種安全跟蹤系統(tǒng)集成。
• 具有用戶限制的視圖功能，保證用戶只能訪問與其相關(guān)的內(nèi)容。
• 可以檢測多種類型的安全漏洞，比如SQL注入、XSS和弱密碼。

主要缺點：

• 存在穩(wěn)定性問題，據(jù)稱該工具的一些版本不穩(wěn)定。
• 調(diào)整掃描配置的選項比較少。
• 由于廣泛地功能，非技術(shù)用戶的學(xué)習(xí)難度較大。

傳送門：https://www.acunetix.com/

9、SecPod SanerNow

SanerNow是由SecPod公司設(shè)計的一款先進漏洞管理平臺，可以為企業(yè)組織提供一套統(tǒng)一的漏洞管理流程，并集成了漏洞評估和補丁管理能力。

圖片

產(chǎn)品特點：

• 支持快速掃描，可在5分鐘內(nèi)完成漏洞掃描。
• 具有完善的漏洞數(shù)據(jù)庫：可以檢查160000多個漏洞。
• 兼容性較好，能夠支持主流操作系統(tǒng)和網(wǎng)絡(luò)硬件。
• 是一款全面的端到端漏洞管理解決方案。

主要缺點：

• 一些用戶表示，有限的漏洞管理功能影響了工具進一步升級的潛力。
• 使用成本較高，專業(yè)性要求較高

傳送門：https://www.secpod.com/

10、Astra Pentest

Astra Pentest是一款結(jié)合自動掃描與手動滲透測試的漏洞管理工具，可以為各類企業(yè)組織提供潛在安全威脅識別和防御服務(wù)。

圖片

產(chǎn)品特點：

• 具有廣泛的測試范圍，可以進行8000多項測試，涵蓋主要的合規(guī)標(biāo)準(zhǔn)。
• 實現(xiàn)掃描過程自動化，穩(wěn)定的查找漏洞。
• 使用從多年滲透測試和最新漏洞更新收集而來的情報。
• 能夠與GitLab和Slack等開發(fā)平臺無縫集成
• 具有準(zhǔn)確的風(fēng)險評分和詳細(xì)的補救準(zhǔn)則。

主要缺點：

• 在第三方工具集成方面選擇有限。
• 可能無法檢測出某些惡意軟件攻擊。
• 一些用戶稱，其高強度掃描有時會對網(wǎng)絡(luò)運營造成影響。
• 需要結(jié)合外部人工滲透測試才能獲得最佳的管理效果。

傳送門：https://www.getastra.com/pentesting/web-app

參考鏈接：https://heimdalsecurity.com/blog/best-vulnerability-management-systems/