CISO 的新盟友：Qualys Cyber​​Security Asset Management 3.0

在本次 Help Net Security 采访中，Kunal Modasiya 是 Qualys，探讨 Qualys Cyber​​Security Asset Management 3.0 背后的关键功能、显著优势和创新技术。

您能解释一下 Qualys Cyber​​Security Asset Management 3.0 的主要功能以及它与之前版本的区别吗？

现代攻击面不断演变，如今组织越来越难以依靠孤立的单点解决方案来发现狭隘的资产。他们通常使用一种工具来提供面向互联网的资产的快照数据，另一种工具从第三方来源提取非结构化数据，以及一个永远不会更新的配置管理数据库 (CMDB)。

Qualys 网络安全资产管理 3.0 将资产发现和风险评估整合到一个解决方案中。最新版本扩展了外部资产发现的归因功能、内部资产发现的被动感知功能（用于非托管或恶意设备）以及第三方 API 连接器以与现有工具集成。这种全面的方法涵盖了面向内部和外部的资产以及第三方应用程序，消除了来自未知资产的网络风险。例如，在一个案例中，我们的客户惊讶地发现一名员工的智能牙刷连接到了公司的网络！

一个关键的区别 Qualys 网络安全资产管理 3.0 其外部攻击面管理 (EASM) 技术的工作方式不同。它使用正在申请专利的归因流程来精确定位属于组织的面向互联网的资产。这消除了用户可能不负责的资产上浪费的精力。此外，EASM 功能中还集成了一个轻量级漏洞扫描程序。虽然许多 EASM 扫描程序会及时提供快照数据，但 Qualys 可以实时识别外部资产上的关键漏洞，并且经常会发现其他扫描程序遗漏的漏洞。

另一项改进是针对物联网和恶意设备的被动感知。传统方法可能会错过网络上这些不受管理的设备。我们的解决方案利用现有的 Qualys 代理来被动检测此类设备，让用户能够更好地了解和控制整个攻击面。最后， Qualys 网络安全资产管理 3.0 超越了漏洞，考虑了我们专有的 TruRisk 优先级评分中的所有风险因素。

现在，支持终止 (EoS) 软件、缺少的安全控制（例如没有端点检测和响应 (EDR) 代理）、有风险的开放端口以及配置错误或未经授权的软件和服务都被纳入 TruRisk 评分，以帮助网络安全团队自动找出最大的风险。

Qualys Cyber​​Security Asset Management 3.0 为网络安全团队提供的最大优势是什么？

结果显示，与依赖陈旧数据快照的传统外部扫描方法相比，Qualys 威胁研究部门 (TRU) 已发现检测到的严重漏洞数量增加了三倍，无关、未经证实的漏洞数量减少了 60%。（根据 Qualys TRU 提供的匿名客户数据。）

CSAM 3.0 中外部攻击面的完整视图

组织在使用传统资产发现方法时面临哪些常见挑战？Qualys Cyber​​Security Asset Management 3.0 如何解决这些问题？

一种典型的、过时的资产发现方法可能看起来像这样：一种专门使用基于 API 的连接器来创建资产清单基础的工具，使用单独的 EASM 扫描器添加面向互联网的资产的快照数据。

这种方法的问题在于，来自众多来源的非结构化资产数据需要额外的资源来规范化、验证并纳入漏洞管理计划。更不用说，查看快照中的陈旧数据并不能完全反映动态互联网，因此很难准确归因于资产，从而导致风险评估不准确。此外，组织通常在其内部网络上存在盲点，尤其是在物联网或恶意设备方面。

Cyber​​Security Asset Management 3.0 通过灵活的发现方法应对这些挑战，这些方法涵盖了所有用例的基础。这包括 IT 资产的扫描和传感器、正在申请专利的 EASM 技术、多云环境监控、内置网络被动传感和第三方连接器，以丰富资产清单。它是市场上唯一一款结合了每种发现方法的解决方案，可降低客户的总拥有成本 (TCO) 并消除未知资产的风险。

您能详细说明被动感知对于物联网和恶意设备的重要性以及 Qualys Cyber​​Security Asset Management 3.0 如何利用这一功能吗？

由于您无法始终部署代理，因此与 IoT 设备相关的风险可能难以跟踪和衡量。远程扫描通常只能提供有限的信息，返回基本的 Linux 或 Android 操作系统详细信息。借助 Qualys，客户可以通过网络设备或内置于云代理中的被动传感来被动发现同一子网内的资产。这允许根据流量、协议以及来自线路的其他详细信息实时检测和识别 IoT 设备。

扫描和基于日志的检测仅提供快照，因此无法用于跟踪进出网络的恶意设备。如果恶意设备在扫描期间未连接，则不会被检测到。通过利用被动感知，安全团队可以在恶意设备连接到网络后立即识别它们，评估风险并立即采取阻止访问等缓解措施。

CSAM 3.0 中的 CISO 网络风险快照

与传统的外部扫描工具相比，Qualys Cyber​​Security Asset Management 3.0 如何改善漏洞的识别和缓解？

传统的外部扫描工具通常依靠一种称为横幅抓取的技术来识别资产及其漏洞。横幅抓取涉及向设备发送请求并查看响应以识别设备类型、操作系统以及设备上运行的任何服务。但是，这种方法有几个限制。

首先，横幅抓取可能不准确。设备可能配置为提供误导性信息，或者响应可能不够清晰，无法明确识别设备或其漏洞。其次，传统扫描通常是预定的，这意味着它们可能会错过扫描之间出现的漏洞。

Qualys Cyber​​Security Asset Management 3.0 在这方面提供了几个优势。首先，它利用 EASM 功能中的轻量级漏洞扫描程序，利用 Qualys TRU 的一流威胁情报。虽然传统工具可能会错过关键漏洞或产生误报检测，但此扫描程序可以识别更关键的漏洞并提供更快的风险评估。其次，归因过程可帮助团队关注和管理属于组织的资产，并优先修复相关的网络风险。最后，我们的工具与其他 Qualys 解决方案（如漏洞管理、检测和响应 (VMDR)）集成，使组织能够有效地降低其业务风险。

您能否分享一些组织使用 Qualys Cyber​​Security Asset Management 3.0 显著改善其网络安全态势的成功案例或例子？

我们根据客户反馈不断完善和改进我们的平台。虽然我们的客户现在才开始使用 Cyber​​security Asset Management 3.0 中的新功能，但我们确实记录了早期采用者的成果。例如，Brown & Brown Insurance 发现使用 Cloud Agent Passive Sensing 连接到其内部网络的非托管和不受信任的设备增加了 34%。

Brown & Brown Insurance 安全运营总监 Gary Bowen 指出：“事实证明，Qualys Cloud Agent 无源传感器改变了游戏规则，它为我们提供了无与伦比的可视性和即时洞察，涵盖了我们的混合 IT 和 OT 领域，而且无需复杂地确定网络分路器的最佳位置。通过帮助消除盲点，这种无源传感功能使我们的安全团队能够在潜在风险出现时立即识别和解决它们，从而全面了解整个攻击面上的网络风险。”