«Инфосистемы Джет» представила результаты собственного исследования решений класса Vulnerability Management, доступных на российском рынке. Цель инициативы — сформировать прозрачную и структурированную картину функциональных возможностей продуктов, чтобы заказчики могли быстрее отсечь неподходящие варианты и сформировать шортлисты для пилотирования.
В ходе работы специалисты проанализировали 94 критерия, объединённые в несколько тематических блоков:
- управление ИТ-активами,
- настройка политик и задач сканирования,
- поддержка различных типов инфраструктуры (серверы, СУБД, сетевое оборудование, промышленные системы ICS/SCADA, облака, контейнерные среды, веб-приложения),
- интеграции с системами класса SIEM и ITSM,
- средства оценки соответствия,
- требования к безопасности платформы,
- возможности анализа веб-приложений с учётом OWASP Top 10.
Оценка проводилась на актуальных версиях продуктов и в контролируемых условиях лаборатории «Инфосистемы Джет». Для каждого параметра указано наличие поддержки: «да», «нет» или «частично». В некоторых случаях, например при анализе периодичности обновлений баз уязвимостей, приведены конкретные временные показатели.
При этом исследование умышленно сосредоточено на формально измеряемых характеристиках. Такие параметры, как глубина сканирования, устойчивость продукта под нагрузкой, зрелость документации и удобство использования, не включены — их объективная количественная оценка в единых метриках на данный момент невозможна, хотя они имеют большое значение при эксплуатации систем в боевых условиях.
«Наша задача — не заменить пилотное тестирование, а помочь заказчику быстрее и точнее сузить круг кандидатов на этапе предварительного отбора. В условиях растущего разнообразия решений на рынке управление уязвимостями становится всё более сложной задачей, особенно когда нужно учитывать специфику инфраструктуры, требования регуляторов и внутренние процессы компании», — говорит Мария Погребняк, руководитель направления управления уязвимостями Центра информационной безопасности, «Инфосистемы Джет».
Полные результаты функционального тестирования доступны на сайте спецпроекта.