Qualys发布VMDR 20和TruRisk：提升网络风险管理

关键要点

Qualys在本月初的RSA USA 2022大会上推出了VMDR 20与TruRisk，这是其云端服务平台最新版本，专注于漏洞管理、检测和响应。新版本的服务更加注重网络风险管理，Qualys产品管理副总裁Mehul Revankar在6月8日的采访中指出了这一个转变。

当我们大约两年前推出VMDR 10时，我们主要目的是通过整合进行优化，Revankar分享道。客户拥有很多工具，但可用的解决方案却很少。

Revankar进一步解释，客户通常需要为不同功能使用多种工具，包括资产管理、漏洞评估与检测、优先级划分和补救响应等，这些工具之间并不能有效沟通。因此，Qualys通过将所有功能整合进一个全能解决方案，能够大规模发现、优先级划分和修复漏洞。

风险管理的需求

他补充道，在Qualys团队规划VMDR 20时发现，客户对风险的关注比对漏洞的关注更高。

客户更关心的是风险，而不是漏洞，Revankar说。他们提出的问题都是‘我如何管理风险？我如何降低风险？’

因此，VMDR 20与TruRisk应运而生，以帮助组织深入了解其网络风险，并提供新方法来缓解和管理这些风险。用户可以通过仪表板查看针对互联网资产、高风险资产和云资产的风险评分范围从0到1000，同时展示资产和漏洞的关键性及分布情况。

Revankar提到：“风险的概念很容易理解，但实施起来却非常复杂。”由于资产的属性差异，同样的漏洞在内部资产上的风险可能较低，而在外部暴露的资产上则是个大问题。

自动化资产重要性评估

在VMDR 20中，资产重要性的评估是自动进行的，以减少人为错误。Revankar解释道：“我们的一项基本信念是，如果组织需要手动设置重要性，那么我们就已经失败了。”

系统通过与CMDB配置管理数据库的集成来自动引入资产的业务关键性，从而自动驱动资产风险评分。

VMDR 20还针对每个组织的特定风险来评估漏洞风险，而不是依赖单一的CVSS评分，这一评分仅代表漏洞的技术严重性。

Revankar强调：“我们会考察每个漏洞的参数，了解这些漏洞可能对组织造成的威胁。”

缩小IT与安全之间的差距

Revankar强调Qualys的目标之一是缩小IT与安全之间的差距。“要做好漏洞管理，人员、技术和流程三者必须相互交融。”他表示，即使我们在算法上取得了改进，但如果人员和流程没有得到妥善处理，漏洞管理程序也将难以成功。

为此，Qualys推出了与ServiceNow的IT服务管理ITSM平台兼容的模块。Revankar说道：“你可以直接将所有发现导入ServiceNow，创建工单，将其指派给合适的人进行处理，不再需要手动处理电子表格”。

此外，VMDR 20添加了一种无代码、拖放式编程工作流程，使任务自动化变得更为简单。“随着漏洞的增加，修复漏洞所需的人力并没有以相同的速度增长。实现更多自动化是唯一的解决方案。”

总结

Qualys通过VMDR 20不仅为用户提供风险基础的漏洞管理自动化功能，还通过与ITSM的集成和无代码工作流程，帮助安全和IT团队更高效地应对日益增长的网络风险。这款产品为客户的漏洞管理赋予了更多价值，使其能更好地适应不断变化的网络安全环境。