刷新对漏洞管理的认知！｜理清行业定义，谈谈未来走向

首先，从高层次上定义漏洞管理（VM）领域的范围是非常重要的。

VM领域是整个网络安全行业中成熟的一部分，VM工具识别，发现和报告设备、操作系统和软件中不符合相关安全标准的漏洞。

一个常见的误解是，任何生成或使用漏洞数据的安全工具都属于漏洞管理市场，或者应该被列入其中。事实并非如此。例如，使用、收集和规范漏洞数据以方便补救的安全工具有独立的市场分类，称为基于风险的漏洞管理（RBVM）或应用漏洞关联（AVC），具体取决于所使用的漏洞数据类型。同样，专门用于识别应用程序源代码和二进制文件中漏洞的安全工具归属于应用程序安全市场，其中包括静态应用安全测试（SAST）工具、软件成分分析（SCA）工具等子类别。

截至2023年6月，漏洞管理领域有15家供应商/工具：

• 3家全球最大的漏洞管理供应商：Tenable, Qualys & Rapid7

• 5家以欧盟为中心的供应商：Outpost24, Holm Security, With Secure, EdgeScan & Greenbone

• 2家开源漏洞管理项目：OpenVAS & Vuls

• 5家端点保护平台（EPP）供应商增加了漏洞管理功能：微软、CrowdStrike、Tanium、ManageEngine和Secpod

注：上述名单特意排除提供漏洞管理服务的安全服务厂商，如Optiv、Secureworks、AT&T Cybersecurity等。

在过去的几年里，漏洞管理供应商在核心漏洞管理之外增加了更多的功能，主要是出于以下考虑：

• 需要更多的收入和增长提升（例如：增加他们的潜在市场）

• 支持现代环境，如云、容器和基础设施即代码（IaC）

• 支持更多的攻击面，包括授权安全和攻击面管理功能

• 发现的漏洞过多，包括基于风险的漏洞管理（RBVM）功能

自2009年以来，漏洞管理供应商一直在收购新技术，以扩大产品家族、潜在市场以及在核心漏洞管理之外的增长。而这种收购互补技术的趋势在过去几年里只增不减。上图代表了自2018年以来最大的漏洞管理供应商（Tenable、Qualys、Rapid7）的收购情况。

根据目前的市场趋势，下面的一些预测可能看起来很明显，而其他预测可能有不确定性。

原文链接：

https://davidvance.substack.com/p/the-future-of-vulnerability-management