1.2 扫描工具

1.2.1 商用产品

从产品分类的角度看,扫描类工具可以算作脆弱性评估(Vulnerability Assessed,VA)类软件,这些工具是脆弱性管理(Vulnerability Management,VM)或者脆弱性风险管理(Vulnerability Risk Management,VRM)的重要组成部分。在这个领域中,活跃着一批开源免费的工具,下文会进行比较详细的介绍。除了开源免费产品外,还有一些效果更好、支持更多的商业化平台、产品和服务。

2019年The Forrester Wave发布了最新的报告“The Forrester WaveTM: Vulnerability Risk Management, Q4 2019”,其中介绍了13家提供脆弱性管理平台和脆弱性评估工具的厂商,并且从三个维度(市场份额、发展策略及产品成熟度)对这13家厂商进行了综合评分、排名。在LEADERS象限中的厂商优于STRONG PERFORMERS象限中的厂商,以此类推,STRONG PERFORMERS象限中的厂商优于CONTENDERS象限中的厂商,CONTENDERS象限中的厂商优于CHALLENGERS象限中的厂商。如图1-6所示,在这13家厂商中,3家在LEADERS象限,4家在STRONG PERFORMERS象限,5家在CONTENDERS象限,1家在CHALLENGERS象限。

图1-6 漏洞风险管理产品魔力象限(2019年第四季度)

(1)LEADERS象限中的3家厂商

1)Tenable

Tenable的官方网站是https://www.tenable.com,其提供Nessus Essentials、Nessus Pro-fessional以及基于云端的tenable.io三款产品。

2)Rapid7

Rapid7的官方网站是https://www.rapid7.com,其提供Rapid7 insightVM、Rapid7 nex-pose两款产品。

3)Qualys

Qualys的官方网站是https://www.qualys.com,其产品为基于云端的Cloud Platform。

(2)STRONG PERFORMERS象限中的4家厂商

1)Nopsec

Nopsec的官方网站是https://www.nopsec.com,其产品为基于云端的Nopsec Unified VRM。

2)Kenna Security

Kenna Security的官方网站是https://www.kennasecurity.com,其产品为Kenna Security Platform。

3)RiskIQ

RiskIQ的官方网站是https://www.riskiq.com,其产品为RiskIQ Illuminate。

4)Expanse

Expanse的官方网站是https://www.expanse.co,其产品为Expanse APIs and Integrations。

(3)CONTENDERS象限中的5家厂商

1)Digital Defense

Digital Defense的官方网站是https://www.digitaldefense.com,其提供Frontline Vulnerability Manager、Frontline Web Application Scanning、Frontline Cloud Platform三款产品。

2)RiskSense

RiskSense的官方网站是https://risksense.com,其产品为RiskSense Platform。

3)Brinqa

Brinqa的官方网站是https://www.brinqa.com,其产品为Vulnerability Risk Service。

4)RedSeal

RedSeal的官方网站是https://www.redseal.net,其产品为RedSeal Platform。

5)Skybox Security

Skybox Security的官方网站是https://www.skyboxsecurity.com,其产品为Vulnerability Management。

(4)CHALLENGERS象限中的1家厂商

Outpost24的官方网站是https://outpost24.com,其产品为Outpost24 Platform。