自動資産検出

組織外部(インターネット)に公開しているIT資産を、Webサーバー含めFTPサーバーやVPNサーバー等、網羅的に発見。発見元になるSeedドメインを登録することで、関連するドメインを自動で検出。

ディスカバリーチェーン

資産の検出にはWHOIS情報や、DNS、サーバー証明書などの情報を利用。

発見された資産がどのようにして発見されてきたか確認可能。

自社資産の正否判定の容易性を提供。

アセットカード

発見した自社資産において利用している各種情報を管理。各資産の脆弱性の有無に限らず、利用コンポーネント、各種ソフトウェアのバージョン、オープンポートなど様々な情報を可視化。併せて所属している組織や関連ブランド等、外部からは確認できない情報を任意の名前でタグ付け可能。

フィルター機能

可視化された資産の各種情報でのフィルタリングも実装。特定コンポーネントを利用している資産、特定ポートがオープンしている資産、同じタグが付与された資産など、即座に必要な情報へのアクセスを実現。

スキャンによる検証

無害化された攻撃エミュレーションによって管理資産を外部からスキャン。攻撃者と同じ目線で公開資産の脆弱性や弱点を可視化。スキャンによって検証済の脆弱性のみ報告することで、バージョン情報から可能性だけが指摘される実際に存在しない脆弱性の報告(過検知)を排除。

環境依存、設定依存の脆弱性

OS依存のCVEだけでなく、SSRFやXSSのようなWebアプリのつくりや環境に依存した脆弱性の発見も可能。日毎に自動でスキャンを繰り返すことで、資産の健全性を常に担保。

再スキャン

発見された脆弱性は任意のタイミングで再スキャンが可能。修正後におけるエビデンス確認の手間を省略したり、誤った修正作業の防止を実現。

優先度の提供

発見された脆弱性に対しては対応優先度を提供。CVSSスコアなど一般的な指標だけでなく、実環境における実行の容易性(認証の有無など）や実行された場合の影響度（データの可視性や改ざん性）も含めて優先度付け。