谈Nexpose和 nsightVM的区别前，我先从官网（www.rapid7.com）引入一段话：

每天都会出现漏洞。你需要不断的智能来发现它们，找到它们，为你的企业划分优先次序，并确认你的曝光量已经减少。Nexpose是Rapid7的漏洞管理软件的内部部署选项，可实时监控暴露情况，并以新数据适应新的威胁，确保您可以在受到冲击时始终采取行动。

如果您正在寻找更高级的功能，例如Remediation Workflow和Rapid7的通用Insight Agent，请查看我们基于平台的漏洞管理软件InsightVM。

注意：现在默认下载的最新版本Nexpose其实就是InsightVM ；

 

Nexpose和InsightVM 比较

更大IPS数量	无限	无限
用户数量	无限	无限
包括扫描引擎的数量	无限	无限
许可模式	订阅	订阅
针对多个合规报告运行一次扫描	✔	✔
自动漏洞更新和Microsoft补丁星期二漏洞更新	✔	✔
扫描计划和警报	✔	✔
PCI合规性	✔	✔
高级报告和扫描定制	✔	✔
开放API™和第三方集成	✔	✔
政策经理	✔	✔
虚拟扫描（Vmware NSX）	✔	✔
动态发现扫描（Vmware，Mobile）	✔	✔
分布式扫描	✔	✔
自适应安全与自动操作	✔	✔
动态，现场仪表板与50+卡	✔	✖
端点 ***	✔	✖
实时数据查询	✔	✖
AWS支持	✔	✔
Microsoft Azure支持	✔	✔
例外管理	✔	✔
动态资产组和标记	✔	✔
报告模板和上传	✔	✔
Metasploit集成的漏洞验证	✔	✔
修补程序取代	✔	✔
自定义标签和系统关键标签	✔	✔
执行和补救报告	✔	✔
用户角色定制	✔	✔
补救项目	✔	✖
现场指派修复任务	✔	✖
修复过程的产品内跟踪	✔	✖
票务集成（API）	✔	✔
票务集成（产品内）	✔	✖
软件安装	✔	✔
虚拟设备	✔	✔
物理设备	✔	✔
托管服务	✔	✔
私有云	✔	✔
在线支持	✔	✔
*** 支持	✔	✔
分配的客户经理	✔	✔
针对严重性1问题的1小时响应	✔	✔

 

Nexpose（漏洞管理）特征

 

1、真实风险评分

标准1-10 CVSS评分会导致数千个“关键”漏洞。我们的漏洞扫描器的真实风险评分提供更多可操作的洞察力 考虑到漏洞年龄以及公共漏洞/恶意软件包，我们的1-1000规模突出了最可能用于攻击的漏洞，帮助您优先处理真正关键的问题。当与我们强大的标签系统一起使用时，您甚至可以自动优先处理对您的业务至关重要的系统。

 

2、自适应安全

“被动扫描”加载了来自不频繁数据转储的误报和陈旧数据。使用Nexpose Adaptive Security，您可以在访问您的 *** 时自动检测并评估新设备和新漏洞。结合与VMware和AWS的动态连接，以及与Sonar研究项目的集成，Nexpose为您的环境变化提供真实的实时监控。

 

3、政策评估

加固系统与查找和修复漏洞一样重要。Nexpose提供集成的策略扫描功能，可帮助您根据CIS和NIST等常用标准对系统进行基准测试。直观的修复报告为您逐步指导您应该采取哪些措施来提高合规性。

 

4、补救报告

帮助IT帮助你。通过Nexpose补救报告，向IT部门显示他们现在可以采取的25项行动，以降低更大风险。您的数据可以很容易地切片和切块，为合适的人员提供他们完成工作所需的确切信息，而无需涉及10,000页的报告或手动电子表格。

 

5、与Metasploit集成

任何安全产品的目标都是在发生实际攻击时增强防御能力 - 测试它们的 *** 要比模拟测试更好吗？使用Metasploit Pro，您可以使用自动化的闭环流程验证您的漏洞扫描结果，确保您首先自动确定最重要的资产的优先顺序：最容易违反的资产。

 

InsightVM（漏洞评估）特征：

 

1、持续的端点监测

Rapid7 Insight Agent自动从您的所有终端收集数据，甚至是远程工作人员和敏感资产中不能主动扫描或极少加入公司 *** 的数据。

 

2、Liveboards

大多数软件仪表板都是静态的：在特定时间的风险快照，无法点击并立即过时。InsightVM Liveboard本质上是实时和互动的。您可以轻松地为任何人（从系统管理员到CISO）创建自定义卡和完整仪表板，并使用简单语言查询每张卡，以跟踪安全程序的进度。

 

3、基于攻击者的风险分析

基于CVSS的风险评分会导致数千个“关键”漏洞。没有任何企业，即使是拥有一支分析师队伍的企业也没有时间。根据攻击者利用实际攻击中的漏洞的可能性，我们的真实风险评分提供了更具可操作性的1-1000比例。凭借威胁源和业务背景，InsightVM可让您按照攻击者的方式优先处理漏洞。

 

4、现场修复计划

清除千页修复报告，复杂的电子表格以及混淆来回电子邮件标记。利用补救工作流程，安全团队可以实时分配和跟踪补救任务，持续查看问题的解决方式。将InsightVM直接与IT售票系统集成，将补救措施无缝集成到其日常工作负载中，这一点更进一步。

 

5、云，虚拟和容器评估
现代 *** 不断变化。InsightVM与云服务，虚拟基础架构和容器存储库集成在一起，以确保您不会错过任何联网的新设备。这一切的要点？您可以全面了解物理，虚拟，云和应用程序基础架构中的风险。