Qualys, Anbieter für cloudbasierte IT-, Sicherheits- und Compliance-Lösungen, öffnet seine Risikomanagement-Plattform jetzt für AppSec-Teams. Dadurch können diese ihre eigenen Erkennungen nutzen, um die Risiken zu bewerten, zu priorisieren und zu beheben, die von First-Party-Software und deren eingebetteten Open-Source-Komponenten ausgehen.
Im heutigen Zeitalter der digitalen Transformation entwickeln viele Unternehmen eigene Software, um ihr Geschäft zu betreiben. Bei dieser First-Party- oder eigenentwickelten Software werden jedoch oft nicht die strikten Verfahren für Schwachstellen- und Konfigurationsmanagement eingehalten, die bei Third-Party-Software zum Einsatz kommen. Studien zeigen, dass mehr als 90 % der First-Party-Software Open-Source-Komponenten enthält und mehr als 40 % hohe Risiken aufweist, wie etwa ausnutzbare Sicherheitslücken. Derzeit führen die Anwendungs- und Sicherheitsteams meist manuelle Überprüfungen durch oder nutzen isolierte Skripte, um die Sicherheit von First-Party-Software zu beurteilen. Somit wird die Sicherheit jeweils nur ad hoc bewertet, was es schwieriger macht, Risiken effektiv zu priorisieren und zu beseitigen. Hinzu kommt, dass herkömmliche Tools zur Schwachstellenbewertung oder Analyse der Software-Zusammensetzung nicht erkennen, ob in einer Produktivumgebung eingebettete Open-Source-Pakete vorhanden sind. All dies erschwert es den Sicherheitsteams, das wahre Risiko zu erkennen, das von der Software ausgeht, insbesondere, wenn es um Sicherheitslücken wie die in Log4J geht.
Mit der neuen Lösung können die Teams ihre eigenen, mit gängigen Sprachen wie PowerShell und Python erstellten Skripte als Qualys ID (QIDs) in die Lösung Qualys Vulnerability Management, Detection and Response (VMDR) einspeisen. Der Qualys Cloud-Agent führt diese Skripte sicher und kontrolliert aus. Qualys TruRisk erkennt und priorisiert dann die Ergebnisse als Teil desselben Workflows und Berichtssystems wie bei den Ergebnissen zu Third-Party-Software. So können die Anwendungs- und Sicherheitsteams ihre eigenen Erkennungen nutzen, um sensible Inhalte zu ermitteln, kritische Prozess- und Anwendungsstatus zu bewerten, Assets mit sensiblen oder personenbezogenen Daten zu kennzeichnen und die Anfälligkeit aufgrund kritischer Sicherheitsprobleme zu verringern – etwa durch Konfiguration von Dateiparametern zur Entschärfung der Sicherheitslücke in Log4J oder durch Änderung von GPOs/Registry-Einstellungen zur Eindämmung der Follina-Schwachstelle. Auf diese Weise lassen sich die Risiken durch First- wie auch Third-Party-Software effizient bewältigen.
Mit den neuen Funktionen der Qualys-Plattform können die Teams:
Eigene Signaturen leicht erstellen: Die Teams können Qualys-Erkennungen (QIDs) und Abhilfemaßnahmen auf Basis ihrer eigenen Logiken oder Skripte definieren und dabei gängige Skriptsprachen wie Python, PowerShell etc. verwenden. Die Erkennungen werden direkt in die VMDR-Workflows und TruRisk-Bewertungen integriert. Dies hilft den SecOps-Teams, einen Gesamtüberblick über die Risiken für ihre First- und Third-Party-Anwendungen zu gewinnen und sie zu minimieren.
Supply-Chain-Risiken proaktiv erkennen, steuern und reduzieren: Der Cloud-Agent bietet eine kontinuierliche Echtzeit-Überblick tief eingebetteter Open-Source-Softwarepakete wie Log4J, openSSL und kommerzielle Softwarekomponenten. Qualys TruRisk priorisiert und korreliert die gewonnenen Informationen unter Berücksichtigung der Daten aus mehr als 25 Threat Feeds und der geschäftlichen Relevanz des jeweiligen Assets. Anhand dieser Erkenntnisse können die Sicherheitsteams individuelle Erkennungs- und Abhilfemaßnahmen entwickeln und gravierende Risiken – etwa Zero-Day-Bedrohungen oder spektakuläre Schwachstellen wie die in Log4J – schnell eindämmen.
Risiken mit einheitlichen Berichten und Dashboards überzeugend kommunizieren: Dank der nativen Integration in die VMDR-Workflows können die Teams den Gesamtüberblick über die Risiken in der First- und Third-Party-Software mit Echtzeit-Dashboards und -Berichten effektiv an alle relevanten Adressaten kommunizieren. Die Integration mit Ticketing-Systemen wie ServiceNow und JIRA ermöglicht es, über eine gemeinsame Ansicht detaillierte Tickets zur Problembehebung automatisch den jeweiligen Verantwortlichen zuzuweisen. So können Tickets zeitnah geschlossen und die Risiken zügig reduziert werden.
www.qualys.com