Web-Anwendungsscans mit dem Know-how der Pentester-Community

proximity-150698_1280Der Anbieter für cloudbasierte Sicherheits- und Compliance-Lösungen, Qualys und Bugcrowd, der führende Anbieter von Sicherheitstests via Crowdsourcing, haben heute eine Reihe gemeinschaftlicher Entwicklungsintegrationen bekannt gegeben. Damit wollen die beiden Unternehmen ihren gemeinsamen Kunden eine einzigartige Möglichkeit bieten, Schwachstellendaten über automatisierte Webanwendungsscans und Bug-Bounty-Programme hinweg auszutauschen.

Die Sicherheitsstrategien vieler Unternehmen haben sich verändert – hin zu einem proaktiven Ansatz, der bei der Ermittlung von Schwachstellen sowohl Automatisierung als auch menschliches Know-how nutzt. Die gegenseitige Integration von Bugcrowd-Crowdcontrol und der Qualys Cloud-Plattform vereint die Skalierbarkeit und Effizienz automatisierter Webanwendungsscans (WAS) mit dem Know-how der Pentester-Community in einer benutzerfreundlichen Lösung. Dies soll Unternehmen helfen, den eskalierenden Kosten- und Zeitaufwand zu reduzieren, der durch die Implementierung zahlreicher verschiedener Tools oder Programme entsteht. Die gemeinsamen Kunden können Sicherheitslücken, die Qualys-WAS automatisch ermittelt, von ihren Bug-Bounties-Listen streichen und so die Bugcrowd-Programme auf kritische Schwachstellen konzentrieren, die manuell getestet werden müssen. Auf diese Weise werden die Kosten für Schwachstellenerkennung und Penetrationstests wirkungsvoll gesenkt.

In einem ersten Schritt wird die Integration den Bugcrowd-Kunden, die auch Qualys-WAS nutzen, die Möglichkeit geben, Schwachstellendaten aus den Ergebnissen von Qualys-WAS direkt in die Bugcrowd Crowdcontrol-Plattform zu importieren. Mithilfe dieser Daten können sie den Umfang ihres Bug-Bounty-Programms und die Incentives optimieren. Im Zuge der weiteren Integration mit der Qualys Cloud-Plattform werden die gemeinsamen Kunden, die über Bugcrowd ein Bug-Bounty-Programm betreiben, einzelne Schwachstellen von Crowdcontrol in Qualys-WAS importieren können. Über die vollständig integrierte Qualys-Web-Application-Firewall (WAF) können sie dann mit einem Klick Patches anwenden.

„Die zunehmende Verlagerung der IT in die Cloud und die Bestrebungen zur digitalen Transformation lassen die Zahl der Webanwendungen explosionsartig wachsen, und die Absicherung dieser Anwendungen hat nun Priorität“, erklärt Sumedh Thakar, Chief Product Officer bei Qualys. „Dank der Kombination aus den automatisierten Scans von Qualys-Web-Application-Scanning (WAS) und der Crowdsourcing-Plattform von Bugcrowd können Unternehmen jetzt eine wesentlich größere Zahl von Anwendungen abdecken und sie zu geringeren Kosten wirksamer schützen.“

„Die Geschwindigkeit und Komplexität der Anwendungsbereitstellung macht es heute erforderlich, dass Unternehmen sowohl automatisierte Prozesse als auch bedarfsgerechtes Crowdtesting einsetzen. Diese Integration versetzt unsere Kunden in die Lage, die Vorteile von beidem zu nutzen“, so Jonathan Cran, Vice President of Product, Bugcrowd. „Die Integration der Daten von Bugcrowd und Qualys macht diesen neuen Ansatz einfacher und kostengünstiger.“

Die Integration der Qualys-WAS-Schwachstellendaten mit Crowdcontrol wird den gemeinsamen Kunden ab März zur Verfügung stehen. Im 2. Quartal 2017 folgt die Integration der Bugcrowd-Daten mit Qualys-WAS und -WAF.