Qualys öffnet seine Risikomanagement-Plattform jetzt für Appsec-Teams. Dadurch können diese ihre eigenen Erkennungen nutzen, um die Risiken zu bewerten, zu priorisieren und zu beheben, die von First-Party-Software und deren eingebetteten Open-Source-Komponenten ausgehen.
Im heutigen Zeitalter der digitalen Transformation entwickeln viele Unternehmen eigene Software, um ihr Geschäft zu betreiben. Bei dieser First-Party- oder eigenentwickelten Software werden jedoch oft nicht die strikten Verfahren für Schwachstellen- und Konfigurationsmanagement eingehalten, die bei Third-Party-Software zum Einsatz kommen. Studien zeigen, dass mehr als 90 % der First-Party-Software Open-Source-Komponenten enthält und mehr als 40 % hohe Risiken aufweist, wie etwa ausnutzbare Sicherheitslücken. Derzeit führen die Anwendungs- und Sicherheitsteams meist manuelle Überprüfungen durch oder nutzen isolierte Skripte, um die Sicherheit von First-Party-Software zu beurteilen. Somit wird die Sicherheit jeweils nur ad hoc bewertet, was es schwieriger macht, Risiken effektiv zu priorisieren und zu beseitigen. Hinzu kommt, dass herkömmliche Tools zur Schwachstellenbewertung oder Analyse der Software-Zusammensetzung nicht erkennen, ob in einer Produktivumgebung eingebettete Open-Source-Pakete vorhanden sind. All dies erschwert es den Sicherheitsteams, das wahre Risiko zu erkennen, das von der Software ausgeht, insbesondere, wenn es um Sicherheitslücken wie die in Log4J geht.
Mit der neuen Lösung von Qualys können die Teams ihre eigenen, mit gängigen Sprachen wie Powershell und Python erstellten Skripte als Qualys-ID (QIDs) in die Lösung Qualys-Vulnerability-Management, Detection and Response (VMDR) einspeisen. Der Qualys-Cloud-Agent führt diese Skripte sicher und kontrolliert aus. „Qualys TruRisk“ erkennt und priorisiert dann die Ergebnisse als Teil desselben Workflows und Berichtssystems wie bei den Ergebnissen zu Third-Party-Software. So können die Anwendungs- und Sicherheitsteams ihre eigenen Erkennungen nutzen, um sensible Inhalte zu ermitteln, kritische Prozess- und Anwendungsstatus zu bewerten, Assets mit sensiblen oder personenbezogenen Daten zu kennzeichnen und die Anfälligkeit aufgrund kritischer Sicherheitsprobleme zu verringern – etwa durch Konfiguration von Dateiparametern zur Entschärfung der Sicherheitslücke in Log4J oder durch Änderung von GPOs/Registry-Einstellungen zur Eindämmung der Follina-Schwachstelle. Auf diese Weise lassen sich die Risiken durch First- wie auch Third-Party-Software effizient bewältigen.
„In unserer komplexen Unternehmensumgebung stoßen wir oft auf Situationen, in denen die Möglichkeiten von Standardsoftware für unsere Sicherheitsanforderungen nicht ausreichen“, berichtet Gabriel Julián Carrera, CISO, OSED. „Also haben wir uns immer wieder mit eigenen Skripten beholfen, um die Bewertungen zu erhalten, die wir für unsere spezifischen, eigenentwickelten Lösungen brauchen. Der neue Dienst von Qualys macht Schluss mit diesem fragmentierten Verfahren, indem er unsere eigenen Bewertungen sowie kommerzielle Tools nahtlos in eine einheitliche Qualys-Trurisk-Plattform integriert. Das spart uns Zeit und hilft uns, potenziellen Angreifern einen Schritt vorauszubleiben.“
Mit den neuen Funktionen der Qualys-Plattform können die Teams:
Eigene Signaturen leicht erstellen: Die Teams können Qualys-Erkennungen (QIDs) und Abhilfemaßnahmen auf Basis ihrer eigenen Logiken oder Skripte definieren und dabei gängige Skriptsprachen wie Python, PowerShell etc. verwenden. Die Erkennungen werden direkt in die VMDR-Workflows und Trurisk-Bewertungen integriert. Dies hilft den SecOps-Teams, einen Gesamtüberblick über die Risiken für ihre First- und Third-Party-Anwendungen zu gewinnen und sie zu minimieren.
Supply-Chain-Risiken proaktiv erkennen, steuern und reduzieren: Der Qualys-Cloud-Agent bietet eine kontinuierliche Echtzeit-Überblick tief eingebetteter Open-Source-Softwarepakete wie Log4J, OpenSSL und kommerzielle Softwarekomponenten. Qualys-Trurisk priorisiert und korreliert die gewonnenen Informationen unter Berücksichtigung der Daten aus mehr als 25 Threat-Feeds und der geschäftlichen Relevanz des jeweiligen Assets. Anhand dieser Erkenntnisse können die Sicherheitsteams individuelle Erkennungs- und Abhilfemaßnahmen entwickeln und gravierende Risiken – etwa Zero-Day-Bedrohungen oder spektakuläre Schwachstellen wie die in Log4J – schnell eindämmen.
Risiken mit einheitlichen Berichten und Dashboards überzeugend kommunizieren: Dank der nativen Integration in die VMDR-Workflows können die Teams den Gesamtüberblick über die Risiken in der First- und Third-Party-Software mit Echtzeit-Dashboards und -Berichten effektiv an alle relevanten Adressaten kommunizieren. Die Integration mit Ticketing-Systemen wie ServiceNow und JIRA ermöglicht es, über eine gemeinsame Ansicht detaillierte Tickets zur Problembehebung automatisch den jeweiligen Verantwortlichen zuzuweisen. So können Tickets zeitnah geschlossen und die Risiken zügig reduziert werden.
„Da First-Party-Anwendungen firmeneigene Anwendungen sind, bieten Scanning-Tools oft keine ausreichende Unterstützung, um die mit ihnen verbundenen Risiken zu erkennen, zu priorisieren und auszuräumen“, so Sumedh Thakar, President und CEO von Qualys. „Unsere branchenweit einzigartige Lösung gibt Unternehmen die Möglichkeit, die Funktionalitäten der Qualys-Plattform zu nutzen, um Risiken in ihrer First- wie auch Third-Party-Software zu ermitteln und zu analysieren. So erhalten sie einen TruRisk-Score für sämtliche Anwendungen, der ihnen einen umfassenden Überblick über das Gesamtrisiko ihres Unternehmens vermittelt.“
Verfügbarkeit – Besuchen Sie uns auf der Black Hat USA
Die Erweiterungen der Qualys-Cloud-Plattform, einschließlich Custom-Assessment and Remediation via VMDR-Integrationen, werden ab Ende August verfügbar. Um die neue Lösung kostenlos zu testen: www.qualys.com/forms/custom-assessment-remediation. Weitere Informationen im Blogbeitrag zum First-Party-Risikomanagement und im Webinar am 31. August (registrieren).
#Qualys
