Qualys stellt „TotalAppSec“ vor. Die neue KI-gestützte Lösung für das Management von Anwendungsrisiken ermöglicht es Unternehmen Cyberrisiken von kritischen Webanwendungen und APIs zu überwachen und zu minimieren. „TotalAppSec“ vereint API-Sicherheit, Web-Applikations-Scanning und Web-Malware-Erkennung in lokalen, hybriden und Multi-Cloud-Umgebungen und bietet Unternehmen einen umfassenden Überblick über das Sicherheitsrisiko ihrer Anwendungen und deren Zustand. So können Unternehmen ihre kritischsten Anwendungsrisiken im gesamten Unternehmen sofort bewerten, priorisieren und die Abhilfemaßnahmen optimieren, um das Risiko schnell zu reduzieren.
Webanwendungen und APIs haben die digitale Landschaft umgestaltet und tragen erheblich zum Unternehmensrisiko bei. Laut dem Verizon DBIR-Bericht 2024 sind Webanwendungen nach wie vor der Haupteinstiegspunkt für Sicherheitsverletzungen. 68 Prozent der Sicherheitsverletzungen gehen auf das Konto von Menschen und 32 Prozent auf das Konto von Ransomware-Angriffen, die häufig über kompromittierte Webanwendungen und APIs durchgeführt werden. Sicherheitsteams haben oft mit unzusammenhängenden und unvollständigen Risikobewertungen zu kämpfen, da die Anwendungssicherheit als eine Sammlung unabhängiger Schichten behandelt wird: Webanwendungen, APIs und die sie unterstützende Infrastruktur. Im Gegensatz dazu ist bekannt, dass Cyber-Angreifer Schwachstellen über diese Ebenen hinweg miteinander verknüpfen, um die Wirkung zu maximieren. Darüber hinaus bieten herkömmliche, isolierte Sicherheitstools keinen Einblick in die Angreifbarkeit von Unternehmen und in Bedrohungsdaten oder behandeln Schwachstellen wie API-Fehlkonfigurationen, Broken-Object-Level-Authorization (BOLA) und die Offenlegung sensibler Daten. Es ist ein neuer Ansatz erforderlich, der die Verwaltung von Anwendungsrisiken vereinfacht und konsolidiert und gleichzeitig die Sicherheitsmaßnahmen auf die geschäftlichen Prioritäten abstimmt.
„Unternehmen räumen der Sicherheit von Webanwendungen und APIs zunehmend Priorität ein, da die Bedrohungen immer komplexer werden. Der Schutz dieser Assets ist heute eine grundlegende Voraussetzung für die Aufrechterhaltung von Vertrauen und betrieblicher Stabilität“, sagt Katie Norton, Research Manager, DevSecOps and Software Supply Chain Security bei IDC. „Lösungen wie Qualys-TotalAppSec können dabei helfen, die organisatorischen Silos zwischen Infrastruktur, Webanwendungen und API-Risiken aufzubrechen und bieten den Kontext und die Transparenz, die Sicherheitsteams für eine effektive Zusammenarbeit benötigen. Durch die Bereitstellung einer ganzheitlichen Sicht auf die Anwendungssicherheit können Teams die kritischsten Bedrohungen priorisieren und entscheidende Maßnahmen ergreifen, um das Risiko effizienter zu mindern.“
Qualys-TotalAppSec nutzt die Leistungsfähigkeit der Qualys-Enterprise-TruRisk-Plattform. Es ermöglicht Sicherheitsteams die Erkennung bekannter, unbekannter und versteckter Webanwendungen und APIs für umfassende Transparenz. TotalAppSec erkennt kritische Schwachstellen, darunter die OWASP Top 10 für Webanwendungen und die OWASP-API Top 10. TotalAppSec nutzt fortschrittliche Deep-Learning-Algorithmen, um hochentwickelte Malware-Bedrohungen, einschließlich Zero-Day-Exploits, zu erkennen und zu entschärfen, und bietet so eine unübertroffene Genauigkeit und Widerstandsfähigkeit gegenüber sich weiterentwickelnden Bedrohungen. Mit einer Risikopriorisierung auf Basis des proprietären TruRisk-Scores von Qualys, integrierten CI/CD-Pipelines und ITSM-Workflows mit ServiceNow und JIRA automatisiert die Lösung Prozesse zur Behebung von Schwachstellen und versetzt Unternehmen in die Lage, ihre Angriffsfläche zu reduzieren und Webanwendungen und APIs während des gesamten Entwicklungszyklus zu sichern.
„Qualys-TotalAppSec bietet einen klaren Einblick in ungewollt gefährdete Webanwendungen und APIs und ermöglicht es uns, Risiken proaktiv zu minimieren“, sagt Beatrice Sirchis, Leiterin der Anwendungssicherheit bei der IDB Bank. „Die einheitliche Plattform ermöglicht es uns, kritische Webanwendungen zu sichern, Schwachstellen anhand der aktuellen Bedrohungen und der OWASP Top 10 zu bewerten und nahtlos Abhilfemaßnahmen von der Erkennung bis zur Behebung zu verwalten. Darüber hinaus ermöglicht uns die flexible Lizenzierung einen einfachen Wechsel der Ressourcen zwischen Vorproduktions- und Produktions-Webanwendungen sowie API-Scans und stellt so sicher, dass wir unsere sich entwickelnden Geschäftsanforderungen erfüllen können.“
Durch die Konsolidierung dieser robusten Funktionen in einer einzigen, KI-gesteuerten Plattform bietet Qualys-TotalAppSec ein umfassendes Risikomanagement für das gesamte Anwendungsportfolio:
- Automatische Erkennung aller APIs und Webanwendungen: Identifizieren Sie bekannte, unbekannte, vergessene und Schatten-Webanwendungen und APIs in lokalen, Multi-Cloud-, API-Gateways und Container-Umgebungen mit nahtloser Integration in Qualys-VMDR, EASM und TotalCloud. So wird sichergestellt, dass kein Asset unüberwacht oder ungeschützt bleibt. Durch den Einsatz von KI-gestütztem Scanning optimiert die Lösung die Ressourcen und verbessert gleichzeitig die Erkennungsgenauigkeit.
- Vereinfachen Sie die Behebung von Schwachstellen mit risikobasierter Priorisierung: Mit Qualys-TruRisk ermöglicht TotalAppSec Unternehmen, Schwachstellen nach Kritikalität, Ausnutzbarkeit und geschäftlicher Auswirkung einzustufen, so dass Teams die wichtigsten Risiken zuerst angehen und die Abhilfemaßnahmen rationalisieren können.
- Schützen Sie Anwendungen vor unbekannten Schwachstellen und Malware: Nutzen Sie die auf Deep Learning basierende Malware-Erkennung, um versteckte Schwachstellen, fortschrittliche Malware und Zero-Day-Angriffe zu erkennen und abzuwehren, die bei herkömmlichen Methoden möglicherweise übersehen werden.
- Bleiben Sie Audit-fähig: Verringern Sie das Risiko von Strafen bei Nichteinhaltung von Vorschriften, indem Sie die kontinuierliche Einhaltung von Standards wie PCI-DSS, GDPR, HIPAA und OpenAPI-Spezifikationen durch kontinuierliche Compliance-Überwachung sicherstellen.
- Schnelle Risikobeseitigung mit Echtzeit-Feedback-Schleife: Durch die Nutzung nahtloser Integrationen mit CI/CD-Pipelines und ITSM-Systemen wie ServiceNow und JIRA profitieren Unternehmen von der Konsolidierung von Schwachstellen für schnellere Reaktionszeiten und eine bessere Nachverfolgung, der Zuordnung von Tickets zu den entsprechenden Behebungsverantwortlichen und der direkten Einbettung von Sicherheit in DevSecOps-Workflows.
„APIs sind die neue Angriffsfläche für Unternehmen, die exponentiell wächst, da moderne Webanwendungen auf eine zunehmende Anzahl von APIs angewiesen sind. Da Unternehmen immer mehr Plattformen integrieren, benötigen sie eine Lösung, die eine einheitliche Sicht auf alle Schnittstellen bietet, um das von diesen Anwendungen ausgehende Cyber-Risiko zu messen, zu kommunizieren und zu eliminieren. TotalAppSec vereint unsere neuesten Innovationen in den Bereichen API-Sicherheit, Deep-Learning-Malware-Erkennung und Webapplikationssicherheit, um Sicherheitsteams dabei zu helfen, den Geschäftskontext mit Risikopriorisierung zu verstehen, damit die größten Risiken zuerst angegangen werden können“, sagt Sumedh Thakar, Präsident und CEO von Qualys.
Info: Qualys-TotalAppSec wird in Q1 2025 verfügbar sein. Weitere Infos: kostenlose Testversion, Blog, Webinar.
#Qualys
