Qualys anuncia solução inovadora para a gestão de riscos de software proprietário

Qualys anuncia solução inovadora para a gestão de riscos de software proprietário

A nova solução permite às equipas de segurança de aplicações detetar, priorizar e remediar vulnerabilidades, tanto dentro do próprio software desenvolvido como dos componentes de código aberto integrados

A Qualys, Inc. (NASDAQ: QLYS), fabricante pioneiro e líder de soluções de conformidade e segurança baseadas na Cloud, anuncia a abertura da sua premiada plataforma de gestão de riscos às equipas AppSec, com o objetivo de disponibilizar conhecimentos únicos que permitem avaliar, estabelecer prioridades e remediar o risco associado ao software desenvolvido, bem como ao dos seus componentes de código aberto incorporados.

Na era da transformação digital, as organizações estão cada vez mais a desenvolver o seu próprio software para gerir a sua atividade. Este software desenvolvido internamente carece frequentemente das práticas disciplinadas de gestão de vulnerabilidades e de configuração utilizadas para o software de terceiros. Estudos demonstraram que mais de 90% deste software inclui componentes de código aberto, enquanto mais de 40% apresenta riscos elevados, como vulnerabilidades exploráveis.

Atualmente, as equipas de operações de segurança e de aplicações baseiam-se em verificações manuais ou em scripts isolados para avaliar a segurança do software proprietário, o que resulta numa avaliação de segurança ad hoc que impede a capacidade de estabelecer prioridades e de corrigir eficazmente. Além disso, as ferramentas tradicionais de avaliação de vulnerabilidades ou de análise da composição do software não detetam a presença de pacotes de software de código aberto integrados no ambiente de produção. Como resultado, as equipas de segurança são desafiadas a compreender o verdadeiro risco, especialmente em violações de segurança como o famoso incidente Log4J.

A nova solução da Qualys permite que as organizações tragam para o Qualys Vulnerability Management, Detection and Response (VMDR) os seus próprios scripts de deteção e remediação criados com linguagens populares como PowerShell e Python como Qualys ID (QID), que o Qualys Cloud Agent executa de forma segura e controlada. O Qualys TruRisk deteta e prioriza as descobertas no mesmo fluxo de trabalho e gera relatórios da mesma forma que o software de terceiros.

Isto permite que as equipas de aplicações e de segurança aproveitem as suas próprias deteções para identificar conteúdos sensíveis ou confidenciais, avaliar processos críticos e estados de aplicações, marcar ativos com base na presença de dados sensíveis ou PII e mitigar os riscos associados a vulnerabilidades críticas, como o Log4J, configurando parâmetros de ficheiros ou abordando as vulnerabilidades através da modificação de definições de GPO/registo para gerir eficazmente os riscos provenientes de fontes proprietárias e de terceiros.

As novas capacidades da plataforma Qualys permitem às equipas:

· Construir facilmente assinaturas próprias: Crie deteções e correções Qualys (QID) com base em sua própria lógica ou scripts, aproveitando as principais linguagens de script, como Python, PowerShell e outras. Essas deteções são integradas diretamente nos fluxos de trabalho do VMDR e na pontuação do TruRisk, ajudando as equipas de SecOps a unificar e gerir o risco nas suas próprias aplicações e em aplicações de terceiros no seu ambiente.

· Detetar, administrar e reduzir proactivamente os riscos da cadeia de abastecimento: Obtenha visibilidade contínua e em tempo real de pacotes de software open source profundamente incorporados, como Log4J, openSSL e componentes de software comercial usando o Qualys Cloud Agent. O Qualys TruRisk prioriza e correlaciona as informações com base em dados de ameaças de mais de 25 fontes e a criticidade do ativo para o negócio. Esta informação permite que as equipas de segurança reduzam rapidamente o risco de problemas de segurança de alto perfil, tais como ameaças de dia zero e violações Log4J, criando deteção e respostas personalizadas.

· Comunicar eficazmente o risco com relatórios e painéis unificados: Com a integração nativa aos fluxos de trabalho do VMDR, é possível comunicar com eficácia a visão unificada do risco em todo o software interno e de terceiros às partes interessadas, através de painéis e relatórios em tempo real. A integração com sistemas de ticketing, como o ServiceNow e o JIRA, permite a atribuição automática de tickets de correção detalhados aos proprietários através de uma vista comum para reduzir o risco.

"As aplicações proprietárias e de terceiros carecem frequentemente de deteção de riscos, priorização e suporte de correção adequados por parte das ferramentas de scanning", afirmou Sumedh Thakar, presidente e CEO da Qualys. "As nossas capacidades, pioneiras no sector, permitem que as organizações aproveitem as capacidades da plataforma Qualys para identificar e analisar riscos de software, tanto proprietários como de terceiros, para desenvolver uma pontuação TruRisk global para uma visão holística do risco global da organização".