Qualys anuncia solução para gestão de risco de software proprietário

A Qualys anunciou a abertura da sua plataforma de gestão de riscos às equipas AppSec, com o objetivo de disponibilizar conhecimentos únicos que permitem avaliar, estabelecer prioridades e remediar o risco associado ao software desenvolvido, bem como ao dos seus componentes de código aberto incorporados.

Na era da transformação digital, as organizações estão cada vez mais a desenvolver o seu próprio software para gerir a sua atividade. Este software desenvolvido internamente carece frequentemente das práticas disciplinadas de gestão de vulnerabilidades e de configuração utilizadas para o software de terceiros. Estudos demonstraram que mais de 90% deste software inclui componentes de código aberto, enquanto mais de 40% apresenta riscos elevados, como vulnerabilidades exploráveis.

Atualmente, as equipas de operações de segurança e de aplicações baseiam-se em verificações manuais ou em scripts isolados para avaliar a segurança do software proprietário, o que resulta numa avaliação de segurança ad hoc que impede a capacidade de estabelecer prioridades e de corrigir eficazmente. Além disso, as ferramentas tradicionais de avaliação de vulnerabilidades ou de análise da composição do software não detetam a presença de pacotes de software de código aberto integrados no ambiente de produção. Como resultado, as equipas de segurança são desafiadas a compreender o verdadeiro risco, especialmente em violações de segurança como o famoso incidente Log4j.

Esta solução da Qualys permite que as organizações tragam para o Qualys Vulnerability Management, Detection and Response (VMDR) os seus próprios scripts de deteção e remediação criados com linguagens populares como PowerShell e Python como Qualys ID (QID), que o Qualys Cloud Agent executa de forma segura e controlada. O Qualys TruRisk deteta e prioriza as descobertas no mesmo fluxo de trabalho e gera relatórios da mesma forma que o software de terceiros.

Isto permite que as equipas de aplicações e de segurança aproveitem as suas próprias deteções para identificar conteúdos sensíveis ou confidenciais, avaliar processos críticos e estados de aplicações, marcar ativos com base na presença de dados sensíveis ou PII e mitigar os riscos associados a vulnerabilidades críticas, como o Log4J, configurando parâmetros de ficheiros ou abordando as vulnerabilidades através da modificação de definições de GPO/registo para gerir eficazmente os riscos provenientes de fontes proprietárias e de terceiros.

“As aplicações proprietárias e de terceiros carecem frequentemente de deteção de riscos, priorização e suporte de correção adequados por parte das ferramentas de scanning”, afirmou Sumedh Thakar, presidente e CEO da Qualys. “As nossas capacidades, pioneiras no sector, permitem que as organizações aproveitem as capacidades da plataforma Qualys para identificar e analisar riscos de software, tanto proprietários como de terceiros, para desenvolver uma pontuação TruRisk global para uma visão holística do risco global da organização”.