Qualys facilita que los equipos de AppSec gestionen los riesgos del software propio
- Actualidad
Qualys ha desarrollado una solución dentro de su plataforma de gestión de riesgos que permite a los equipos de seguridad de aplicaciones detectar, priorizar y remediar las vulnerabilidades, tanto dentro del propio software desarrollado como de los componentes de código abierto integrados.
Cada organización desarrolla su propio software para operar su negocio. Este software de origen o desarrollado por la propia empresa (conocido como first-party software), a menudo carece de las disciplinadas prácticas de gestión de vulnerabilidades y configuración que se utilizan para el software de terceros. Los estudios han demostrado que más del 90% de este software incluye componentes de código abierto, mientras que más del 40% presenta riesgos elevados, como vulnerabilidades explotables.
En la actualidad, los equipos de aplicaciones y operaciones de seguridad confían en comprobaciones manuales o scripts aislados para evaluar la seguridad del software de origen, lo que da lugar a una evaluación de seguridad ad hoc que imposibilita la capacidad de priorizar y remediar de forma eficaz. Además, las herramientas tradicionales de evaluación de vulnerabilidades o de análisis de la composición del software no detectan la presencia de paquetes de código abierto embebidos en el entorno de producción. Como resultado, los equipos de seguridad se enfrentan al reto de comprender el verdadero riesgo, especialmente en brechas de seguridad como el incidente de Log4J.
Para que esto no ocurra, Qualys ha anunciado la apertura de su plataforma de gestión de riesgos para que los equipos de AppSec aporten sus detecciones particulares para evaluar, priorizar y remediar el riesgo asociado con el software propio desarrollado, así como el de sus componentes embebidos de código abierto.
En concreto, según explica, la solución permite a las organizaciones llevar a Qualys Vulnerability Management, Detection and Response (VMDR) sus propios scripts de detección y remediación creados con lenguajes populares como PowerShell y Python como Qualys ID (QID), que el Agente Cloud de la compañía ejecuta de forma segura y controlada. A continuación, Qualys TruRisk detecta y prioriza los hallazgos en el mismo flujo de trabajo e informes, del mismo modo que en el software de terceros.
Esto permite a los equipos de aplicaciones y seguridad aprovechar sus propias detecciones para identificar contenido confidencial o sensible, evaluar procesos críticos y estados de aplicaciones, etiquetar activos según la presencia de datos confidenciales o PII y mitigar los riesgos asociados a vulnerabilidades críticas como Log4J configurando parámetros de archivos o abordando la vulnerabilidad Follina mediante modificación en la configuración de GPO/registro para gestionar eficientemente el riesgo que surge de fuentes propias y de terceros.
