AppSec, de Qualys, securiza los desarrollos de softwares propios

Qualys ha anunciado la apertura de AppSec, su plataforma de gestión de riesgos para que los equipos de seguridad de aplicaciones puedan aportar sus propias detecciones para evaluar, priorizar y remediar el riesgo asociado con el software propio desarrollado y sus componentes embebidos de código abierto.

En la era de la transformación digital, donde las organizaciones desarrollan su propio software resulta relevante, pues las empresas necesitan abordar los desafíos que enfrentan los equipos de seguridad de aplicaciones y operaciones en la evaluación y mitigación del riesgo asociado con el software propio desarrollado y los componentes de código abierto.

El software propio a menudo carece de las prácticas de gestión de vulnerabilidades utilizadas en el software de terceros. Como resultado, los equipos de seguridad se enfrentan al reto de comprender el verdadero riesgo, especialmente en brechas de seguridad como el incidente de Log4J.

¿Cómo funciona la nueva solución de Qualys?

La nueva solución de Qualys permite a las organizaciones incorporar sus propios scripts de detección y corrección, desarrollados en lenguajes comunes como PowerShell y Python, a la plataforma Qualys Vulnerability Management, Detection and Response (VMDR), para evaluar y abordar estos riesgos de manera más efectiva, brindando mayor control y capacidad de priorización en el proceso de gestión de riesgos.

Gracias a la incorporación de estos scripts, se asignan a Identificadores Qualys (QID), los cuales son ejecutados de manera segura y bajo control por el Agente Cloud de Qualys. Posteriormente, Qualys TruRisk identifica y prioriza los resultados en un flujo de trabajo y reportes integrados, en una manera análoga a cómo se trata el software de terceros.

De esta manera, se brinda la oportunidad a los equipos de aplicaciones y seguridad de aprovechar sus propias detecciones para descubrir información confidencial o delicada, evaluar procesos de gran importancia y el estado de las aplicaciones, asignar etiquetas a activos en función de la presencia de datos sensibles o PII, y reducir los riesgos vinculados a vulnerabilidades críticas como Log4J.

Al configurar parámetros de archivos o al abordar la vulnerabilidad Follina mediante ajustes en la configuración de GPO/registro, la nueva solución permite una gestión efectiva de los riesgos que emanan tanto de fuentes internas como de terceros.

Nuevas capacidades incorporadas

Las nuevas funcionalidades de la plataforma Qualys brindan a los equipos la capacidad de:

• Desarrollar de manera sencilla firmas personalizadas: generar detecciones Qualys (QID) y soluciones basadas en lógica o scripts propios utilizando lenguajes de scripting líderes como Python, PowerShell y otros. Estas detecciones se integran directamente en los flujos de trabajo de VMDR y en la evaluación de riesgos de TruRisk, lo que permite a los equipos de SecOps unificar y manejar eficazmente los riesgos en sus propias aplicaciones y en las de terceros dentro de su entorno.
• Identificar, gestionar y proactivamente reducir los riesgos en la cadena de suministro: obtener visibilidad constante y en tiempo real sobre paquetes de software profundamente integrados de código abierto, como Log4J, OpenSSL y componentes de software comercial, utilizando el Agente Cloud de Qualys. Luego, Qualys TruRisk prioriza y relaciona esta información mediante el análisis de amenazas de más de 25 fuentes, considerando la importancia empresarial del activo. Esto permite a los equipos de seguridad mitigar rápidamente los riesgos de problemas de alta relevancia, como vulnerabilidades de día cero y brechas de seguridad de Log4J, mediante la creación de respuestas y detecciones personalizadas.
• Comunicar eficazmente el nivel de riesgo mediante informes y paneles unificados: al integrarse directamente en los flujos de trabajo de VMDR, se logra una comunicación efectiva del panorama de riesgos tanto en el software interno como en el de terceros a las partes interesadas, utilizando paneles e informes en tiempo real. La conexión con sistemas de gestión de tickets como ServiceNow y JIRA permite la asignación automática de detallados tickets de corrección a los responsables correspondientes a través de una vista centralizada, agilizando su cierre y reduciendo así el nivel de riesgo.

Declaraciones

Sumedh Thakar, presidente y CEO de Qualys, ha manifestado: “Nuestras capacidades, pioneras en la industria, permiten a las organizaciones aprovechar las funcionalidades de la plataforma de Qualys para identificar y analizar riesgos de software, tanto propios como de terceros, con el fin de desarrollar una puntuación general de TruRisk para una visión integral del riesgo general de la organización”.