AppSec, de Qualys, securiza los desarrollos de softwares propios

Qualys ha anunciado la apertura de AppSec, su plataforma de gestión de riesgos para que los equipos de seguridad de aplicaciones puedan aportar sus propias detecciones para evaluar, priorizar y remediar el riesgo asociado con el software propio desarrollado y sus componentes embebidos de código abierto.

En la era de la transformación digital, donde las organizaciones desarrollan su propio software resulta relevante, pues las empresas necesitan abordar los desafíos que enfrentan los equipos de seguridad de aplicaciones y operaciones en la evaluación y mitigación del riesgo asociado con el software propio desarrollado y los componentes de código abierto.

El software propio a menudo carece de las prácticas de gestión de vulnerabilidades utilizadas en el software de terceros. Como resultado, los equipos de seguridad se enfrentan al reto de comprender el verdadero riesgo, especialmente en brechas de seguridad como el incidente de Log4J.

¿Cómo funciona la nueva solución de Qualys?

La nueva solución de Qualys permite a las organizaciones incorporar sus propios scripts de detección y corrección, desarrollados en lenguajes comunes como PowerShell y Python, a la plataforma Qualys Vulnerability Management, Detection and Response (VMDR), para evaluar y abordar estos riesgos de manera más efectiva, brindando mayor control y capacidad de priorización en el proceso de gestión de riesgos.

Gracias a la incorporación de estos scripts, se asignan a Identificadores Qualys (QID), los cuales son ejecutados de manera segura y bajo control por el Agente Cloud de Qualys. Posteriormente, Qualys TruRisk identifica y prioriza los resultados en un flujo de trabajo y reportes integrados, en una manera análoga a cómo se trata el software de terceros.

De esta manera, se brinda la oportunidad a los equipos de aplicaciones y seguridad de aprovechar sus propias detecciones para descubrir información confidencial o delicada, evaluar procesos de gran importancia y el estado de las aplicaciones, asignar etiquetas a activos en función de la presencia de datos sensibles o PII, y reducir los riesgos vinculados a vulnerabilidades críticas como Log4J.

Al configurar parámetros de archivos o al abordar la vulnerabilidad Follina mediante ajustes en la configuración de GPO/registro, la nueva solución permite una gestión efectiva de los riesgos que emanan tanto de fuentes internas como de terceros.

Nuevas capacidades incorporadas

Las nuevas funcionalidades de la plataforma Qualys brindan a los equipos la capacidad de:

  • Desarrollar de manera sencilla firmas personalizadas: generar detecciones Qualys (QID) y soluciones basadas en lógica o scripts propios utilizando lenguajes de scripting líderes como Python, PowerShell y otros. Estas detecciones se integran directamente en los flujos de trabajo de VMDR y en la evaluación de riesgos de TruRisk, lo que permite a los equipos de SecOps unificar y manejar eficazmente los riesgos en sus propias aplicaciones y en las de terceros dentro de su entorno.
  • Identificar, gestionar y proactivamente reducir los riesgos en la cadena de suministro: obtener visibilidad constante y en tiempo real sobre paquetes de software profundamente integrados de código abierto, como Log4J, OpenSSL y componentes de software comercial, utilizando el Agente Cloud de Qualys. Luego, Qualys TruRisk prioriza y relaciona esta información mediante el análisis de amenazas de más de 25 fuentes, considerando la importancia empresarial del activo. Esto permite a los equipos de seguridad mitigar rápidamente los riesgos de problemas de alta relevancia, como vulnerabilidades de día cero y brechas de seguridad de Log4J, mediante la creación de respuestas y detecciones personalizadas.
  • Comunicar eficazmente el nivel de riesgo mediante informes y paneles unificados: al integrarse directamente en los flujos de trabajo de VMDR, se logra una comunicación efectiva del panorama de riesgos tanto en el software interno como en el de terceros a las partes interesadas, utilizando paneles e informes en tiempo real. La conexión con sistemas de gestión de tickets como ServiceNow y JIRA permite la asignación automática de detallados tickets de corrección a los responsables correspondientes a través de una vista centralizada, agilizando su cierre y reduciendo así el nivel de riesgo.

Declaraciones

Sumedh Thakar, presidente y CEO de Qualys, ha manifestado: “Nuestras capacidades, pioneras en la industria, permiten a las organizaciones aprovechar las funcionalidades de la plataforma de Qualys para identificar y analizar riesgos de software, tanto propios como de terceros, con el fin de desarrollar una puntuación general de TruRisk para una visión integral del riesgo general de la organización”.

Antonio Adrados Herrero

Recent Posts

Silicon Pulse: Titulares de la semana #33

Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…

2 horas ago

Los ingresos por productos de Snowflake superan los 900 millones de dólares

De los 942,1 millones de dólares que ingresó en el tercer trimestre, 900,3 millones corresponden…

10 horas ago

Check Point: 2024, récord en ciberataques con la IA como enemiga y aliada

“En 2024 se ha registrado un crecimiento exponencial en los ciberataques, con empresas de todo…

11 horas ago

Los ingresos trimestrales de NVIDIA aumentan un 94 %

Durante su trimestre más reciente acumuló un total de 35.100 millones de dólares.

12 horas ago

Sage concluye “un año de éxito”

Durante su ejercicio fiscal 2024 mejoró un 9 % los ingresos totales subyacentes, por encima…

13 horas ago

Inetum quiere duplicar su plantilla en Aragón

Ha estrenado oficinas en Zaragoza, está presente en el Parque Tecnológico Walqa y tiene previsto…

14 horas ago