En plena transformación digital las organizaciones desarrollan su propio software para dirigir su negocio. Este software, conocido como first-party software, no suele contar con las prácticas de gestión de vulnerabilidades y configuración que se utilizan para el software de terceros, señalan desde el proveedor de soluciones de cumplimiento y seguridad basadas en la nube, Qualys. Y que, según varios estudios, más del 90 % de este software incluye componentes de código abierto y más del 40 % presenta riesgos elevados, como vulnerabilidades explotables.
Qualys pone de manifiesto que los equipos de aplicaciones y operaciones de seguridad confían en comprobaciones manuales o scripts aislados para evaluar la seguridad del software de origen. Esto da lugar a una evaluación de seguridad que imposibilita la capacidad de priorizar y remediar de forma eficaz, recuerdan. Sin olvidar que las herramientas tradicionales de evaluación de vulnerabilidades o de análisis de la composición del software no detectan la presencia de paquetes de código abierto embebidos en el entorno de producción. Como resultado, los equipos de seguridad se enfrentan al reto de comprender el verdadero riesgo, especialmente en brechas de seguridad como el incidente de Log4J.
Para solucionar estos problemas Qualys abre su plataforma de gestión de riesgos para que los equipos de AppSec aporten sus detecciones particulares para evaluar, priorizar y remediar el riesgo asociado con el software propio desarrollado, así como el de sus componentes embebidos de código abierto.
¿Qué permite la plataforma Qualys a los equipos? Construir fácilmente firmas propias. Detectar, administrar y reducir proactivamente los riesgos de la cadena de suministro. Y comunicar eficazmente el riesgo con informes y paneles unificado.
Además, la nueva solución de Qualys permite a las organizaciones llevar a Qualys Vulnerability Management, Detection and Response (VMDR) sus propios scripts de detección y remediación creados con lenguajes como PowerShell y Python como Qualys ID (QID), que el agente cloud de Qualys ejecuta de forma segura y controlada. A continuación, Qualys TruRisk detecta y prioriza los hallazgos en el mismo flujo de trabajo e informes, del mismo modo que en el software de terceros. Esto permite a los equipos de aplicaciones y seguridad aprovechar sus propias detecciones para identificar contenido confidencial o sensible, evaluar procesos críticos y estados de aplicaciones, etiquetar activos según la presencia de datos confidenciales o PII y mitigar los riesgos asociados a vulnerabilidades críticas como Log4J configurando parámetros de archivos o abordando vulnerabilidades.
