Anwendungen – Apps

Qualys hebt die Automatisierung der Webanwendungssicherheit auf ein neues Level – durch unerreichte Skalierbarkeit und One-Click-Patching

Qualys hebt die Automatisierung der Webanwendungssicherheit auf ein neues Level – durch unerreichte Skalierbarkeit und One-Click-Patching

Philippe Courtot, Chairman und CEO von Qualys

Die nahtlose Integration von Web Application Scanning (WAS) 5.0 mit Web Application Firewall (WAF) 2.0 ermöglicht skalierbares Scannen, Verminderung von Falses Positives und One-Click-Bereitstellung von Patches für Webanwendungen, einschließlich mobiler Apps und IoT-Dienste

Qualys hat seine Dienste für Webanwendungssicherheit jetzt um wichtige Funktionalitäten erweitert. Die neuen Funktionen ermöglichen es, Websites, mobile Anwendungen und Programmierschnittstellen (APIs) über eine einzige, umfassende Plattform zu erkennen, schnell zu scannen und mit Patches zu versorgen. Dank dieser Erweiterungen können die Kunden mit Qualys Web Application Scanning (WAS) 5.0 Tausende von Webanwendungen und APIs scannen, über Web Application Firewall (WAF) 2.0 mit einem Klick virtuelle Patches auf erkannte Schwachstellen anwenden und sämtliche Vorgänge über eine zentralisierte, selbstaktualisierende Cloud-Plattform verwalten.

Webanwendungen zu schützen ist eine komplexe Aufgabe: Die Bedrohungen entwickeln sich ständig weiter, die Vielfalt der Webapplikationen, mobilen Apps und IoT-Anwendungen (Internet der Dinge) ist enorm, und um all diese Anwendungen abzusichern, wird ein breites Spektrum von Systemen benötigt. Qualys begegnet diesen Schwierigkeiten jetzt in zweifacher Weise: zum einen werden die automatisierten Schwachstellenscans für Webanwendungen auf APIs ausgedehnt; zum anderen wird WAF mit zusätzlichen Anpassungsmöglichkeiten, vereinfachten Kontrollmechanismen und noch leistungsfähigeren Sicherheitsregeln optimiert.

Den Kunden steht somit eine einheitliche Cloud-Plattform zur Verfügung, um browser-basierte, mobile und IoT-Services programmgesteuert zügig zu scannen, Schwachstellen in Webanwendungen zu patchen und die Schutzwirkung dann mit simulierten Angriffen zu überprüfen. Zudem versetzt diese flexible Lösung die DevOps-Teams in die Lage, die Webanwendungssicherheit als integralen Bestandteil in ihre Prozesse zu integrieren. So können sie Sicherheitslücken schon in einem frühen Stadium des Entwicklungszyklus erkennen und beheben, um kostspielige Sicherheitsprobleme im Produktivbetrieb zu vermeiden.

„Wir scannen und schützen alle unsere Webanwendungen laufend mit Qualys WAS und sind mit der Geschwindigkeit und Präzision des Dienstes sehr zufrieden“, betont David Cook, Chief Security Officer bei Jive Software. „Wir begrüßen es sehr, dass Qualys WAF uns nun die Möglichkeit gibt, auf Bedrohungen unverzüglich zu reagieren, indem wir mit einem Klick virtuelle Patches auf aktive Schwachstellen anwenden und sie auf diese Weise schnell entschärfen.”

„Der digitale Wandel veranlasst global agierende Unternehmen, sich neu auszurüsten und die Reichweite ihrer Webanwendungen auszudehnen, um die Mobil- und IoT-Revolution voranzutreiben. Dies macht es jedoch schwieriger, alle Anwendungen umfassend zu erkennen und abzusichern“, erklärt Philippe Courtot, Chairman und CEO von Qualys, Inc. „Mit der nahtlosen Integration von WAS 5.0 und WAF 2.0 stellt Qualys den Sicherheitsteams eine leistungsstarke, skalierbare und kosteneffiziente Lösung zur Verfügung, um Tausende von Webanwendungen und IoT-Diensten laufend zu erkennen, zu scannen und zu schützen.“

WAS 5.0 bietet:

  • Programmgesteuertes Scannen von SOAP- und REST-basierten APIs – Neben Scans an Simple Object Access Protocol (SOAP) APIs ermöglicht die Architektur von Qualys WAS jetzt auch Tests von Representational State Transfer (REST) API-Diensten. Die Anwender müssen lediglich auf der Benutzeroberfläche von Qualys WAS angeben, wo die Dienste liegen; dann werden diese vom Scanner auf übliche Mängel in der Anwendungssicherheit getestet.
  • Scannen von IoT- und Mobile-App Backends – Dank der Funktionen für SOAP- und REST-API-Scans kann WAS jetzt IoT-Dienste und mobile Anwendungen sowie API-basierte Business-to-Business-Konnektoren mit der ganzen Präzision und Skalierbarkeit der Qualys Cloud-Plattform auf Sicherheitsmängel testen.
  • Unerreichte Skalierbarkeit durch Parallelisierung von Scan-Ressourcen – Um Scans effizient durchzuführen, verteilt WAS bei Scans an mehreren Anwendungen die Lasten jetzt automatisch auf die verfügbaren Scanner-Appliances. Dies bedeutet weniger Leerlauf für die Appliances bei gleichzeitiger größerer Abdeckung.
  • Vergrößerte Abdeckung – Verbesserungen beim progressiven Scannen ermöglichen es, sehr große Sites Stück für Stück zu scannen, um auch umfangreiche Anwendungen abzudecken, die sich in einem kurzen Zeitfenster nur schwer scannen lassen.

WAF 2.0 bietet:

  • Virtuelle Patches mit einem Klick – Die Funktion zur One-Click-Bereitstellung virtueller Patches ist in die Lösungen Qualys WAF und WAS integriert und adressiert sowohl das Problem der False Positives als auch die Schwierigkeit, Sicherheitslücken schnell zu patchen. Zunächst ermittelt Qualys WAS kritische Sicherheitslücken in Webanwendungen; dann ermöglicht Qualys WAF den Sicherheitsteams, diese Lecks mit einem Klick zu patchen und gezielte Angriffe zu blocken. Dieses integrierte Verfahren befähigt die Sicherheitsteams, Webanwendungen schnell zu schützen, und minimiert Fehlalarme.
  • Out-of-the-Box verfügbare Sicherheitsvorlagen für gängige Plattformen– Die integrierten Webanwendungs-Vorlagen für WordPress, Joomla, Drupal und Outlook basieren auf  den aktuellsten Sicherheitserkenntnissen von Qualys. Sie enthalten vollständig anpassbare Sicherheitsrichtlinien und erleichtern die laufende Überwachung geschäftskritischer Webanwendungen.
  • Benutzerfreundlichkeit und flexible Bereitstellung – WAF ist für VMware, Hyper-V und Amazon Web Services verfügbar. Die Lösung umfasst Lastenausgleich für Webserver, Gesundheitschecks für geschäftskritische Webanwendungen, spezifische Sicherheitsregeln auf Basis von HTTP-Request-Attributen, wiederverwendbare Secure Socket Layer-Profile, detaillierte Informationen zu protokollierten Ereignissen und zentralisiertes WAF-Management.