Nieuwe mogelijkheden zorgen voor dieper en completer scannen van grote, complexe webapplicaties
- Bedrijfsnieuws van
- Qualys
- geplaatst op
- 3 februari 2015 14:40 uur
Qualys, Inc. (Nasdaq: QLYS), toonaangevend leverancier van cloud security- en compliance-oplossingen, heeft de nieuwste versie van de Qualys Web Application Scanning-oplossing (WAS) voorzien van mogelijkheden voor continue progressieve scanning. Deze functionaliteit is nodig om het systematisch doorzoeken van websites (‘crawling’) te verkorten en de impact van scanning op deze sites te bepalen. Daarnaast biedt Qualys WAS nu flexibele rapportageopties die gerichte data bieden aan de belangrijkste betrokkenen. Zo helpt de oplossing bij het minimaliseren van de risico’s van verborgen kwetsbaarheden.
Het web is nu het meest dominante aanvalskanaal voor cyberaanvallen. Hackers richten zich op het vinden van nieuwe manieren om de beveiliging in webapplicaties te doorbreken. Dit is onlangs weer onderstreept met de situatie rond de Shellshock-kwetsbaarheid. Door deze ontwikkeling zijn handmatige testen niet langer in staat om grote aantallen web-apps te ontdekken en te scannen. Hierdoor is geautomatiseerde progressieve scanning een vereiste geworden.
“Application Security Testing – AST – wordt steeds belangrijker voor organisaties van elke omvang. In de beginjaren van AST richtten bedrijven zich op het dynamisch testen van hun aan het internet gekoppelde webapplicaties. De eisen aan grootzakelijke AST zijn nu echter veel hoger en de AST-mogelijkheden hebben zich uitgebreid naar verschillende dimensies”, schrijven Neil MacDonald en Joseph Feiman van Gartner in hun rapport ‘Critical Capabilities for Application Security Testing’, dat dateert van september 2014.
Qualys Web Application Scanning is een cloud-dienst die voorziet in geautomatiseerde crawling en testen van maatwerkwebapplicaties. Doel daarvan is het identificeren van kwetsbaarheden op gebieden als cross-site scripting (XSS) en SQL injection. De geautomatiseerde service biedt regelmatige testen die consistente resultaten opleveren, reduceert het aantal false positives en is voldoende schaalbaar voor grote aantallen websites. Qualys WAS scant websites ook proactief op malware-infecties en stuurt alerts naar eigenaren van websites om search engine black listing en reputatieschade te voorkomen. Met continue progressieve scanning stelt een klant heel eenvoudig geautomatiseerd websitescans in binnen specifieke scanwindows. Met een nieuw algoritme voor progressieve scanning controleert Qualys WAS alleen die delen van de website, die gewijzigd zijn tussen scans in. Dat vermindert de impact van de overall scan.
“De flexibiliteit, accuratesse en schaalbaarheid van Qualys WAS helpt ons bij het stroomlijnen van ons webapplicatietestproces”, zegt Alexander Anoufriev, CISO van ThousandEyes. “Ik ben erg enthousiast over de toevoeging van continue progressieve scanning. Dat stelt ons in staat om de scanefficiëntie te vergroten en de stap te maken naar continue beveiliging. Het toevoegen van nieuwe rapportages biedt verder de mogelijkheden die we nodig hebben om ons bestaande kwetsbaarheidsbeheer uit te breiden voor wat betreft webapplicatiegerelateerde risico’s.”
De nieuwste versie van Qualys WAS biedt meer inzicht in de risico’s van web-apps en omvat:
· progressieve ‘crawling’ – vergroot het bereik van testen van webapplicaties. Elke scan bouwt voort op de informatie uit eerdere scans, waarbij nieuwe pagina’s prioriteit krijgen boven eerder geteste pagina’s;
· progressief testen – verbetert de flexibiliteit van het scannen door het automatisch starten, stoppen en hervatten van scans binnen netwerken zonder handmatige tussenkomst;
· nieuwe rapportagetemplates – maatwerkrapportageopties voor stakeholders verkorten de tijd die nodig is voor rapporteren.
“In de digitale wereld van vandaag zijn webapplicaties het nieuwe werkveld van aanvallers die toegang zoeken tot bedrijfsgegevens of persoonlijke data”, zegt Philippe Courtot, bestuursvoorzitter en CEO van Qualys, Inc. “Onze webapplicatiescanoplossing is vanaf het begin ontwikkeld met het oog op schaalbaarheid en nauwkeurigheid, omdat we anticipeerden op de explosieve groei van web-apps. Met de progressieve scanmogelijkheden is een nieuwe mijlpaal bereikt. In combinatie met onze recent gelanceerde Web Application Firewall zijn bedrijven in staat de veiligheid van hun web-apps te waarborgen.”