Qualys làm phong phú thêm danh mục giảm thiểu rủi ro bằng giải pháp phù hợp cho phần mềm của bên thứ nhất

Qualys, nhà cung cấp giải pháp quản lý rủi ro, đã công bố một giải pháp tiên phong nhằm vào các nhóm AppSec, giải quyết cụ thể các rủi ro liên quan đến phần mềm bên thứ nhất và các thành phần nguồn mở nhúng của nó. Bước đột phá mới hơn này được xây dựng dựa trên nền tảng quản lý rủi ro Qualys hiện có và cam kết biến việc đánh giá lỗ hổng thành một nhiệm vụ ít khó khăn hơn đối với các tổ chức.

Với sự ra đời của thời đại chuyển đổi kỹ thuật số, hầu hết các công ty đã phát triển phần mềm của riêng họ để tạo thuận lợi cho hoạt động của họ. Tuy nhiên, thường thì phần mềm của bên thứ nhất như vậy thiếu tính dễ bị tổn thương và quản lý cấu hình thường là yếu tố chính của các lựa chọn thay thế của bên thứ ba. Đây là nơi Qualys tìm cách tạo dấu ấn.

Theo thống kê Qualys, hơn 90% gói phần mềm của bên thứ nhất bao gồm các thành phần nguồn mở và 40% khổng lồ chứa các yếu tố rủi ro cao. Những yếu tố này có thể bao gồm nhưng không giới hạn ở những điểm yếu có thể khai thác. Do đó, các tổ chức hiện đang đặt niềm tin vào kiểm tra thủ công hoặc tập lệnh bị ngắt kết nối để đánh giá tính bảo mật của phần mềm bên thứ nhất của họ. Đương nhiên, quá trình này rất khó khăn và gây bất lợi cho việc sắp xếp thứ tự ưu tiên và khắc phục rủi ro một cách hiệu quả.

Các phương pháp đánh giá lỗ hổng thông thường hoặc các công cụ phân tích thành phần phần mềm không được trang bị để xác định hiệu quả các gói nguồn mở được nhúng trong môi trường sản xuất. Do đó, các nhóm bảo mật phải vật lộn để hiểu được mức độ rủi ro thực tế, đặc biệt là trong các vi phạm bảo mật ở quy mô đã chứng kiến ​​trong sự cố Log4J. Giải pháp sáng tạo do Qualys đề xuất đang tìm cách giải quyết lỗ hổng đáng kể này, đồng thời ban hành khả năng hiển thị và kiểm soát tốt hơn đối với các rủi ro liên quan đến phần mềm của bên thứ nhất.

Khi bày tỏ quan điểm của công ty mình về những lo ngại về bảo mật liên quan đến phần mềm của bên thứ nhất, Gabriel Julián Carrera, CISO tại OSED, đã chia sẻ: “Chúng tôi thường phải đối mặt với các tình huống mà nhu cầu bảo mật của chúng tôi vượt quá khả năng của phần mềm bán sẵn. Do đó, chúng tôi phải sử dụng các tập lệnh độc lập để đạt được các đánh giá mà các giải pháp độc quyền của chúng tôi yêu cầu. Việc cung cấp Qualys loại bỏ cách tiếp cận phân mảnh này và tích hợp các đánh giá độc quyền và các công cụ thương mại vào Qualys TruRisk Platform hợp nhất, nhờ đó tiết kiệm thời gian và giúp chúng tôi đi trước những kẻ tấn công tiềm năng một bước.”

Nền tảng Qualys mới chứa các khả năng vượt trội. Giờ đây, các nhóm có thể tạo phát hiện Qualys (QID) và biện pháp khắc phục dựa trên logic hoặc tập lệnh riêng được phát triển thông qua các ngôn ngữ tập lệnh chính như Python và PowerShell, cùng các ngôn ngữ khác. Các tính năng đáng chú ý khác bao gồm khả năng hiển thị theo thời gian thực vào các gói phần mềm nguồn mở được nhúng sâu, chẳng hạn như Log4J và openSSL cũng như các thành phần phần mềm thương mại, tận dụng Qualys Cloud Agent.

Sự phát triển này cũng làm nổi bật tầm quan trọng ngày càng tăng của các nền tảng như AppMaster trong bối cảnh công nghệ của chúng ta, cho phép các doanh nghiệp xây dựng liền mạch các ứng dụng phụ trợ, web và di động mà no-code. Với các công cụ mạnh mẽ của mình, AppMaster đang tiên phong trong phong trào cho phép các doanh nghiệp tạo ứng dụng nhanh chóng với chi phí hợp lý, tiếp tục khuếch đại tầm quan trọng của nền tảng như Qualys trong việc xác định và quản lý rủi ro.