Qualys voorziet organisaties van bruikbare informatie over dreigingen

Qualys kondigt de oplossing Qualys ThreatPROTECT aan. De oplossing – gebouwd op het Qualys Cloud Platform – correleert gegevens van scans op kwetsbaarheden met gegevens over actieve bedreigingen van verschillende bronnen. In een dynamisch dashboard krijgt de gebruiker een holistisch en contextueel overzicht van de bedreigingen waar een organisatie aan blootgesteld is. Met ThreatPROTECT kunnen klanten visualiseren, prioriteren en actie ondernemen om zo min mogelijk te worden blootgesteld aan kwetsbaarheden gerelateerd aan de bedreigingen die er het meest te doen.

Niet alle Common Vulnerabilities and Exposures (CVE’s) worden op dezelfde manier gecreëerd. Volgens het Data Breach Investigations Report van Verizon uit 2015 ging ongeveer de helft van de CVE’s die werden ingezet, in minder dan een maand tijd van uitbrengen naar daadwerkelijk misbruik, wat bedrijfsmiddelen in gevaar brengt. Volgens het rapport zijn tien CVE’s goed voor bijna 97 procent van alle misbruik van systemen.

Het omgaan met grote aantallen kwetsbaarheden blijft voor de meeste bedrijven een probleem, aangezien het oplossen van elk probleem een aanzienlijke hoeveelheid tijd in beslag kan nemen. Het willen oplossen van elke kwetsbaarheid leidt ertoe dat cruciale problemen langere tijd niet aangepakt worden.

Organisaties moeten voorrang geven aan herstelpogingen om risico’s direct en meetbaar te kunnen verkleinen. Hiervoor is het niet alleen nodig om kwetsbaarheden te identificeren, maar ook om inzicht te verkrijgen in diverse tijdsfactoren die significant bijdragen aan de totale blootstelling aan risico’s. Zo zijn sommige kwetsbaarheden met openbaar beschikbare exploits die door aanvallers actief benut worden, een grotere blootstelling aan bedreiging dan minder bekende en geautomatiseerde kwetsbaarheden. Het verstrekken van bruikbare beveiligingsinformatie met context over de organisatie leidt tot betere maatregelen tegen de bedreigingen die er het meest toe doen, zodat IT-activa en het organisatiemerk beschermd worden tegen kwetsbaarheden.

Qualys ThreatPROTECT benut gegevens over kwetsbaarheiden die zijn verzameld via Qualys-scanners of realtime via de Qualys Cloud Agents, en correleert deze met RTI’s (Real-time Threat Indicators) van bronnen in meerdere branches. Hierdoor krijgen klanten via een eenvoudig te begrijpen dashboard inzicht in welke kwetsbaarheden het eerst aangepakt moeten worden. Het dynamische ThreatPROTECT-dashboard met krachtige ElasticSearch-mogelijkheden helpt klanten om snel reacties op kwetsbaarheden te vinden en er prioriteit aan te geven. Die reacties zijn gebaseerd op deze RTI’s, in overeenstemming met het niveau van zogenaamde ‘in the wild’ bedreigingen: virussen en malware die daadwerkelijk reguliere gebruikerssystemen aantasten.

Qualys-615x606

RTI’s zijn externe datapunten die context geven en verrijken wanneer ze gecorreleerd worden met gegevens over kwetsbaarheidsscans die zijn verzameld door Qualys. RTI’s kunnen op zelfstandige basis gebruikt worden, of in combinatie met elkaar om prioriteit te geven aan de pogingen voor het patchen of – wanneer er geen patches beschikbaar zijn – om compenserende controles te selecteren om beddreigingen te verminderen. De interactieve, dynamische dashboards in Qualys ThreatPROTECT helpen klanten om het bedreigingsniveau te visualiseren. Dit is te combineren met extra informatie over de omgeving in andere modules zoals AssetView. Hiermee zijn klanten in staat om informatie over activa verder te analyseren, zodat prioriteit gegeven kan worden aan het herstel van de belangrijkste activa die het meest aan bedreigingen worden blootgesteld.

“Vandaag de dag zijn bedreigingen alomtegenwoordig en bovendien continu aan verandering onderhevig. De meest effectieve manier voor bedrijven om zichzelf te beschermen, is door activa accuraat te identificeren, prioriteit te geven aan bedreigingen en actie te ondernemen om compromitteren te voorkomen”, zegt Philippe Courtot, voorzitter en CEO van Qualys. “We blijven innoveren en onze uitgebreide cloudarchitectuur benutten om onze klanten oplossingen als ThreatPROTECT te kunnen blijven bieden.”

Bron van Qualys Real-time Threat Indicators (RTI’s)

Qualys verzamelt RTI-informatie uit eigen onderzoek en uit diverse externe bronnen. In zijn onderzoekslaboratoria heeft Qualys een internationaal team van onderzoekers die RTI-datapunten continu monitoren en volgen, waaronder informatie over aanvallen, exploits en exploitkits. De onderzoekers van Qualys analyseren deze informatie ook om aanvullende RTI-attributen te bepalen, zoals Lateral Movement. Daarnaast heeft Qualys partnerships met betrouwbare partijen in de branche – zoals Core Security, Exploit Database, Immunity, Trend Micro, VeriSign iDefense en andere – die informatie verschaffen, die gecorreleerd wordt. Huidige RTI’s in de nieuwe dienst zijn onder meer de volgende.

RTI Beschrijving
Zero Day Actieve aanval ‘in the wild’, maar de verkoper heeft hier geen patch voor.
Exploit Public Exploit is welbekend en er is een werkende exploitatiecode openbaar beschikbaar. Het potentieel van actieve aanvallen is zeer hoog.
Actively Attacked Actieve aanvallen zijn ‘in the wild’ gezien. Indien er geen patches zijn, markeert Qualys het, naast actief aangevallen, als Zero Day.
High-Lateral Movement Na een succesvol compromitteren is de kans groot dat de aanvaller andere machines in het netwerk compromitteert.
Easy Exploit De aanval is eenvoudig uit te voeren en er zijn weinig vaardigheden of extra informatie voor nodig.
High Data Loss Succesvolle exploitatie zal leiden tot massaal verlies van gegevens op de host.
Denial of Service Succesvolle exploitatie zal leiden tot dienstweigering.
No Patch Verkoper heeft geen officiële fix geleverd.
Malware Er is malware geassocieerd met deze kwetsbaarheid.
Exploit Pack Exploit Pack is geassocieerd met deze kwetsbaarheid.