Aufsetzend auf der Qualys Cloud-Plattform korreliert ThreatPROTECT Daten aus Schwachstellenscans mit Daten zu aktiven Bedrohungen aus zahlreichen Quellen und stellt sie in einem dynamischen Dashboard dar. Damit erhalten Unternehmen eine ganzheitliche und kontextbezogene Sicht auf ihre Angriffsfläche.
Mit ThreatPROTECT können Kunden visualisieren, priorisieren und aktiv werden, um die Anfälligkeit durch Schwachstellen für die schwerwiegendsten Bedrohungen zu verringern.
Nicht alle Common Vulnerabilities and Exposures (CVEs) sind gleich: Wie der 2015 Verizon Data Breach Investigations Report zeigt, kompromittierte rund die Hälfte der CVEs, die ausgenutzt wurden, in weniger als einem Monat nach ihrer Veröffentlichung IT-Assets von Unternehmen. Der Studie zufolge entfallen 97 Prozent aller Exploits auf nur zehn CVEs.
Der Umgang mit der enormen Zahl von Schwachstellen bleibt für die meisten Unternehmen ein Problem, weil die Beseitigung jeder einzelnen erhebliche Zeit in Anspruch nehmen kann. Der Versuch, um jeden Preis sämtliche Sicherheitslücken zu stopfen, kann dazu führen, dass kritische Lecks längere Zeit offen bleiben.
Um die Risiken sofort und messbar reduzieren zu können, müssen Unternehmen bei ihren Abhilfemaßnahmen gezielt Prioritäten setzen. Dazu müssen sie Sicherheitslücken nicht nur genau identifizieren können, sondern auch eine Reihe zeitpunktbezogener Faktoren verstehen, die erheblichen Einfluss auf die Risikoposition insgesamt haben. Sicherheitslücken, für die es öffentlich verfügbare und von Angreifern aktiv ausgenutzte Exploits gibt, stellen hierbei ein größeres Risiko dar, als weniger bekannte und automatisierte Schwachstellen.
Die Verbindung aus praxisrelevanten Sicherheitsinformationen und Unternehmenskontext ermöglicht wirkungsvollere Maßnahmen gegen diejenigen Bedrohungen, die am gravierendsten sind. Eine solche Vorgehensweise bewahrt die IT-Bestände vor Kompromittierung und schützt die Marke eines Unternehmens.
Qualys ThreatPROTECT korreliert die Schwachstellendaten, die von Scannern oder in Echtzeit über Cloud-Agenten gesammelt werden, mit Real-time Threat Indicators (Echtzeit-Bedrohungsindikatoren, RTI) aus zahlreichen Branchenquellen. Auf einem leicht verständlichen, anschaulichen Dashboard zeigt der Dienst den Kunden, welche Schwachstellen sie zuerst beseitigen sollten.
Ausgestattet mit leistungsstarken ElasticSearch-Funktionen, hilft ihnen das dynamische ThreatPROTECT-Dashboard, Sicherheitslücken schnell zu finden und die Korrekturmaßnahmen anhand der RTIs so zu priorisieren, wie es die tatsächliche Gefährdung in der freien Wildbahn erfordert.
RTIs sind externe Datenpunkte, die die Daten aus den Qualys Schwachstellenscans bereichern und zusätzlichen Kontext liefern, wenn sie mit diesen korreliert werden. RTIs können eigenständig verwendet oder miteinander kaskadiert werden, um bei der Installation von Patches die richtigen Prioritäten zu setzen oder, falls keine Patches verfügbar sind, kompensierende Kontrollen auszuwählen, die die Anfälligkeit verringern. Das interaktive, dynamische Dashboard von Qualys ThreatPROTECT hilft den Kunden, das Bedrohungsniveau zu visualisieren.
Die Erkenntnisse können auch mit zusätzlichen Informationen über die IT-Umgebung kombiniert werden, die aus anderen Modulen wie etwa AssetView™ stammen. Auf diese Weise gewinnen die Kunden weitere Informationen, die ihnen helfen, zuallererst diejenigen IT-Assets abzusichern, die am wichtigsten und den größten Risiken ausgesetzt sind.
„In der heutigen schnell veränderlichen Bedrohungslandschaft können sich Unternehmen am wirksamsten schützen, indem sie Assets korrekt identifizieren, Bedrohungen priorisieren und Maßnahmen ergreifen, um einer Kompromittierung vorzubeugen“, erklärt Philippe Courtot, Chairman und CEO von Qualys. „Wir setzen weiterhin auf Innovationen und nutzen unsere erweiterbare Cloud-Architektur, um unseren Kunden Lösungen wie ThreatPROTECT zur Verfügung zu stellen.“
Quellen für die Qualys Real-time Threat Indicators (RTI)
Die RTI-Daten gewinnt Qualys aus seinen eigenen Untersuchungen sowie zahlreichen externen Quellen. Das weltweite Team aus Sicherheitsforschern in den Research Labs überwacht und verfolgt die RTI-Datenpunkte laufend. Dazu zählen Informationen zu Angriffen, Exploits und Exploit-Kits. Außerdem werden diese Informationen analysiert, um weitere RTI-Eigenschaften wie etwa die „laterale Bewegung“ zu ermitteln.
Darüber hinaus unterhält Qualys Partnerschaften mit vertrauenswürdigen Branchenquellen wie Core Security, Exploit Database, Immunity, TrendMicro, VeriSign iDefense und anderen, von denen Bedrohungsinformationen bezogen und korreliert werden.