Qualys

A DORA és a NIS2 megfelelőségek kapcsán a következő szolgáltatások és képességek kiemelten fontosak:

  • Sérülékenység menedzsment: Azonosítja, elemzi és priorizálja a rendszer sérülékenységeit, hogy minimalizálják a biztonsági kockázatokat.
  • Eszköz menedzsment: Felügyeli és kezeli a hálózatra csatlakoztatott eszközöket, biztosítva azok biztonságát és megfelelőségét.
  • Biztonsági forráskódelemzés: Ellenőrzi a szoftverek forráskódját, hogy felfedezze a biztonsági hibákat és sebezhetőségeket.
  • Szoftverellátási lánc biztonsági ellenőrzés: Biztosítja, hogy a szoftverek és komponenseik biztonságos forrásból származnak, és megfelelnek a biztonsági követelményeknek.

Ezek a szolgáltatások kulcsfontosságúak lehetnek a 2024. évi LXIX. törvény Magyarország kiberbiztonságáról (NIS2) megfelelés biztosításában, mivel elősegítik a kiberbiztonsági fenyegetések megelőzését, felismerését és kezelését.

Az általunk ajánlott megoldások elengedhetetlenek a fenti jogszabályoknak való megfeleléshez.

Mindkét gyártónk a saját területén piacvezető és szinte minden szakmai díjat, elismerést elnyernek.

A Qualys egy Sérülékenység Menedzsment rendszerből nőtte ki magát, de ma már egy teljeskörű IT Security és Compliance platform, amely, több mint 20 féle IT biztonsági megoldást kínál.

A Qualys segít automatizálni az IT-rendszerek és webalkalmazások auditálásának, megfelelőségének és védelmének teljes spektrumát.

Az alábbiakban összegyűjtöttük a legérdekesebb megoldásokat, amelyeket örömmel mutatunk be prezentáció vagy demó formájában. Sőt, igény esetén lehetőséget biztosítunk a megoldások tesztelésére is, hogy a gyakorlatban is kipróbálhassák őket.

  • Qualys VMDR,
    ami egy All-in-One Vulnerability Management, Detection, and Response rendszer. Mióta beépítették a Tru-Risk megoldást Cyber Risk management rendszerként is használható. ITSM rendszerekhez kapcsolható.

    Gyártói oldal: https://www.qualys.com/apps/vulnerability-management-detection-response/

  • Qualys Cyber Security Asset Management (CSAM) az IT üzemeltetés és a biztonsági szakértők számára egy újragondolt eszközmenedzsment megoldás. A Qualys CSAM segítségével a szervezetek folyamatosan leltározhatják az infrastruktúrájukban lévő fizikai és virtuális eszközöket. Üzletkritikusság szempontjából az egyes eszközökre beállíthatók különböző prioritások. Ezáltal átláthatóbbak lesznek a kockázati összefüggések és azonosíthatóak a biztonsági hiányosságok, például illetéktelen vagy End-of-Life szoftverek és megfelelő intézkedésekkel reagálhatnak a kockázat csökkentésére.

    Gyártói oldal: https://www.qualys.com/apps/cybersecurity-asset-management/

  • Qualys Web Application Scanning (WAS) rendszer: A Qualys egyik erőssége a webes alkalmazások biztonsági tesztelésére és elemzésére kialakított WAS modul. Segítségével elvégezhetjük az éles, illetve tesztrendszereink vizsgálatát egyaránt. A modul képes a Malware-ek detektálására, valamint CI/CD pipeline-ba kötve a fejlesztés után DAST elemzés is végezhető vele az alkalmazásokon.

    Gyártói oldal: https://www.qualys.com/apps/web-app-scanning/

  • Qualys Patch Management (PM) rendszer: A Qualys automatizálható Patch Management rendszere. A legtöbb gyártói platformot és operációs rendszert támogatja. A Qualys Patch Management egy felhőszolgáltatás, amely segít az IT biztonsági és az informatikai szakembereknek naprakészen tartani a rendszereiket. A modul segítségével az operációs rendszerek (OS), mobileszközök és harmadik féltől származó alkalmazások frissítése egy központi grafikus felületről vezérelhető. Így nem kell több gyártóspecifikus konzolon keresztül kezelnie a javításokat.

    Gyártói oldal: https://www.qualys.com/apps/patch-management/

  • Qualys Policy Compliance (PC) rendszer: Az előzetes, rendszeres hardening és megfelelőségi vizsgálatokra a Qualys Policy Compliance modulját ajánljuk. A Policy Compliance modulban a vizsgálati eredmények összehasonlításra kerülhetnek az előzetesen kiválasztott, vagy akár egyedileg kialakított konfigurációs normákkal, előzetes biztonsági beállításokkal. Ezek a konfigurációs beállítások három forrásból táplálkoznak:

     jogszabályi előírások (adatvédelmi tv.)
    ipari szabványok (ajánlások). pl. BASEL II, SOX, ISO27001, NIS2, DORA
    vállalati belső előírások.

    A vállalat által elvárt konfigurációs beállításokat (technical policies) az egyes technológiákhoz (pl. Windows, Linux, Oracle stb.) külön-külön meg kell határozni a fenti követelmények alapján. Ehhez a Qualys PC rendszer átfogó segítséget nyújt az előre kialakított kontroll katalógussal, amely több mint 2300 kontrollt tartalmaz.

    Gyártói oldal: https://www.qualys.com/apps/policy-compliance/

  • Qualys FIM, File Integrity Monitoring megoldás: A modul lehetőséget biztosít a kritikus rendszerfájlok és rendszerleíró adatok integritásának ellenőrzésére oly módon, hogy változás esetén riasztást képes generálni.

    Gyártói leírás: https://www.qualys.com/apps/file-integrity-monitoring/

  • Qualys TotalCloud, Container Security modul. A szoftverfejlesztés területén alkalmazott konténerizált környezetek sérülékenység vizsgálatára alkalmazott Qualys modul.

    Gyártói oldal: https://www.qualys.com/apps/container-security/

„A piacvezető Sérülékenység menedzsment megoldás!”

A Checkmarx a Statikus Biztonsági Forráskódelemzésből nőtte ki magát, de ma már sokkal inkább egy Alkalmazás Biztonsági Platform, amelynek különböző moduljai lefedik a teljes szoftverfejlesztési életciklus területét és számos ponton kínálnak automatizálható (CI/CD-be integrálható) biztonsági ellenőrzéseket.

A Checkmarx-nál elkötelezettek a folyamatos fejlesztés mellett, ami azt jelenti, hogy a korábbi moduláris megoldások mellett megjelent az új Checkmarx ONE felhő alapú platform is, ami egy ALL-in-ONE csomag. Folyamatosan újabb és újabb tudással, képességekkel erősítik.

A platform az alábbi biztonsági modulokat tartalmazza (a teljesség igénye nélkül):

SAST, Statikus Biztonsági forráskódelemzés

SCA, Nyílt forráskódú szoftverkomponensek biztonsági ellenőrzése

SCS, Szoftverellátási lánc ellenőrzés

API biztonsági ellenőrzés…

  • Checkmarx ONE Software Security Platform: Egy igazi All-in-One megoldás, amit kifejezetten a Cloud előnyeire alakítottak ki. Gyakorlatban a teljes CI/CD működést le lehet vele fedni. Ez azoknak a szervezeteknek ideális megoldás, akik nyitottak a felhő alapú technológiákra. A megoldásról egy részletes ismertető a gyártó oldalán: https://www.checkmarx.com/products/software-security-platform

  • Checkmarx Static Application Security Testing, CxSAST: A CxSAST egy nagyvállalati szintű, biztonsági forráskódelemző megoldás, amely gyors, teljes egészében automatizált, rugalmas és pontos statikus elemzést biztosít, emellett biztonsági sérülékenységek százait képes azonosítani egyedi kódokban is. A rendszer on-premise és cloud verzióban is elérhető! A sérülékenység vizsgálatok rendkívül pontos és részletes eredményeket közölnek, ahol a problémák a súlyosságuk szerint vannak osztályozva, így a felhasználó könnyen felismeri, mit célszerű először kijavítani. A CxFlow (a Checkmarx hatékony orkesztrációs modulja) fejlett automatizálási képességekkel ruházza fel a CxSAST-t, ezáltal a vállalatok anélkül növelhetik szoftvereik biztonságát, hogy a fejlesztési munkafolyamatokat megzavarnák.
    Bővebb gyártói ismertető: https://www.checkmarx.com/products/static-application-security-testing

  • Checkmarx Software Composition Analysis, SCA: Újgenerációs szoftver komponens biztonsági elemzés: Akárcsak az egyedi kódok és kereskedelmi szoftverek, a nyílt forráskódú könyvtárak is magukban hordozhatnak olyan biztonsági kockázatokat, amelyeket muszáj azonosítani, rangsorolni és kiiktatni. A biztonsági sérülékenységek veszélybe sodorhatják a bizalmas adatokat, a licenszkövetelmények veszélyeztethetik a vállalat szellemi tulajdonát, valamint az elavult, nyílt forráskódú könyvtárak szükségtelen támogatási és karbantartási terheket róhatnak a fejlesztői csapatra. Manapság, a gyors DevOps és CI/CD komplex világában a fejlesztői csapatok nem engedhetik meg maguknak, hogy a biztonsági tesztelés lelassítsa őket. Ugyanakkor a kiberbiztonsági csapatok sem futtathatnak sérülékeny szoftvereket éles környezetben. A CxSCA úgy iktatja ki a modern DevOps fenti problémáit, hogy a fejlesztési ciklus minden fázisában rendkívül pontos és releváns kockázati információkkal szolgál a nyílt forráskódokkal kapcsolatban, melyeket egy elkötelezett, nyílt forráskódokat kutató biztonsági csapat kutatási eredményei alapján állít össze. Bővebb ismertető: https://www.checkmarx.com/products/software-composition-analysis/

  • Checkmarx Codebashing: Interaktív biztonságtudatosító oktató rendszer és megmérettetési lehetőség kifejezetten szoftverfejlesztők számára. Az alkalmazásbiztonsági tudatosság javítása nem kezelhető a fejlesztési folyamat egy különálló lépéseként. Ehelyett a folyamat minden szakaszában alkalmaznunk kell ezt a gondolkodásmódot, hogy hamarabb piackész állapotú szoftvert kapjunk. Ezért jött létre a CxCodebashing. Nyílt kommunikációval, folyamatos megbeszélésekkel, játékos továbbképzésekkel és azonnali információátadással a kiberbiztonsági szakértők egy olyan szoftverbiztonsági kultúrát alakíthatnak ki, amely lehetővé teszi az alkalmazásfejlesztők számára, hogy elsajátítsák a biztonságos kódoláshoz szükséges ismereteket és mindennapi munkájuk során alkalmazzák ezt a tudást.
    Bővebb ismertető: https://checkmarx.com/resource/documents/en/34965-15304-checkmarx-codebashing.html

Az ajánlott CHECKMARX megoldásaink elismertsége, díjai:

A Checkmarx már az 6. egymást követő évben vezető megoldás a Gartner Magic Quadrant szerint az Application Security Testing területen! (2018, 2019, 2020,2021, 2022, 2023!) A Forrester Wave™: Static Application Security Testing-ben is 2021, 2023: Checkmarx a piacvezető megoldás!