Qualys erweitert seine Security- and Compliance-SaaS-Suite QualysGuard um Web Appli-cation Scanning

RSA-Konferenz (Stand # 1717) - 20. April 2009 - Qualys, Inc., der führende Anbieter von On-Demand-Lösungen für das Management von IT-Sicherheitsrisiken und Compliance, gab heute die Einführung von QualysGuard Web Application Scanning (WAS) 1.0 bekannt. QualysGuard WAS erweitert die Software-as-a-Service- (SaaS) Suite QualysGuard für Sicherheit und Compliance, die Flaggschifflösung des Unternehmens. Qualys präsentiert und demonstriert in dieser Woche bei der RSA-Konferenz am Stand # 1717 eine Reihe neuer Produkte und Produkt-Upgrades.

„Es wird immer bösartigen Code geben, der Schwachstellen in Anwendungen und Systemen auszunutzen versucht, und deshalb werden die Lösungen und Prozesse, die wir zum Schutz un-serer IT-Assets einsetzen, weiterhin Top-Priorität für uns haben – wir müssen sie verbessern und dafür sorgen, dass sie im Lauf der Zeit immer leistungsfähiger werden“, erklärte Isabelle Theisen, CSO von First Advantage und diesjährige US-Anwärterin auf die Auszeichnung „CSO des Jah-res“ bei den SC Awards. „Qualys ist seit jeher integraler Bestandteil unseres Programms für das Management von Sicherheitsrisiken. Die neue QualysGuard-Suite gibt uns die Möglichkeit, Sys-teme und Webanwendungen mit einer einzigen, integrierten Lösung auf Schwachstellen und Compliance zu scannen. Auf diese Weise erhalten wir für den Sicherheits- und Compliance-Grad unserer Systeme und Anwendungen eine ‚lebendige’, standortübergreifende Baseline, für die die Sicherheits- und IT-Abteilungen nur ein Minimum an Zeit und Arbeit aufwenden müssen.“

QualysGuard Web Application Scanning 1.0

QualysGuard WAS wird als SaaS-Service bereitgestellt. Die Lösung crawlt und testet vollautoma-tisch kundenspezifische Webanwendungen, um die häufigsten Schwachstellen zu ermitteln, wie sie etwa in den OWASP Top 10 und der WASC Threat Classification aufgeführt sind. Dazu zäh-len beispielsweise SQL-Injection und Cross-Site Scripting. QualysGuard WAS ist skalierbar, so-dass beliebig viele interne oder externe Webanwendungen in Produktions- wie auch Entwick-lungsumgebungen gescannt werden können.

Mit QualysGuard WAS können Unternehmen nun über die vertraute QualysGuard-Benutzeroberfläche Webanwendungen verwalten, Scans starten und Reports erzeugen. Zudem bietet QualysGuard WAS den Kunden folgende Leistungsmerkmale und Vorzüge:

• Crawling & Link-Erkennung — Ein eingebetteter Webcrawler parst HTML und teil-weise JavaScript, um Links zu extrahieren. QualysGuard WAS balanciert automa-tisch die Breite und Tiefe der gefundenen Links, um bis zu 5.000 Links pro Weban-wendung crawlen zu können.
• Authentifizierung — QualysGuard WAS unterstützt HTTP Basic-, Digest- und ser-verbasierte NTLM-Authentifizierung sowie einfache Formularauthentifizierung.
• Blacklist und Whitelist — Die Lösung verhindert, dass der Crawler Links in einer Webanwendung besucht, die in der Blacklist aufgeführt sind. Außerdem kann sie den Crawler anweisen, nur diejenigen Links zu besuchen, die ausdrücklich in einer Whi-telist definiert sind.
• Performance-Tuning — QualysGuard WAS bietet granulare, benutzerdefinierte Bandbreitenkontrolle für parallele Scans, um Auswirkungen auf die Leistung der An-wendung zu beschränken.
• Sensible Inhalte — Bei HTML-Inhalten ermöglicht die Lösung die automatische Su-che nach Ausdrücken, zum Beispiel Sozialversicherungsnummern.
• Workflows zur Definition von Scans und Prüfung von Berichten — QualysGuard WAS bietet für jede Webanwendung logische Scanning- und Reporting-Workflows.

„Web Application Security ist die neue Verteidigungslinie im Sicherheitsbereich und stellt für die meisten Unternehmen eine große Herausforderung dar“, sagte Philippe Courtot, Chairman und CEO von Qualys. „Dank der Automatisierung unserer neuen Lösung zum Scannen von Weban-wendungen können unsere Kunden per Knopfdruck ihre gesamte Umgebung scannen und sich so einen klaren Überblick über die Sicherheit ihrer Webapplikationen verschaffen.“

„Enterprise-Lösungen zur Sicherheitsanalyse von Webanwendungen sind umfangreicher und sollten ein weites Spektrum von Tests auf die wichtigsten Klassen von Schwachstellen in Web-anwendungen bieten, wie etwa SQL-Injection, Cross-Site Scripting und Directory Traversals. Au-ßerdem sollte eine Enterprise-Lösung in der Lage sein, vielerlei Anwendungen zu scannen, die Resultate über längere Zeiträume zu verfolgen, robuste Berichterstattung zu bieten (insbesonde-re Compliance-Reports) und auch Berichte zu liefern, die auf lokale Anforderungen zugeschnitten sind“, so Rich Mogull, Security-Analyst bei Securosis.com.

Preise und Verfügbarkeit

QualysGuard WAS ist ab 26. Mai 2009 als Teil der Security- und Compliance-Suite QualysGuard erhältlich. Die Jahresabonnements von QualysGuard WAS basieren auf der Zahl der zu scan-nenden Webanwendungen. Sie umfassen eine unbegrenzte Zahl von Scans sowie 24x7 Support und Updates.

Über Qualys

Qualys, Inc. ist der führende Anbieter von On-Demand-Lösungen für IT-Sicherheits- und Compliance-Management, die als Service bereitgestellt werden. Die Software-as-a-Service-Lösungen von Qualys kön-nen innerhalb von Stunden an jedem Ort der Welt verfügbar gemacht werden und vermitteln den Kunden einen sofortigen und kontinuierlichen Überblick über ihre Sicherheits- und Compliance-Aufstellung. Der Service QualysGuard® wird derzeit von mehr als 3.500 Unternehmen in 85 Ländern genutzt – darunter 35 der Fortune Global 100 – und führt pro Jahr mehr als 200 Mio. IP-Audits durch. Bei einem Unternehmen der Fortune Global 50 betreibt Qualys die weltweit größte Installation einer Schwachstellenmanagement-Lösung mit mehr als 223 Appliances, die auf 53 Länder verteilt sind und mehr als 700.000 Systeme scan-nen. Qualys hat strategische Vereinbarungen mit führenden Managed Service Providern und Consulting-Firmen geschlossen, darunter BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec, TELUS und Verisign. Weitere Infos unter www.qualys.com.

###

Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.

For media inquiries or to find the appropriate spokesperson
Contact: Ursula Kafka
Kafka Kommunikation GmbH
+49 89 76759434
info@kafka-kommunikation.de

For all other matters
Contact: pr@qualys.com

Media Contact:
Tami Casey
Qualys
media@qualys.com