Qualys introduceert CertView, een nieuw appframework binnen het Qualys Cloud Platform, dat klanten in staat stelt SSL/TLS-certificaten op internationale schaal te ontdekken, te evalueren en te beheren. Op deze manier helpt het bedrijf klanten downtime, storingen en audit- en compliance-fouten te voorkomen. Daarnaast draagt de nieuwe dienst bij aan het verminderen van risico’s gerelateerd aan verlopen of kwetsbare SSL/TLS-certificaten binnen hun bedrijfskritische systemen. De eerste twee apps in CertView zijn Certificate Inventory (CRI) en Certificate Assessment (CRA).
Machines zijn afhankelijk van X.509-certificaten om zowel intern als extern veilig met elkaar te communiceren. Dit soort communicatie leidt echter tot nieuwe aanvalsmogelijkheden – met name door de opkomst van DevOps en public clouds. Om dit risico voor te blijven, moeten organisaties het inzicht in, en het tracken van hun certificaten automatiseren voor DevSecOps. Qualys CertView doet dit door het inzicht in de kwetsbaarheden van certificaten te centraliseren in een algemeen overzicht van de security- en compliance-status. Daarnaast toont CertView klanten in een oogopslag of certificaten verlopen of kwetsbaar zijn, en biedt de dienst mogelijkheden om dit soort problemen snel op te lossen.
“Hoewel er een aantal mogelijkheden bestaat om X.509-certificaten te ontdekken, zijn de meeste organisaties afhankelijk van op spreadsheets gebaseerde trackingmethodes en handmatige processen voor het overzicht van certificaten. Dit resulteert in veel ongedocumenteerde installaties en een verhoogde blootstelling aan de risico’s die hieraan verbonden zijn”, zegt David Anthony Mahdi, Research Director bij Gartner. “Wanneer securitymanagers echter discovery tools gebruiken, staan ze vaak verbaasd over het aantal onbekende certificaten – afkomstig van meerdere certificate authorities – die in hun omgeving aanwezig zijn.”
“Succes in het huidige bedrijfsleven is afhankelijk van constante en veilige internationale communicatie en samenwerking tussen zowel machines onderling als tussen machines en mensen”, zegt Philippe Courtot, voorzitter en CEO van Qualys, Inc. “Qualys CertView biedt klanten meer inzicht in deze groeiende, kritische infrastructuurlaag. Hierdoor zijn zij in staat vanuit een geïntegreerd overzicht hun digitale transformatie veilig te voltrekken. Ook consolideren ze zo hun security- en compliance-stack in één platform, terwijl ze de kosten verlagen.”
CertView bestaat in eerste instantie uit twee nieuwe apps.
De Certificate Inventory-app (CRI) biedt:
- discovery: stelt InfoSec- en andere teams in staat om vanuit dezelfde console continu IT-assets over de gehele wereld te scannen om zo elk aanwezig type certificaat te herleiden;
- inventarisatie: zorgt voor een verlaging van beheerkosten door de volledige collectie certificaten onder centraal beheer te plaatsen met inzicht in alle gebruikte certificaten binnen DevSecOps-, InfoSec- en IT-teams.
De Certificate Assessment-app (CRA) biedt:
- continue monitoring: automatisering geïntegreerd in het Qualys Cloud Platform, identificeert problemen, zwakke punten en kwetsbaarheden, en stuurt gerichte alerts naar DevSecOps-, InfoSec- en IT-teams;
- rapporten en dashboards: dynamische dashboards voorzien teams van een holistisch en contextueel overzicht van de volledige collectie certificaten. Daarnaast genereren ze automatisch gecreëerde, downloadbare rapporten van aan een certificaat gerelateerde kwetsbaarheden, verlopen certificaten en non-compliant-certificaten binnen IT-assets over de gehele wereld.