Nieuw onderzoek van Qualys onderstreept belang van regelmatig scannen voor versnellen compliance
Onderzoekers verzamelen data uit meer dan vijf miljoen scans van meer dan 53 miljoen hosts bij twaalfduizend controles in twaalf maanden
Qualys, Inc., pionier in het bieden van oplossingen voor cloud-security en compliance-management, maakt de resultaten bekend van een onderzoek op basis van QualysGuard Policy Compliance-data. Het bedrijf analyseerde meer dan vijf miljoen scans om organisaties inzicht te bieden in belangrijke trends en ze te helpen bij het plannen van hun compliance-strategieën. Met de informatie die de analyse oplevert, is onder meer compliance-planning mogelijk met betrekking tot de meest gebruikte controlemiddelen, de pass/fail-ratio voor de belangrijkste controlemiddelen en het aantal malen dat deze middelen gecheckt worden. Op deze manier blijven organisaties de trends vóór en maken ze gebruik van best practices voor compliance.
Nu regelgeving op het gebied van compliance toeneemt en er een trend naar continue monitoring waarneembaar is, gebruiken beveiligingsteams steeds vaker oplossingen als QualysGuard PC om General Computer Controls (GCC’s) te automatiseren. Dat sluit aan bij een brede en proactieve auditing-benadering. Het gebruik van dit type oplossingen biedt organisaties de mogelijkheid om van een steekproefsgewijze aanpak over te stappen naar nagenoeg volledige dekking met bijna realtime resultaten tegen lagere kosten.
Belangrijke uitkomsten en trends uit de analyse zijn de volgende.
- Een groot aantal gescande devices – meer dan de helft van het scandoel – wordt niet meer ondersteund. Het gaat met name om besturingssystemen die niet langer onder de normale support vallen, zoals Windows 2000, Windows 2003, Windows XP, RHEL, AIX 5, Solaris 8 en Solaris 9. Windows 2003 Server en Windows XP vallen onder verlengde support die eindigt in respectievelijk juli 2015 en april 2014.
- Nieuwere technologieën voldoen sneller aan compliance. Dat bevestigt de algemene trend van betere beveiliging bij nieuwere technologieën, wat ook geldt voor de compliancy.
- Bedrijven die vaker compliance-scans uitvoeren, slagen vaker voor de scans. Deze trend bevestigt recente ontwikkelingen in Continuous Monitoring, waarbij duidelijk werd dat bedrijven die vaker monitoren, sneller verbeteringen laten zien.
- Wachtwoorden staan hoog op de controlelijsten. Dertien van de top 20-controlemiddelen zijn wachtwoordgerelateerd. Tegelijkertijd zijn ook de belangrijkste overtredingen van een controlemiddel wachtwoordgerelateerd.
“Deze data uit meer dan vijf miljoen scans bieden inzicht in de beleid-compliance van bedrijven en geven enkele eenvoudige manieren om de beveiliging te versterken”, zegt Scott Crawford, Research Director bij EMA. “Deze data onderstrepen bijvoorbeeld de noodzaak om processen vast te stellen voor belangrijke controlemaatregelen, zoals instellingen voor accounts, wachtwoorden, audits en databases. Het laat ook zien dat organisaties hun compliance beter beheren en de IT-beveiligingsrisico’s verlagen als ze regelmatig geautomatiseerde compliance-scans uitvoeren.”
QualysGuard Policy Compliance
QualysGuard Policy Compliance (QualysGuard PC) stelt klanten in staat om configuratie- en toegangsgegevens van netwerk-devices en webapplicaties te verzamelen en te analyseren. De oplossing brengt deze data direct in verband met interne beleidsregels en externe regelgeving, zodat de compliance te documenteren is. QualysGuard PC is volledig geautomatiseerd en helpt bij het terugdringen van compliance-kosten zonder de noodzaak van software-agents. Meer informatie is te vinden op www.qualys.com/pc.