Qualys stellt mit „Agent Val” ein KI-gesteuertes Tool vor, das Schwachstellen in Produktionsumgebungen auf echte Ausnutzbarkeit prüft, Maßnahmen einleitet und den Nachweis der Risikominderung automatisch erbringt.
Die Zahl bekannter und aktiv ausgenutzter Sicherheitslücken ist in den vergangenen vier Jahren um das 6,5-Fache gestiegen. Gleichzeitig schrumpft das Zeitfenster, in dem Angreifer nach Bekanntwerden einer Schwachstelle handeln, auf unter 24 Stunden – in manchen Fällen existieren Exploits sogar, bevor ein Patch verfügbar ist. Für Sicherheitsverantwortliche verschärft sich damit ein grundlegendes Dilemma: Viele der als kritisch eingestuften Schwachstellen lassen sich in der realen Umgebung gar nicht ausnutzen, während gefährlichere Lücken unentdeckt bleiben.
Klassische Ansätze des Schwachstellenmanagements setzen auf Scores wie CVSS, um Prioritäten zu setzen. Dieses Modell gerät jedoch zunehmend an seine Grenzen, da der tatsächliche Kontext – etwa vorhandene Sicherheitskontrollen, die Erreichbarkeit eines Systems oder der geschäftliche Wert eines Assets – nicht berücksichtigt wird. Das Ergebnis: Teams beheben Probleme mit geringer tatsächlicher Auswirkung und übersehen dabei jene, die wirklich gefährlich sind.
Agent Val: Exploit-Validierung in der Produktionsumgebung
Das Cybersicherheitsunternehmen Qualys (NASDAQ: QLYS) hat mit „Agent Val” eine neue Komponente seiner Plattform „Enterprise TruRisk Management” (ETM) vorgestellt. Das Tool arbeitet als KI-gesteuerte Orchestrierungsschicht und soll die Lücke zwischen theoretischer Risikoanalyse und operativer Gewissheit schließen.
Agent Val analysiert Sicherheitssignale über alle Unternehmensressourcen hinweg, priorisiert Schwachstellen und gibt an, welche zuerst geprüft werden sollten. Dabei orientiert er sich an Angreifer-Relevanz, geschäftlichem Kontext und tatsächlichem Gefährdungsgrad. Im nächsten Schritt testet das System auf Basis der integrierten Technologie „TruConfirm”, ob ein Exploit-Pfad in der laufenden Produktionsumgebung tatsächlich offen ist, durch bestehende Kontrollen blockiert wird oder schlicht nicht erreichbar ist.
Wird ein Risiko bestätigt, priorisiert ETM die betreffende Schwachstelle in der Behebungswarteschlange und erweitert die Reaktion über klassisches Patching hinaus: Bei Systemen, die sich nicht sofort patchen lassen, werden Abschirmungsmaßnahmen oder eine Isolierung eingeleitet. Nach der Maßnahme validiert Agent Val erneut, ob der Angriffspfad tatsächlich geschlossen wurde.
Qualys gibt an, dass dieser Ansatz den Behebungsaufwand um mehr als 90 Prozent reduziert, da Teams nicht mehr Schwachstellen nachgehen müssen, die sich nicht ausnutzen lassen. Die Behebungszeit bei bestätigten Lücken sinkt um rund 70 Prozent. Die Abdeckung umfasst derzeit über 1.600 CVEs, ohne dass neue Sensoren erforderlich sind.
„Eine Schwachstelle zu haben, bedeutet nicht automatisch ein Risiko”, sagte Sumedh Thakar, Präsident und CEO von Qualys. „Entscheidend ist, ob ein Angreifer in Ihrer Umgebung erfolgreich einen Exploit-Pfad erreichen und ausführen kann.” Thakar betonte, dass das Tool das Risk Operations Center von einer Haltung des Glaubens über das Wissen hin zur tatsächlichen Erledigung führen solle – mit minimalem manuellem Aufwand.
Stimmen aus der Praxis
Florian Bielak, CISO bei BitMEX, beschreibt das Problem aus der Perspektive der Anwender: „In einer Zeit unendlicher Schwachstellen und begrenzter Entwicklungszyklen ist die größte Herausforderung nicht mehr die Erkennung, sondern die strategische Zuweisung von Ressourcen für die Behebung.“ Er sieht in dem Tool die Möglichkeit, eine sogenannte „Noise Tax“ zu beseitigen, also den Aufwand, der durch das Verfolgen von Befunden entsteht, die keine echte Bedrohung darstellen.
Melinda Marks, Practice Director für Cybersicherheit bei Omdia, ordnet die Entwicklung in einen breiteren Trend ein. Das Schwachstellenmanagement müsse von der Beschreibung von Risiken durch Zahlen, Trends und Heatmaps zur operativen Umsetzung übergehen. Die Validierung tatsächlicher Exploits sei dabei ein entscheidender Schritt.
Verfügbarkeit
Agent Val, basierend auf TruConfirm, ist Bestandteil von Qualys ETM und ab sofort allgemein verfügbar. Interessierte können sich unter qualys.com/demo/enterprise-trurisk-management registrieren.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de