„Agent Val“ nutzt Sicherheitslücken aus, mindert deren Auswirkungen und überprüft sie kontinuierlich im Hinblick auf ausgleichende Kontrollmaßnahmen. Dadurch wird das durchschnittliche Zeitfenster der Gefährdung drastisch verkürzt.
Qualys, ein führender Anbieter von cloudbasierten IT-, Sicherheits- und Compliance-Lösungen, hat heute „Agent Val“ als Teil von „Enterprise TruRisk Management“ (ETM) eingeführt. „Agent Val“ ermöglicht dem „Risk Operations Center“ (ROC) eine sichere, agentengesteuerte Exploit-Validierung und autonome Risikobehebung. Agent Val steht für einen grundlegenden Wandel im Schwachstellen- und Risikomanagement: weg von einer auf Annahmen basierenden Priorisierung, hin zu einer evidenzbasierten Umsetzung. Dies beschleunigt die Reaktion, reduziert unnötigen Aufwand und führt zu einer messbaren Verringerung des Cyberrisikos.
Untersuchungen zeigen, dass die Anzahl der bekannten und ausgenutzten Sicherheitslücken in den letzten vier Jahren um das 6,5-Fache gestiegen ist. Zugleich hat der Anteil der kritischen Sicherheitslücken zugenommen, die am siebten Tag nach ihrer Entdeckung noch immer unbehoben sind. Dies ist ein Beweis dafür, dass die manuelle Behebung an ihre Grenzen stößt. Erschwerend kommt hinzu, dass die Zeit bis zur Ausnutzung mittlerweile auf minus einen Tag geschrumpft ist. Das bedeutet, dass Angreifer die Schwachstellen ausnutzen, noch bevor Patches verfügbar sind. Die Herausforderung für CISOs besteht darin, die Lücke zwischen Schwachstellen, die auf dem Papier schwerwiegend erscheinen, und solchen, die in Produktionsumgebungen tatsächlich ausnutzbar sind, zu schließen. So vermeiden sie, dass Teams wertvolle Zeit mit der Behebung von Problemen mit geringer Auswirkung verschwenden und andere gefährliche Schwachstellen übersehen. Unternehmen benötigen Belege für die Ausnutzbarkeit statt Annahmen, um schneller voranzukommen und Risiken mit Zuversicht zu reduzieren.
„Maßnahmen zum Schwachstellenmanagement konzentrieren sich oft auf Zahlen, Trends und Heatmaps, die Risiken beschreiben, aber nicht konsequent zu Maßnahmen führen“, sagt Melinda Marks, Practice Director für Cybersicherheit bei Omdia. „Der nächste Schritt in der Entwicklung besteht darin, die Analyse von Angriffspfaden durch die Validierung tatsächlicher Exploits zu erweitern und potenzielle Schwachstellen in operative Gewissheit umzuwandeln. Die Validierung ist entscheidend für die Risikominderung und die offensive Validierung stellt nach wie vor eine erhebliche Lücke auf dem Markt dar. Funktionen wie die von Agent Val können Teams dabei helfen, echte Angriffspfade zu priorisieren, schneller zu handeln und ihre Bemühungen dort zu konzentrieren, wo sie messbare Auswirkungen erzielen.“
Agent Val, der auf TruConfirm basiert, fungiert als agentenbasierte KI-Orchestrierungsschicht innerhalb von ETM. Er koordiniert und identifiziert risikoreiche Schwachstellen, validiert deren Ausnutzbarkeit in der Produktionsumgebung unter Berücksichtigung des geschäftlichen Kontexts und der Kritikalität der Assets und speist bestätigte Ergebnisse direkt in ETM ein. Dadurch werden eine priorisierte Behebung und eine messbare Risikominderung bei minimalem manuellem Aufwand ermöglicht. Dadurch können sich Sicherheitsteams von der Bewältigung der schieren Menge auf die Reduzierung nachgewiesener Risiken konzentrieren.
„In einer Zeit unendlicher Schwachstellen und begrenzter Entwicklungszyklen ist die größte Herausforderung nicht mehr die Erkennung, sondern die strategische Zuweisung von Ressourcen für die Behebung“, sagt Florian Bielak, CISO bei BitMEX. „Agent Val mit TruConfirm wird es uns ermöglichen, uns weiter von einer reaktiven Haltung, die auf theoretischen CVSS-Werten basiert, hin zu einem disziplinierten, evidenzbasierten Modell zu bewegen. Durch die Validierung tatsächlicher Angriffspfade in großem Maßstab können wir die ‚Noise Tax‘ effektiv beseitigen und sicherstellen, dass unsere schlanken Teams gegen reale Risiken vorgehen, anstatt statistischen Ausreißern hinterherzulaufen.“
Mit Agent Val können Unternehmen Folgendes:
- Die tatsächliche Ausnutzbarkeit überprüfen: Agent Val analysiert Sicherheitsrisikosignale über alle Ressourcen hinweg. Er ermittelt anhand der Relevanz für Angreifer, des geschäftlichen Kontexts und des Ausmaßes der Gefährdung, was zuerst überprüft werden sollte. Anschließend nutzt er TruConfirm, um die Ausnutzbarkeit sicher in der Live-Umgebung zu testen und so eine fundierte Bestätigung darüber zu liefern, ob ein Exploit-Pfad offen ist, durch Sicherheitsmaßnahmen blockiert wird oder nicht erreichbar ist. Dadurch wird der Aufwand für die Behebung um mehr als 90 Prozent reduziert, sodass Sicherheitsteams nicht mehr Befunden nachgehen müssen, die nicht ausgenutzt werden können.
- Bestätigte Risiken mindern: Sobald ein Risiko bestätigt ist, priorisiert ETM diese Schwachstelle an den Anfang der Behebungswarteschlange und erweitert die Reaktion über die Bereitstellung von Patches hinaus um Abwehrmaßnahmen und Isolierung, wenn das Patchen nicht möglich ist. Dies ermöglicht eine gezielte Risikominderung, um die Gefährdung schnell zu reduzieren, was zu einer um 70 Prozent schnelleren Behebungszeit bei bestätigten ausnutzbaren Befunden führt und es den Technikteams ermöglicht, den wirklich wichtigen Gefährdungen Priorität einzuräumen.
- Nachweis der Risikominderung: Nach der Risikominderung führt Agent Val erneut eine Validierung mit TruConfirm durch, um zu überprüfen, ob der Exploit-Pfad geschlossen ist, die Kontrollen funktionieren und das Risiko reduziert wurde. Mit einer Abdeckung von über 1.600 CVEs bietet Agent Val eine unübertroffene Abdeckung, ohne dass neue Sensoren erforderlich sind. Teams verfügen nun über nachgewiesene Belege für die Ausnutzbarkeit, die für die Berichterstattung an den Vorstand erfasst werden, um eine messbare Risikominderung aufzuzeigen.
„Eine Schwachstelle zu haben, bedeutet nicht automatisch ein Risiko“, erklärt Sumedh Thakar, Präsident und CEO von Qualys. „Entscheidend ist, ob ein Angreifer in Ihrer Umgebung erfolgreich einen Exploit-Pfad erreichen und ausführen kann. Da die Zeitfenster für Exploits immer kürzer werden und Angreifer KI nutzen, um schneller voranzukommen, kann sich die Branche nicht länger auf Annahmen verlassen. Agent Val in ETM verschiebt das Risk Operations Center (ROC) von ‚wir glauben‘ über ‚wir wissen‘ hin zu ‚es ist erledigt‘ – und das mit minimalem manuellem Aufwand. Damit wird die Macht der KI wieder in die Hände der Verteidiger gelegt, um eine messbare Risikominderung im großen Maßstab voranzutreiben.“
Weitere Artikel
Mondoo führt Agentic Managed Vulnerability Service ein
Artikelserie Digitale ID – Artikel 24 – Die neue Technokratie
Artikelserie – Industrial Control Systems unter regulatorischen Druck – Artikel 5 – Referenzarchitektur
SentinelOne erweitert Singularity Marketplace – Integrationen für SIEM, SOAR und Malware-Analyse