文章核心观点 Qualys公司推出AI驱动的应用风险管理解决方案TotalAppSec，可统一API安全、Web应用扫描和Web恶意软件检测，为企业提供全面应用安全风险和态势视图，帮助企业评估和优先处理关键应用风险，简化修复工作以降低风险 [1] 分组1：行业现状 - 网络应用和API重塑数字格局并增加企业风险，2024年Verizon DBIR报告显示网络应用是违规的首要入口，68%的违规涉及人为因素，32%利用勒索软件攻击，且常通过受感染的网络应用和API传播 [2] - 安全团队因应用安全被视为独立层集合，面临脱节和不完整的风险评估，而网络攻击者会跨层利用漏洞，传统安全工具无法提供业务关键性和威胁情报可见性，也无法解决API配置错误等漏洞 [2] 分组2：TotalAppSec介绍 - 集成API安全、Web应用扫描和AI驱动的恶意软件检测，采用基于风险的单一方法，统一跨本地到混合和多云环境的API安全、Web应用扫描和Web恶意软件检测，提供全面应用安全风险和态势视图 [1] - 利用Qualys Enterprise TruRisk™平台，使安全团队发现已知、未知和影子Web应用及API，检测关键漏洞，利用先进深度学习算法检测和缓解复杂恶意软件威胁，使用TruRisk™分数进行风险优先级排序，集成CI/CD管道和ITSM工作流，自动化漏洞修复流程 [3] - 自动发现所有API和Web应用，识别跨本地、多云等环境的各类Web应用和API，无缝集成到Qualys VMDR、EASM和TotalCloud，利用AI扫描优化资源并提高检测准确性 [4] - 基于风险优先级简化修复，使用Qualys TruRisk™对漏洞按关键程度、可利用性和业务影响排名，优先处理重大风险并简化修复工作 [11] - 保护应用免受未知漏洞和恶意软件侵害，利用深度学习恶意软件检测发现和防御传统方法可能遗漏的隐藏漏洞、高级恶意软件和零日攻击 [11] - 保持审计就绪，通过持续合规监控确保遵守PCI - DSS、GDPR等监管标准，降低不合规处罚风险 [11] - 通过实时反馈循环快速修复风险，利用与CI/CD管道和ITSM系统的无缝集成，整合漏洞以加快响应时间和更好跟踪，将工单映射到适当修复负责人，将安全嵌入DevSecOps工作流 [11] 分组3：各方评价 - IDC研究经理Katie Norton表示企业日益重视Web应用和API安全，Qualys TotalAppSec可打破基础设施、Web应用和API风险之间的组织壁垒，提供安全团队有效协作所需的上下文和可见性，使团队优先处理关键威胁并更有效地降低风险 [3] - IDB银行应用安全主管Beatrice Sirchis称TotalAppSec能清晰显示意外暴露的Web应用和API，主动降低风险，其统一平台可保护关键Web应用、评估漏洞并无缝管理修复，灵活许可可满足不断变化的业务需求 [4] - Qualys总裁兼CEO Sumedh Thakar表示API是企业新的攻击面，TotalAppSec整合API安全、深度学习恶意软件检测和Web应用安全的创新，帮助安全团队理解业务背景并优先处理最大风险 [5] 分组4：产品可用性 - Qualys TotalAppSec将于2025年第一季度推出，可注册免费试用、阅读博客或注册网络研讨会了解更多信息，现有Web应用安全客户可联系技术账户经理升级 [6] 分组5：关于Qualys - Qualys是领先的基于云的安全、合规和IT解决方案提供商，全球有超10000家订阅客户，包括多数福布斯全球100强和财富100强企业，帮助组织将安全和合规解决方案简化并自动化到单一平台以提高敏捷性、改善业务成果和节省成本 [7] - Qualys Enterprise TruRisk平台利用单个代理持续提供关键安全情报，使企业自动化IT系统、工作负载和Web应用的全谱漏洞检测、合规和保护，Qualys与云服务提供商等有战略合作伙伴关系并集成其漏洞管理功能 [8]