Más contenido relacionado
Similar a IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych (20)
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
- 1. Horyzont bezpieczeństwa
aplikacji webowych
IBM Rational AppScan
na podstawie:
„Discovering the Value of Verifying Web Application Security Using IBM Rational AppScan”
© IBM Corporation (TechWorks) oraz mat. IBM/Watchfire/WhiteHat Security
20 stycznia 2014
1
© 2014 Premium Technology
- 2. Nota prawna
Wszystkie nazwy handlowe, nazwy produktów, nazwy
firm, ich znaki firmowe i towarowe oraz materiały
wizualne użyte w niniejszej prezentacji należą do ich
odpowiednich właścicieli i są używane wyłącznie w celach
informacyjnych i identyfikacyjnych.
Mogą być one zastrzeżonymi znakami towarowymi
i/lub w inny sposób być chronione przepisami prawa.
Wszystkie prezentowane materiały, opisy i zdjęcia użyte
są w celach informacyjnych.
2
© 2014 Premium Technology
- 3. IBM Security AppScan
• Co to jest?
• AppScan jest zautomatyzowanym narzędziem do wykrywania
podatności na zagrożenia aplikacji webowych
• Do czego firma go potrzebuje?
• Do uproszczenia i optymalizacji procesu wykrywania i korygowania
błędów w zakresie bezpieczeństwa aplikacji webowych
• Co wykonuje to narzędzie?
• Skanuje aplikacje webowe, wykrywa problemy z zakresu
bezpieczeństwa i przygotowuje raporty z tego procesu
• Kto jest użytkownikiem tego oprogramowania?
• Audytorzy bezpieczeństwa
• Inżynierowie Q&A, Programiści
3
© 2014 Premium Technology
- 4. Charakterystyka IBM Security Appscan
• Pozycja technologii:
–
Gartner wskazuje AppScan jako rynkowego
lidera bezpieczeństwa aplikacji w roku 2006
–
Ponad 800 organizacji wspiera się IBM Rational Appscan
No.1 na Rynku
Bezpieczeństwa
Aplikacji
– Gartner & IDC
• Historia IBM Watchfire:
–
Otwarcie w 1996, 190 pracowników, siedziba w Bostonie
–
WF stworzyło pierwszy produkt do badania bezpieczeństwa
aplikacji
–
Produkty obejmują:
• Rozwiązanie bezpieczeństwa aplikacji
– AppScan
• Rozwiązanie dot. prywatności i zgodności – Policy Tester
Najlepsza Firma
Bezpieczeństwo
4
© 2014 Premium Technology
- 5. IBM Security Appscan służy ponad 800 organizacjom
9 z 10 najwięszych
amerykańskich
banków detalicznych
8 z 10 największych
firm
technologicznych
7 z 10 największych
koncernów
farmaceutycznych
Agencje Rządu
Federalnego USA
Veteran’s Affairs
Army
Navy
Air Force
Marines
Duże, skomplikowane ośrodki
webowe
5
© 2014 Premium Technology
Wielka ilość danych klientów
Działalność podlegająca
regulacjom prawnym
Wielka liczba klientów
- 6. Bezpieczeństwo Aplikacji
Horyzont Bezpieczeństwa
IBM Security AppScan
Desktop
Transport
Sieć
Antywirus/
IPS
Szyfrowanie
(SSL)
Firewall’e
Zaawansowane
Routery
Firewall
Rozwiązania Bezpieczeństwa
Aplikacyjnego i Sieciowego
dotyczą innych problemów
6
© 2014 Premium Technology
Aplikacje Webowe
Serwery
Aplikacji
Serwery Web
Serwer
Główny
Bazy
Danych
- 7. Co testuje AppScan?
Web Applications
AppScan
Third-party Components
Web Server Configuration
Web Server
Database
Applications
Operating System
Network
7
© 2014 Premium Technology
- 8. Jak funkcjonuje Technologia IBM Security Appscan?
Prywatność
Jakość
Bezpieczeństwo
1
Skanowanie
Standardy
2
Zgodność
Analiza
3
Raportowanie
szczegółowe, gotowe
do prowadzenia naprawy
8
© 2014 Premium Technology
- 9. Jak działa AppScan?
• Traktuje aplikację na zasadzie czarnej skrzynki
• Odwiedza wszystkie linki i buduje model ośrodka
• Określa kierunki ataku na podstawie wybranej polityki testowania
• Wykonuje testy wysyłając zmodyfikowane żądania HTTP do
aplikacji i badając zgodność zachowania aplikacji z ustalonym
regułami
Aplikacja webowa
Zapytanie HTTP
Application
Databases
Odpowiedź HTTP
9
© 2014 Premium Technology
Web
Servers
- 10. Kroki w Technologii IBM Security Appscan
1.
Skanowanie URL
określenie na podstawie układu strony potencjalnych słabości bezpieczeństwa,
problemów zgodności oraz zagrożeń dla wizerunku
2.
Przesyłanie testów bezpieczeństwa i zgodności
Ponad 2000 automatycznych testów bezpieczeństwa i zgodności wykonywanych bez konieczności
posiadania wiedzy wewnątrz organizacji
(warianty testów podnoszą znacznie efektywną ich ilość)
3.
Raportowanie wyników
Raportowanie obszarów wymagających uwagi wraz z rekomendacją sposobu ich
naprawy, polepszające efektywność twórców aplikacji, szeroki wybór predefinowanych
wzorów raportów audytowych
4.
Odnawianie bazy wiedzy
Zespół badawczy nieprzerwanie monitoruje rządowe i branżowe bazy wiedzy w poszukiwaniu
znanych podatności oraz tworzy i udoskonala testy z krokiem tygodniowym
10
© 2014 Premium Technology
- 11. Podsumowanie Zarządcze
• Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń
• Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz
modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają
potrzebę testowania zabezpieczeń
• Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku
innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w
procesie bezpiecznego rozwoju oprogramowania (SDLC)
• Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju
oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki
projektu
IBM wprowadza nowe innowacyjne
podejście polegające na integrację
testowania bezpieczeństwa w
procesie rozwoju
oprogramowania, dostarcza
najdokładniejsze oraz łatwe w
użyciu rozwiązanie
11
© 2014 Premium Technology
Zespół
Security
Koszt /
Trudność
Operacje /
Infrastruktura
Czas
- 12. IBM Security AppScan (Ekosystem)
AppScan Enterprise / Reporting Console
AppScan
Developer Ed
(desktop)
AppScan Ent.
QuickScan
(web client)
Rational
Application
Developer
Rational
Software
Analyzer
AppScan Build Ed
(scanning agent)
(scanning agent)
(QA clients)
AppScan Tester Ed
AppScan
AppScan
Enterprise user Standard Ed
(desktop)
(web client)
AppScan Express
(desktop)
Rational
BuildForge
Rational
ClearCase
Rational Quality
Manager
Rational ClearQuest / Defect Management
CODE
Build security testing into the
IDE*
BUILD
QA
Automate Security / Compliance
testing in the Build Process
Security / compliance testing
incorporated into testing &
remediation workflows
IBM Rational Web Based Training for AppScan
12
© 2014 Premium Technology
SECURITY
Security & Compliance
Testing, oversight, control, policy,
audits
- 13. Wzmacnianie Audytorów Bezpieczeństwa
Wprowadzenie: testowania bezpieczeństwa i zgodności, nadzór, kontrola,
badanie polityk zawartości, badanie szczegółowe
Rational AppScan
Standard Edition
(desktop)
Automatyczne
Testowanie
Zabezpieczeń
Rational AppScan
Enterprise Edition
(web client)
Rational AppScan
Express Edition
(desktop)
Skalowalność
Szerokie
Raportowanie
• IBM Security Rational AppScan Express Edition:
Rozwiązanie dla Klientów średniej wielkości
– Wypełnia postulaty PCI (Payment Card Industry)
– Znacząco ogranicza potrzebę badania ręcznego, zwalnia zasoby
– Wewnętrzne testowanie aplikacji webowych zautomatyzowane i
uzasadnione kosztowo
– Ochrona firmowego serwisu web oraz ochrona własnej marki
13
© 2014 Premium Technology
- 14. Średnia liczba dni do momentu naprawy dla wiodących pięciu PILNYCH podatności
Średnia liczba dni do momentu naprawy dla wiodących pięciu KRYTYCZNYCH podatności
14
© 2014 Premium Technology
- 15. Jaki jest koszt błędu oprogramowania?
80% of development costs are spent
identifying and correcting defects!
W fazie testów/
zapewnienia
jakości (QA)
Podczas kompilacji
Podczas
kodowania
Po opublikowaniu
produktu
$450/błąd
$100/błąd
$25/błąd
Wzrastający koszt naprawy błędu oprogramowania
15
© 2014 Premium Technology
$16,000/błąd