Обеспечение безопасности приложений

комплексный подход к решению проблемы

•Целевые атаки становятся всѐ популярнее и популярнее

•Source: IBM X-Force® Research 2012 Trend and Risk Report

•JK

2012-0

4-2

6

•Основной вектор атаки – уязвимости в приложениях

Самая широкая категория уязвимостей – уязвимости Web приложений

В 2012, 47% всех уязвимостей – были уязвимостями Web-приложений

•Source: IBM X-Force ® Research and Development (2012 Mid-year Trend & Risk Report)

•Единственный способ победить в гонке – адаптация подхода Secure by Design при проектировании и разработке приложений Учѐт требований по ИБ в процесс

разработки приложений

Обработка уязвимостей ИБ до первода

систем в продуктивную эксплуатацию

Эффективное взаимодействие между

разработчиками и безопасниками

Видимость для руководства •Оперативный

•выпуск новых

•сервисов

•Уменьшени

е затрат •Безопасные

инновации

•Обнаружение и устранение уязвимостей в процессе разработки ПО

•Подход Secure by Design как средство экономии!

•Найдена во время

разработки

•$80/ошибка

•Найдена во

время сборки

•$240/ошибка

•Найдена во время

тестирования

•$960/ошибка

•Найдена при эксплуатации

•$7,600 / defect

•80% затрат на

разработку уходят на

находжение и

исправление ошибок в ПО

• ** Source: Ponemon Institute 2009-10

•“As financially-motivated attackers have shifted their focus to applications,

Web application security has become a top priority. However, the

responsibility for web application security cannot rest solely with information

security. Enterprises should evaluate how to identify vulnerabilities in Web

applications earlier in the development process as transparently as possible • * Source: National Institute of Standards and Technology

•Средняя цена утечки данных •$7.2M** (судебные иски, потеря доверия заказчиков, потеря доверия к бренду)

•Организации, разрабатывающие ПО, должны превентивно подходить к вопросу безопасности приложений

Включение ИБ-тестирования на

наиболее ранних этапах цикла

разработки приложений для

обеспечения требований

современных циклов agile разработки

Устранение разрыва между

“Безопасниками” и “Разработчиками” с

использованием средств совместной

работы и видимости, поддающихся

внешнему контролю

Интеграция тестирование на

уязвимости ПО непосредственно в

цикл разработки ПО, с

использованием взаимодействия с

средствами и средами разработки

•Проактивный командный подход к безопасности приложений

•Архитектор

•Аналитик •Разработчик

•Тестировщик

•Аудитор ИБ

•Hybrid •Analysis

•Видимость

•Совместная

работа •Управляемость

•Static •Analysis

•Dynamic Analysis

•Решения IBM AppScan как средство обеспечения

подхода «безопасность в процессе разработки»

•Основные технологии тестирования ПО на безопасность

•Статический анализ кода =

«белый ящик»

•- Смотрим на исходный код для

нахождения уязвимостей ИБ

•Динамический анализ =

«чёрный ящик»

•- Посылаем тесты в работающее

приложение

•Потенцальные •уязвимости ИБ

•Динамический

•анализ •Статический •анализ

•Полное покрытие

•Линейка ПО для безопасности приложений

•Products

•Security

Consulting

•Managed

•Services

•X-Force

•and IBM

Research

•IBM Security Portfolio

•People •Data •Applications •Infrastructure

•IT Infrastructure – Operational Security Domains

•QRadar

•SIEM

•QRadar

•Log Manager

•QRadar

•Risk Manager

•IBM Privacy, Audit and

•Compliance Assessment Services

•Identity and Access

Management Suite

•Federated

•Identity Manager

•Enterprise

•Single Sign-On

•Identity

Assessment,

Deployment and

Hosting Services

•Guardium

•Database Security

•InfoSphere Optim

Data Masking

•Key Lifecycle

•Manager

•Data Security

Assessment Service

•Encryption and

•DLP Deployment

•AppScan Enterprise,

Standard & Source

•DataPower

•Security Gateway

•Security

•Policy Manager

•Application

•Assessment

Service

•AppScan

•OnDemand - SaaS

•Network

•Intrusion Prevention

•SiteProtector

•Management

System

•QRadar

•Anomaly Detection

•Managed Firewall,

UTM, and Intrusion

Prevention Services

•Endpoint

•Manager (BigFix)

•Virtualization and

Server Security

•Penetratio

n

•Testing

Services

•Mainframe Security

(zSecure, RACF)

•Network •Endpoint

•Security Intelligence, Analytics and GRC

•Enterprise Governance, Risk and Compliance Management

•GRC Platform (OpenPages) •Risk Analytics (Algorithmics) •Investigation Management (i2)

•Services

•Mobile Device

Management •v12-04

•Application Security Products •Application Security Services

•Finding Application

Vulnerabilities

•“GlassBox scanning allowed us to improve

results accuracy as well as test for new class

of vulnerabilities undetected by conventional

web application security scanning

technologies”

•Boris Gorin, Amdocs

•Примеры клиентов IBM, успешно внедривших наш подход к безопасности приложений

•Reducing the Cost of

Being Secure

•“AppScan not only helps us to avoid costs

related to hacking attacks, but also reduces

the manual effort needed for analysis and the

costs for testing”

•Michael Neumaier,Senior Quality

Specialist, SAP AG

•Providing Oversight

and Governance

•“We were able to increase the participation of

the IT community in web application scanning”

•Alex Jalso, Assistant Director, Office

of Information Security, WVU

•Линейка IBM Security Systems AppScan – •Комплексное управление уязвимостями в процессе разработки ПО

•11

•REQUIREMENTS •CODE •BUILD •PRE-PROD •PRODUCTION •QA

•AppScan Standard

•AppScan Source •Определение требований ИБ •AppScan

Standard

•Встраивание процедур контроля ИБ в процесс тестирования ПО

•Требования к ИБ определяются до начала проектирования и разработки ПО

•Оутсорсинг тестирования на проникновение и адутит продакшн систем

•Безопасность и контроль соответствия тестирование, контроль, аудит

•Встраивание тестирования ИБ в средства разработки

•Лучшие практики безопасности приложений – Secure Engineering Framework

•Автоматизация безопасности и комплайанса в процесс сборки

•SECURITY

•AppScan Enterprise •AppScan onDemand

•Динамический анализ / Чѐрный ящик – •Статический анализ / Белый ящик -

•AppScan Standard

•Что такое AppScan Standard Edition?

Обеспечение безопасности и соответствия

требованиям ИБ для Web-приложений на

протяжении всего жизненного цикла

разработки

Обеспечение видимости уязвимостей,

которыми могут воспользоваться

злоумышленники

Разработан для наиболее широкого круга

пользователей – от непрофессионалов в

ИБ до профи аудиторов и специалистов.

•Автоматизированное нахождение критичных уязвимостей и предоставление советов об их устранении. •Увеличение производительности, благодаря большей прозрачности и автоматизации •Кастомизация с использованием AppScan SDK и фреймворкаAppScan eXtensions Framework илиPyscan (интеграция с скриптами на Python) •Поддержка современных сложных веб-сайтов •База знаний XForce по закрытию уязвимостей ИБ

•Преимущества от использования:

•AppScan Source

•Что такое AppScan Source Edition?

Статический анализ кода на безопасность

и качество с централизованным контролем

политик

Средства автоматизированного

тестирования ИБ, интегрированные в

процесс разработки и сборки ПО

Позволяет создавать, распространять и

приводить в исполнение политики ИБ

- позволяет команде ИБ усиливать безопасность

приложений, защищать конфиденциальные

данные и обеспечивать соответствие требованиям

для собственных продуктов.

- позволяет устранять уязвимости как можно

раньше в процессе разработки ПО, экономя

средства и позволяя проектам уложиться в сроки

•Преимущества от использования:

•AppScan Enterprise

•19

•Что такое AppScan Enterprise Server?

Централизованный репозиторий для

результатов анализа приложений на

безопасность

Предоставление детализированных и

высокоуровневых отчѐтов по найденным

проблемам ИБ

Позволяет специалистам по ИБ предоставлять

результаты анализа ИБ руководителям отдела

разработки и общему руководству

- обеспечивает видимость как непосредственно

рисков ИБ так и рисков несоответствия

регулятивным требованиям в области ИБ.

- обеспечивает возможность получения

оперативных сводок и обмена информацией для

всех заинтересованных в разработке ПО лиц,

включая бизнес-заказчиков разработки и

руководство.

•Преимущества от использования:

•Интеграция с QRadar

•AppScan Enterprise – интеграция с QRadar

AppScan предоставляет для Qradar данные о найденных уязвимостях ИБ в

приложениях

Позволяет лучше обнаруживать и приоритизировать инциденты информационной

безопасности, в том числе проактивно работать с уязвимыми ресурсами

Позволяет создавать более точную оценку рисков для всего списка ресурсов в QRadar

SIEM

Позволяет QRadar SIEM обнаруживать и приоретизировать угрозы ИБ с помощью

корреляции в реальном времени с результатами срабатывания систем IPS/IDS

•AppScan и мобильная безопасность

•Поддержка как Native Android так и iOS приложений

Исследоования в области ИБ и оценки рисков для более чем

40,000 вызовов функций API

Полный анализ вызовов и потоков данных для –Java

–JavaScript

–Objective-C (только в версии для Mac OS X)

●Обнаружение мест потенциальной утечки данных

●Гарантия устойчивости приложений к воздействию со

стороны вредоносного ПО

•AppScan Source – нативная поддержка SAST

•Наиболее полная безопасность мобильных приложений!

Вопросы?