![Page 1: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/1.jpg)
Обеспечение безопасности приложений
комплексный подход к решению проблемы
![Page 2: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/2.jpg)
•Целевые атаки становятся всѐ популярнее и популярнее
•Source: IBM X-Force® Research 2012 Trend and Risk Report
•JK
2012-0
4-2
6
![Page 3: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/3.jpg)
•Основной вектор атаки – уязвимости в приложениях
Самая широкая категория уязвимостей – уязвимости Web приложений
В 2012, 47% всех уязвимостей – были уязвимостями Web-приложений
•Source: IBM X-Force ® Research and Development (2012 Mid-year Trend & Risk Report)
![Page 4: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/4.jpg)
•Единственный способ победить в гонке – адаптация подхода Secure by Design при проектировании и разработке приложений Учѐт требований по ИБ в процесс
разработки приложений
Обработка уязвимостей ИБ до первода
систем в продуктивную эксплуатацию
Эффективное взаимодействие между
разработчиками и безопасниками
Видимость для руководства •Оперативный
•выпуск новых
•сервисов
•Уменьшени
е затрат •Безопасные
инновации
•Обнаружение и устранение уязвимостей в процессе разработки ПО
![Page 5: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/5.jpg)
•Подход Secure by Design как средство экономии!
•Найдена во время
разработки
•$80/ошибка
•Найдена во
время сборки
•$240/ошибка
•Найдена во время
тестирования
•$960/ошибка
•Найдена при эксплуатации
•$7,600 / defect
•80% затрат на
разработку уходят на
находжение и
исправление ошибок в ПО
• ** Source: Ponemon Institute 2009-10
•“As financially-motivated attackers have shifted their focus to applications,
Web application security has become a top priority. However, the
responsibility for web application security cannot rest solely with information
security. Enterprises should evaluate how to identify vulnerabilities in Web
applications earlier in the development process as transparently as possible • * Source: National Institute of Standards and Technology
•Средняя цена утечки данных •$7.2M** (судебные иски, потеря доверия заказчиков, потеря доверия к бренду)
![Page 6: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/6.jpg)
•Организации, разрабатывающие ПО, должны превентивно подходить к вопросу безопасности приложений
Включение ИБ-тестирования на
наиболее ранних этапах цикла
разработки приложений для
обеспечения требований
современных циклов agile разработки
Устранение разрыва между
“Безопасниками” и “Разработчиками” с
использованием средств совместной
работы и видимости, поддающихся
внешнему контролю
Интеграция тестирование на
уязвимости ПО непосредственно в
цикл разработки ПО, с
использованием взаимодействия с
средствами и средами разработки
•Проактивный командный подход к безопасности приложений
•Архитектор
•Аналитик •Разработчик
•Тестировщик
•Аудитор ИБ
•Hybrid •Analysis
•Видимость
•Совместная
работа •Управляемость
•Static •Analysis
•Dynamic Analysis
![Page 7: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/7.jpg)
•Решения IBM AppScan как средство обеспечения
подхода «безопасность в процессе разработки»
![Page 8: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/8.jpg)
•Основные технологии тестирования ПО на безопасность
•Статический анализ кода =
«белый ящик»
•- Смотрим на исходный код для
нахождения уязвимостей ИБ
•Динамический анализ =
«чёрный ящик»
•- Посылаем тесты в работающее
приложение
•Потенцальные •уязвимости ИБ
•Динамический
•анализ •Статический •анализ
•Полное покрытие
![Page 9: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/9.jpg)
•Линейка ПО для безопасности приложений
•Products
•Security
Consulting
•Managed
•Services
•X-Force
•and IBM
Research
•IBM Security Portfolio
•People •Data •Applications •Infrastructure
•IT Infrastructure – Operational Security Domains
•QRadar
•SIEM
•QRadar
•Log Manager
•QRadar
•Risk Manager
•IBM Privacy, Audit and
•Compliance Assessment Services
•Identity and Access
Management Suite
•Federated
•Identity Manager
•Enterprise
•Single Sign-On
•Identity
Assessment,
Deployment and
Hosting Services
•Guardium
•Database Security
•InfoSphere Optim
Data Masking
•Key Lifecycle
•Manager
•Data Security
Assessment Service
•Encryption and
•DLP Deployment
•AppScan Enterprise,
Standard & Source
•DataPower
•Security Gateway
•Security
•Policy Manager
•Application
•Assessment
Service
•AppScan
•OnDemand - SaaS
•Network
•Intrusion Prevention
•SiteProtector
•Management
System
•QRadar
•Anomaly Detection
•Managed Firewall,
UTM, and Intrusion
Prevention Services
•Endpoint
•Manager (BigFix)
•Virtualization and
Server Security
•Penetratio
n
•Testing
Services
•Mainframe Security
(zSecure, RACF)
•Network •Endpoint
•Security Intelligence, Analytics and GRC
•Enterprise Governance, Risk and Compliance Management
•GRC Platform (OpenPages) •Risk Analytics (Algorithmics) •Investigation Management (i2)
•Services
•Mobile Device
Management •v12-04
•Application Security Products •Application Security Services
![Page 10: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/10.jpg)
•Finding Application
Vulnerabilities
•“GlassBox scanning allowed us to improve
results accuracy as well as test for new class
of vulnerabilities undetected by conventional
web application security scanning
technologies”
•Boris Gorin, Amdocs
•Примеры клиентов IBM, успешно внедривших наш подход к безопасности приложений
•Reducing the Cost of
Being Secure
•“AppScan not only helps us to avoid costs
related to hacking attacks, but also reduces
the manual effort needed for analysis and the
costs for testing”
•Michael Neumaier,Senior Quality
Specialist, SAP AG
•Providing Oversight
and Governance
•“We were able to increase the participation of
the IT community in web application scanning”
•Alex Jalso, Assistant Director, Office
of Information Security, WVU
![Page 11: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/11.jpg)
•Линейка IBM Security Systems AppScan – •Комплексное управление уязвимостями в процессе разработки ПО
•11
•REQUIREMENTS •CODE •BUILD •PRE-PROD •PRODUCTION •QA
•AppScan Standard
•AppScan Source •Определение требований ИБ •AppScan
Standard
•Встраивание процедур контроля ИБ в процесс тестирования ПО
•Требования к ИБ определяются до начала проектирования и разработки ПО
•Оутсорсинг тестирования на проникновение и адутит продакшн систем
•Безопасность и контроль соответствия тестирование, контроль, аудит
•Встраивание тестирования ИБ в средства разработки
•Лучшие практики безопасности приложений – Secure Engineering Framework
•Автоматизация безопасности и комплайанса в процесс сборки
•SECURITY
•AppScan Enterprise •AppScan onDemand
•Динамический анализ / Чѐрный ящик – •Статический анализ / Белый ящик -
![Page 12: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/12.jpg)
•AppScan Standard
![Page 13: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/13.jpg)
•Что такое AppScan Standard Edition?
Обеспечение безопасности и соответствия
требованиям ИБ для Web-приложений на
протяжении всего жизненного цикла
разработки
Обеспечение видимости уязвимостей,
которыми могут воспользоваться
злоумышленники
Разработан для наиболее широкого круга
пользователей – от непрофессионалов в
ИБ до профи аудиторов и специалистов.
•Автоматизированное нахождение критичных уязвимостей и предоставление советов об их устранении. •Увеличение производительности, благодаря большей прозрачности и автоматизации •Кастомизация с использованием AppScan SDK и фреймворкаAppScan eXtensions Framework илиPyscan (интеграция с скриптами на Python) •Поддержка современных сложных веб-сайтов •База знаний XForce по закрытию уязвимостей ИБ
•Преимущества от использования:
![Page 14: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/14.jpg)
•AppScan Source
![Page 15: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/15.jpg)
•Что такое AppScan Source Edition?
Статический анализ кода на безопасность
и качество с централизованным контролем
политик
Средства автоматизированного
тестирования ИБ, интегрированные в
процесс разработки и сборки ПО
Позволяет создавать, распространять и
приводить в исполнение политики ИБ
- позволяет команде ИБ усиливать безопасность
приложений, защищать конфиденциальные
данные и обеспечивать соответствие требованиям
для собственных продуктов.
- позволяет устранять уязвимости как можно
раньше в процессе разработки ПО, экономя
средства и позволяя проектам уложиться в сроки
•Преимущества от использования:
![Page 16: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/16.jpg)
•AppScan Enterprise
![Page 17: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/17.jpg)
•19
•Что такое AppScan Enterprise Server?
Централизованный репозиторий для
результатов анализа приложений на
безопасность
Предоставление детализированных и
высокоуровневых отчѐтов по найденным
проблемам ИБ
Позволяет специалистам по ИБ предоставлять
результаты анализа ИБ руководителям отдела
разработки и общему руководству
- обеспечивает видимость как непосредственно
рисков ИБ так и рисков несоответствия
регулятивным требованиям в области ИБ.
- обеспечивает возможность получения
оперативных сводок и обмена информацией для
всех заинтересованных в разработке ПО лиц,
включая бизнес-заказчиков разработки и
руководство.
•Преимущества от использования:
![Page 18: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/18.jpg)
•Интеграция с QRadar
![Page 19: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/19.jpg)
•AppScan Enterprise – интеграция с QRadar
AppScan предоставляет для Qradar данные о найденных уязвимостях ИБ в
приложениях
Позволяет лучше обнаруживать и приоритизировать инциденты информационной
безопасности, в том числе проактивно работать с уязвимыми ресурсами
Позволяет создавать более точную оценку рисков для всего списка ресурсов в QRadar
SIEM
Позволяет QRadar SIEM обнаруживать и приоретизировать угрозы ИБ с помощью
корреляции в реальном времени с результатами срабатывания систем IPS/IDS
![Page 20: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/20.jpg)
•AppScan и мобильная безопасность
![Page 21: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/21.jpg)
•Поддержка как Native Android так и iOS приложений
Исследоования в области ИБ и оценки рисков для более чем
40,000 вызовов функций API
Полный анализ вызовов и потоков данных для –Java
–JavaScript
–Objective-C (только в версии для Mac OS X)
●Обнаружение мест потенциальной утечки данных
●Гарантия устойчивости приложений к воздействию со
стороны вредоносного ПО
•AppScan Source – нативная поддержка SAST
•Наиболее полная безопасность мобильных приложений!
![Page 22: Обеспечение безопасности приложений - IBM · 2013-10-31 · •Основной вектор атаки – уязвимости в приложениях](https://reader034.vdocuments.net/reader034/viewer/2022042114/5e9131f4015ef37bb437ffff/html5/thumbnails/22.jpg)
Вопросы?