ibm security appscan introduction - horyzont bezpieczeństwa aplikacji webowych
DESCRIPTION
Horyzont bezpieczeństwa aplikacji webowych. Wprowadzenie do koncepcji wspomaganych automatycznie testów bezpieczeństwa aplikacji.TRANSCRIPT
1 © 2014 Premium Technology
Horyzont bezpieczeństwa aplikacji webowych
IBM Rational AppScanna podstawie:
„Discovering the Value of Verifying Web Application Security Using IBM Rational AppScan”
© IBM Corporation (TechWorks) oraz mat. IBM/Watchfire/WhiteHat Security
20 stycznia 2014
2 © 2014 Premium Technology
Nota prawna
Wszystkie nazwy handlowe, nazwy produktów, nazwy firm, ich znaki firmowe i towarowe oraz materiały wizualne użyte w niniejszej prezentacji należą do ich odpowiednich właścicieli i są używane wyłącznie w celach informacyjnych i identyfikacyjnych. Mogą być one zastrzeżonymi znakami towarowymi i/lub w inny sposób być chronione przepisami prawa. Wszystkie prezentowane materiały, opisy i zdjęcia użyte są w celach informacyjnych.
3 © 2014 Premium Technology
IBM Security AppScan
• Co to jest?• AppScan jest zautomatyzowanym narzędziem do
wykrywania podatności na zagrożenia aplikacji webowych
• Do czego firma go potrzebuje?• Do uproszczenia i optymalizacji procesu wykrywania i
korygowania błędów w zakresie bezpieczeństwa aplikacji webowych
• Co wykonuje to narzędzie?• Skanuje aplikacje webowe, wykrywa problemy z zakresu
bezpieczeństwa i przygotowuje raporty z tego procesu
• Kto jest użytkownikiem tego oprogramowania?• Audytorzy bezpieczeństwa
• Inżynierowie Q&A, Programiści
4 © 2014 Premium Technology
Charakterystyka IBM Security Appscan
• Pozycja technologii:
– Gartner wskazuje AppScan jako rynkowego lidera bezpieczeństwa aplikacji w roku 2006
– Ponad 800 organizacji wspiera się IBM Rational Appscan
• Historia IBM Watchfire:
– Otwarcie w 1996, 190 pracowników, siedziba w Bostonie
– WF stworzyło pierwszy produkt do badania bezpieczeństwa aplikacji
– Produkty obejmują:
• Rozwiązanie bezpieczeństwa aplikacji – AppScan
• Rozwiązanie dot. prywatności i zgodności – Policy Tester
No.1 na Rynku Bezpieczeństwa
Aplikacji– Gartner & IDC
No.1 na Rynku Bezpieczeństwa
Aplikacji– Gartner & IDC
Najlepsza Firma
Bezpieczeństwo
5 © 2014 Premium Technology
IBM Security Appscan służy ponad 800 organizacjom
8 z 10 największych firm
technologicznych
7 z 10 największych koncernów
farmaceutycznych
Agencje Rządu Federalnego USA
9 z 10 najwięszych amerykańskich
banków detalicznych
Veteran’s Affairs
NavyArmy
Air Force Marines
Duże, skomplikowane ośrodki webowe
Wielka ilość danych klientów
Działalność podlegająca regulacjom prawnym
Wielka liczba klientów
6 © 2014 Premium Technology
Desktop Transport Sieć
Antywirus/IPS
Szyfrowanie(SSL)
Firewall’eZaawansowane
Routery
Bezpieczeństwo Aplikacji
Firewall
Serwery WebBazy
Danych
Serwer Główny
Serwery Aplikacji
Horyzont Bezpieczeństwa
Aplikacje Webowe
Rozwiązania Bezpieczeństwa Aplikacyjnego i
Sieciowego dotyczą innych problemów
IBM Security AppScan
7 © 2014 Premium Technology
Co testuje AppScan?
Network
Operating System
Applications
Database
Web Server
Web Server Configuration
Third-party Components
Web Applications
AppScan
8 © 2014 Premium Technology
Jak funkcjonuje Technologia IBM Security Appscan?
Prywatność Jakość
ZgodnośćStandardy
Bezpieczeństwo
SkanowanieSkanowanie
11
AnalizaAnaliza
22
Raportowanieszczegółowe, gotowe
do prowadzenia naprawy
Raportowanieszczegółowe, gotowe
do prowadzenia naprawy
33
9 © 2014 Premium Technology
Jak działa AppScan?
• Traktuje aplikację na zasadzie czarnej skrzynki
• Odwiedza wszystkie linki i buduje model ośrodka
• Określa kierunki ataku na podstawie wybranej polityki testowania
• Wykonuje testy wysyłając zmodyfikowane żądania HTTP do aplikacji i badając zgodność zachowania aplikacji z ustalonym regułamiZapytanie
HTTP
Aplikacja webowa
Odpowiedź HTTP
WebServers
Application
Databases
10 © 2014 Premium Technology
Kroki w Technologii IBM Security Appscan
1. Skanowanie URL
określenie na podstawie układu strony potencjalnych słabości bezpieczeństwa, problemów zgodności oraz zagrożeń dla wizerunku
2. Przesyłanie testów bezpieczeństwa i zgodności
Ponad 2000 automatycznych testów bezpieczeństwa i zgodności wykonywanych bez konieczności posiadania wiedzy wewnątrz organizacji (warianty testów podnoszą znacznie efektywną ich ilość)
3. Raportowanie wyników
Raportowanie obszarów wymagających uwagi wraz z rekomendacją sposobu ich naprawy, polepszające efektywność twórców aplikacji, szeroki wybór predefinowanych wzorów raportów audytowych
4. Odnawianie bazy wiedzy
Zespół badawczy nieprzerwanie monitoruje rządowe i branżowe bazy wiedzy w poszukiwaniu znanych podatności oraz tworzy i udoskonala testy z krokiem tygodniowym
11 © 2014 Premium Technology
Podsumowanie Zarządcze
• Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń
• Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń
• Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC)
• Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu
Koszt /Trudność
Zespół Security
Operacje / Infrastruktura
Czas
IBM wprowadza nowe innowacyjne podejście
polegające na integrację testowania bezpieczeństwa w
procesie rozwoju oprogramowania, dostarcza
najdokładniejsze oraz łatwe w użyciu rozwiązanie
12 © 2014 Premium Technology
AppScan Standard Ed
(desktop)
AppScan Enterprise user
(web client)
AppScan Build Ed(scanning agent)
IBM Rational Web Based Training for AppScan
AppScan Express(desktop)
AppScan Developer Ed
(desktop)
AppScan Ent. QuickScan (web client) AppScan Tester Ed
(scanning agent)(QA clients)
Rational BuildForge
Rational Quality Manager
Rational Application Developer
Rational Software Analyzer
Rational ClearCase
Rational ClearQuest / Defect Management
AppScan Enterprise / Reporting Console AppScan Enterprise / Reporting Console
CODEBuild security testing into the
IDE*
BUILDAutomate Security / Compliance
testing in the Build Process
QASecurity / compliance testing
incorporated into testing & remediation workflows
SECURITYSecurity & Compliance Testing, oversight, control, policy, audits
IBM Security AppScan (Ekosystem)
13 © 2014 Premium Technology
Wzmacnianie Audytorów Bezpieczeństwa
Wprowadzenie: testowania bezpieczeństwa i zgodności, nadzór, kontrola, badanie polityk zawartości, badanie szczegółowe
Rational AppScan Express Edition
(desktop)
Rational AppScan Enterprise Edition
(web client)
Rational AppScan Standard Edition
(desktop)
• IBM Security Rational AppScan Express Edition: Rozwiązanie dla Klientów średniej wielkości
– Wypełnia postulaty PCI (Payment Card Industry)
– Znacząco ogranicza potrzebę badania ręcznego, zwalnia zasoby
– Wewnętrzne testowanie aplikacji webowych zautomatyzowane i uzasadnione kosztowo
– Ochrona firmowego serwisu web oraz ochrona własnej marki
AutomatyczneTestowanie
Zabezpieczeń
SkalowalnośćSzerokie
Raportowanie
14 © 2014 Premium Technology
Średnia liczba dni do momentu naprawy dla wiodących pięciu PILNYCH podatności
Średnia liczba dni do momentu naprawy dla wiodących pięciu KRYTYCZNYCH podatności
15 © 2014 Premium Technology
Jaki jest koszt błędu oprogramowania?
Podczas kodowania
$25/błąd
Podczas kompilacji
$100/błąd
Po opublikowaniu produktu
$16,000/błądW fazie testów/
zapewnienia jakości (QA)
$450/błąd
Wzrastający koszt naprawy błędu oprogramowania
80% of development costs are spent identifying and correcting defects!