IBM 웹애플리케이션보안솔루션 - AppScan · IBM Security 는보안제품포트폴리오 ... 검 주체 보안담당자, 개발자 개발자, 보안담당자 Solution Rational

© 2014 IBM Corporation1© 2015 IBM Corporation

IBM 웹 애플리케이션 보안 솔루션 - AppScan

© 2015 IBM Corporation2 / 60

IBM 보안 Framework

Application Security 솔루션

– AppScan Enterprise Edition

– AppScan Standard Edition

– AppScan Source Edition

– AppScan Cloud Service

사례

목차


데이터 누출에 따른 비용

Source: 2014 ‘Cost of Data Breach Study: Global Analysis’, Ponemon Institute

$5.85M 미국의 데이터 누출 건당평균 비용

$201 미국의 손상된 데이터당 평균비용


어플리케이션 보안 위협

??????????????????????크로스 사이트 스크립팅과 SQL 인젝션

모바일 장치 공격

웹 어플리케이션 취약성

??????????????????????모바일 악성 코드의 증가

조사 시점에서

11.6 million이상의 모바일 장치가악성코드에 감염됨

Source: InfoSec, "Mobile Malware Infects Millions; LTE Spurs Growth," January 2014

일반적으로 많이 사용되는상위

90%의 모바일

어플리케이션이 해킹됨

Source: Arxan Technologies, “App Economy under Attack: Report Reveals More than 90 Percent of the Top 100 Mobile Apps Have Been Hacked”

Web Application Vulnerabilities

크로스 사이트스크립팅과 SQL 인젝션의 지속적인증가

Source: IBM X-Force Threat Intelligence Quarterly, 1Q 2014Source: IBM X-Force Threat

Intelligence Quarterly, 1Q 2014

33%of 누출에 대한

취약성 중 웹 취약성의

비율


SQL 인젝션: 지속적으로 많이 사용되는 데이터 누출 취약점

2013 공격 유형, 시간, 영향력별 보안 사고 분포

Note: Size of circle estimates relative impact of incident in terms of cost to business.

Attack types SQL injection

Spear phishing

DDoS Physical access

Malware XSS Watering hole

Undisclosed

January February March April May June July August September October November December

SQL 인젝션이 2013년 보안 공격의 13%를 차지함

Source: IBM X-Force Threat Intelligence Quarterly 1Q 2014


보안 위협

어플리케이션 보안 지출보안 리스크와 지출에 따른 여러분의 위치는?

지출

Spend ≠ Risk

35% -

30% -

25% -

20% -

15% -

10% -

5% -

어플리케이션보안

데이터 보안 네트웍 보안 인적보안 서버보안 물리적 보안

많은 기업이 어플리케이션 보안의 중점화 하지 않음Source: The State of Risk-Based Security Management, Research Study by Ponemon Institute, 2013


어플리케이션 보안 과제

어플리케이션의 급격한 증가, 출시 및 기술 변화

변화 속도규정 준수

외부 규정 및 내부 정책 요구사항

자원

소규모 보안팀, 대규모어플리케이션

?

• 어떤 어플리케이션이 주요한비즈니스 위험을 가지고있나?

• 프로세스/비즈니스의저하없이 DevOps / 애자일어플리케이션의 보안을테스트할 수 있나?

• 개발주기 초기에 어떻게 보안문제를 식별하고 비용을 줄일수 있나?

• 보안 위험이 어디에 있나?

• 어플리케이션의 내부 정책요구사항을 어떻게 설정할것인가?

• 어플리케이션을 통하여 중요정보가 노출되는가?

• 어플리케이션의 규정 준수사항을 어떻게 확인할 것인가?

• 기업이 가지고 있는 자원을어떻게 우선순위화할 것인가?

• 무엇을 테스트하고 어떻게테스트할 것인가?

• 어떻게 인적자원을 할당하고기술을 향상시키고 인식할것인가?


IBM Security IBM Security framework을 기반으로 통합된 보안 역량을 제공

QRadar

Trusteer

Identity and Access

Management

InfoSphere

Guardium

AppScan

Network and

Endpoint Protection

IBM X-ForceMonitor and evaluate today’s threats

Detect, analyze, and prioritize threats

Reduce fraud and malware

Manage users and their access

Discover and harden valuable assets

Secure critical business applications

Protect infrastructure against attacks

The IBM Security Framework


Advanced Fraud Protection

Trusteer Rapport

Trusteer PinpointMalware Detection

Trusteer PinpointATO Detection

Trusteer Mobile Risk Engine

IBM Security 는 보안 제품 포트폴리오를 지원

Trusteer Apex

FiberLink MaaS360

Endpoint Manager

Host Protection

zSecure

Security Intelligence and Analytics

QRadar Log Manager

QRadar SIEM

QRadar Risk Manager

QRadar Vulnerability

Manager

QRadar Incident Forensics

IBM X-Force Research

People

Identity Manager

Access ManagerFamily

Privileged Identity Manager

Federated Identity Management

Directory Integrator / Directory Server

Data

Guardium DatabaseActivity Monitoring

Guardium Encryption Expert

Guardium / Optim Data Masking

Key Lifecycle Manager

Applications

AppScan Source

AppScanEnterprise / Standard

DataPower WebSecurity Gateway

Security PolicyManager

Network Infrastructure Endpoint

Network Intrusion Prevention (GX)

Next Generation Network Protection

(XGS)

SiteProtectorThreat Management

QRadar NetworkAnomaly Detection








사례

목차


IT도움말

온라인제품 카탈로그

직원여행 포탈

전자상거래

비즈니스영향

낮음 중간 높음 치명적

취약성중간

Session identifiernot updated

높음SQL

injection

중간Open

redirect

(1) HighSQL

injection

어플리케이션 보안위험

낮음 높음 중간 매우 높음

“보안은 항상 이해되고, 관리한다. 그리고 기업의 가장 치명적인 자산의 위협을 완화한다.”

Advanced Persistent Threat, Understanding the Danger and How to Protect Your Organization, by Dr. Eric Cole, SANS Institute

위기 관리의 모든 것…

내부

외부

민감 정보


IBM AppScan 솔루션12

동적분석

상관분석

모바일어플리케이션

분석

정적분석

어플리케이션 보안 관리

자산 목록 비즈니스 영향 평가 상태 및 현황 관리취약점 우순순위화 보안 준수 결정


IBM AppScan 솔루션 – 어플리케이션

Black Box White Box

방식 실제 해커들이 수행할 만한 요청을 웹애플리케이션에 보내 응답을 파악하여 취약점 판단

소스 코드를 정해진규칙으로 스캔 하여취약점 발견

스캔 대상 완성된 웹 애플리케이션 소스 코드

점검 주체 보안 담당자, 개발자 개발자, 보안 담당자

Solution Rational AppScanStandard

Rational AppScanEnterprise

Rational AppScan Source

특징 변조된 HTTP 요청에의한 취약점 판단

발견된 취약점에 대한정보 제공

–권고 사항, 수정안, 문제 요청/응답

산업 표준 / Compliance 기반 보고서 제공

AppScan Standard 전사적 데이터 수집

–역할 분담 / 대시보드제공

다양한 언어로 작성된코드에 대한 보안관점의 코드 점검

개발자들에게 유용한정보 제공 (콜 그래프등)

보고서 제공








결론

목차


AppScan Enterprise - 기능

- IBM Security AppScan Enterprise는 다수의 어플리케이션을 다수의 사용자가 점검을 할 수있도록 중앙에서 관리하며 조직 내에 보안 위협에 대해서 가시성을 제공

- 취약점 탐지 뿐만 아니라 조치 상태를 관리하여 상태별(발견됨/조치됨/처리중)로 취약점을관리

Large scale application security testing

Enterprise visibility of security risk

Governance & collaboration

• 서버-클라이언트 아키텍처 기반의 확장 지원• 여러 사용자에 의서 여러 평가 수행• 모든 평가결과의 중앙 저장소• 평가의 예약 및 자동화.

• 다양한 대시 보드• 자세한 보안 문제 보고서, 조언 및 권고 제공• 40여가지가 넘는 컴플라이언스 보고서

• 사용자 역할 및 액세스 권한• 테스트 정책• 문제 관리• 결함 추적 시스템 통합


AppScan Enterprise - 어플리케이션 목록 구성

16

모든 어플리케이션을 하나의 공간에서 관리


AppScan Enterprise - 어플리케이션 정보 관리

17

보안 관리를 위한 어플리케이션 정보를 정의하고 관리함 ( 어플리케이션 종류, 내부/외부, 보안요구사항 등)


AppScan Enterprise - 자동화된 자산 정의를 위한 룰(rules) 생성

18

자동화된 어플리케이션 자산 관리를 위한 관리 정보 기반의 룰 생성 – 보안 인텔리젼스


AppScan Enterprise – 어플리케이션 자산 우선순위

19

필터링, 정렬 기능을 이용하여 비즈니스 우선 순위 관리!


AppScan Enterprise – 보안 점검 결과 조직화

20

정정, 동적, 상관 분석 결과를 Application 단위로 관리


AppScan Enterprise – 어플리케이션 평가 관리

21

기업 전반의어플리케이션 관리 –점검 결과를 담당자,

일자, 취약점 순위 등의관점으로 식별하여

관리함


AppScan Enterprise – 취약점 분석

22

어플리케이션 정보를 통한 보안 취약점 평가관리 대상 어플리케이션 취약점 평가 기준 활용

Application 변경 내역 등 관리


AppScan Enterprise – 어플리케이션 정보 기반 위험도 평가

23

관리 정보 기반 위혐도 순위 산출


AppScan Enterprise – 기업 Application 보안 현황 관리

가장 주요하게 관리되어야할어플리케이션은?

평가 완료된 어플리케이션 현황

위험도 상위 어플리케이션 식별

어떤 취약점을 최우선으로 수정하여야하나?

개발자가 가장 빈번하게 범하는 실수








결론

목차


AppScan Source – 분석 방식

정적분석(White Box 테스팅)

동적분석(Black Box 테스팅)

점검을위한입력(대상)

소스코드 완성된웹어플리케이션

평가기술 변형된요청분석및패턴매칭 변조된 HTTP 요청

애플리케이션개발주기에서의역할

Development: 소스스캔및 IDE를통한점검Build: 발생시자동점검을통한결함발견Security: 개발자를위한베스트프랙티스에대한정의및보안; 운영전점검과감사를위한실행

Build: 테스팅팀과릴리즈이전단계에스캔Test: 보안테스트실행품질감사를위한보안테스트스크립트실행Security: 품질을위한테스트스크립트정의; 운영전점검과감사를위한실행

결과 & 출력소스와결함함수에따른소스레벨의결과도출

HTTP 요청정보의결과도출 (공격요청정보)


향상된 기술을 이용한 취약점 발견

정적 분석

- 소스 코드 분석

- 개발 과장 중

- 오염분석/패턴 비교사용

동적 분석

- 동적 분석과 정적 분석 결과연계

- 코드 라인 식별로 취약점제거작업 지원

Hybrid 분석

- 동작 웹 어플리케이션- 테스트 단계에서 사용- HTTP 왜곡 기술 사용

Client-Side 분석

- 클라이언트 단 다운로드 된자바스크립트 분석

- 업계 유일

실행시간 분석

- 실행 에이전트(agent) 이용 분석

- 결과 추가 및 정확도 향상

전체 잠재 보안문제


AppScan Standard

AppScan

– 웹 애플리케이션의 보안 점검 도구

AppScan이 필요한 이유

– 웹 애플리케이션의 보안 문제를 보다 쉽게발견하고 해결하기 위함.

AppScan의 역할

– 웹 애플리케이션을 테스트하고, 보안 문제를발견하여 이를 조치할 수 있도록 문제에 관련된다양한 정보 제공

사용 대상자

– 보안 감사자

– QA 팀

– 개발자

1. 애플리케이션 스캔

취약점탐지

취약점분석

취약점수정


웹 애플리케이션 보안 점검 및 취약점 수정(대응)

1. 웹 애플리케이션의 자동화 점검 및 손쉬운 보안

권고안 제공

2. 웹 애플리케이션의 취약한 보안 요소와 근본적

해결 방안을 위한 수정권고안 제시와 보안/코딩

가이드라인 제시

3. 개발자 및 보안담당자가 이해할 수 있는 자세한

코딩 샘플 제공과 예시 등 폭넓은 권고안 제공

1. 세계 시장 점유율 1위 (Gartner Group)

2. 빠른 취약점 업데이트와 제로데이 취약점 대응

(세계 각국 31개의 보안연구소 운영)

4. 많은 솔루션 구축과 활용으로 인한 안정성과 우수성

검증

(세계 유수의 보안 리더 및 선두그룹 등 800여

고객사)

취약점 점검 성능과 검증

1. 모든 종류의 운영체제의 운영중인 웹 서버(IIS, 아파치,

넷스케이프 등) 및 기반기술(ASP, PHP, AJAX, .NET

등)에 대한 인프라스트럭처 및 애플리케이션 점검

지원

2. 일반 사용자 및 전문가와 모의해킹 검사자를 위한

다양한 도구 지원

3. Client Side의 인증, SSL, NTML 등 다양한 인증관리 및

로그인 지원

4. Web 2.0에 대한 대응 지원

5. SDK연동 기반의 AXF-확장지원 툴을 통한 유연성 및

확장성

6. 델타분석을 통한 취약점 점검 및 개선 사항 확인

탁월한 확장성과 운용성편리한 사용자 화면 및 Interface

1. 편리한 Setup, Configure, Run, Test 단계 구성에

의한 직관적인 수행방법 제공

2. 테스트 및 분석 결과의 종합적이고 자세한 DB 제시

3. 자동화된 취약점 Update 및 Zero-day 취약점

업데이트

보고서와 수정권고안

1. 웹 애플리케이션의 모든 단계 및 작업에 대한 이해

가능한 수정안 제시

2. 산업표준 및 폭넓게 사용되는 40가지 규정이행

항목에 대한 이행정보 보고서

3. 강력한 보고서 양식 지원과 오탐보고/스크린 샷 등

활용 및 검증방법 제시

AppScan Standard - 특장점


AppScan Standard - 스캔 구성 및 수행

스캔을 위한 정보 – 어디서, 어떻게, 무엇을…

– 타겟 웹 애플리케이션 URL

– 로그인 방법 및 정보

– 테스트 정책 – 적용 룰/패턴

– 링크 깊이, 수의 제한

– 스캔 제외 경로 및 파일 타입 등

테스트 대상 애플리케이션 정보 수집

– 시작 URL 부터 링크를 따라 탐색하여웹 사이트 페이지 정보 수집

– 수집된 URL 정보들을 애플리케이션트리 형태로 구체화

스캔

– 선 스캔으로 실제 스캔 이전에권고사항 제공

– 수집된 URL에 변조된 Request를송신하여 스캔 수행

– 각 request에 대한 응답 기록 및 결과제공


AppScan Standard – 스캔 전문가 권장사항

웹사이트를 분석하여 최적의 Scan 구성을 설정하도록 지원함


AppScan Standard - 스캔 분석 > 보안 문제

스캔 중 발견된 문제들에 대한 포괄적이고 자세한 정보를 제공 – 단순 리스트업 이상의정보 필요

– 문제 정보

– 보안 권고문

– 수정안

– 요청/응답


AppScan Standard - 스캔 분석 > 조치 작업

스캔에서 발견된 문제들을 위해 디자인된 솔루션 제공

– 애플리케이션이 현재 가지고 있는 문제를 어떻게 해결해야 할지에 대한 정보

– 조치 작업 별로 적용할 수 있는 문제들 리스트업

– (비 개발자인) 보안 담당자 입장에서 (비 보안 전문가인) 개발자들과 보다 정확하게 소통가능


AppScan Standard - 스캔 분석 > 애플리케이션 데이터

테스트 수행 중 웹애플리케이션에서 발견된 내용의리스트

– 요청 / 응답 정보

– 브라우저 보기 기능

수동 테스트 기능

– 요청을 수정하여 원하는내용의 테스트 수행 가능

– 사용자가 패러미터 값 제공, 자동 폼 내용 채우기 기능해제 등을 통해 추가적인테스트 가능


AppScan Standard - 리포트

테스트 분석 후 조직 내의 다양한 팀원들과 결과를 공유할 수 있는 여러 관점의 리포트 제공

– 보안 보고서 – 기본 보고서

– 산업 표준 (OWASP, ISO, Visa 등)

– 규정 준수 (일본, 유럽, 미국 등의 규정)

– 델타 분석 – 스캔 비교

– 템플리트 기반 – 사용자 정의 리포트

발생된 문제, 빈도 등에 대한 정보 포함

OWASP Top 10 보고서 일부의 예

규정 준수 보고 템플릿


.기능 – 취약점 Update

취약점 Update 및 S/W Upgrade

Internet AppScan Update Server

AppScan 자동Update/Upgrade

세계 33개 취약점 연구소

각 지역에서 취합 된 Web Application 보안 취약점과보안정보 또는 AppScan S/W Upgrade

AppScan 의 취약점 정보 업데이트 및 업그레이드

AppScan 은 세계 33개의 취약점연구소와

Web Application 보안 연구소에서 취합된 보안 취약점

을 실시간 자동 업데이트.

또한 취약점 점검 도중 발생하는 보안 취약점 업데이트

에 관해서는 자동 업데이트와 추가적인 취약점 점검을

지원하며, 업데이트에 관한 로그를 상시 검색.

AppScan Standard - 보안 취약점 업데이트








사례

목차


AppScan Source - 기능

IBM Security AppScan Source 는정적분석기법의솔루션

소스레벨의보안취약점스캐닝

보안취약점의공격에따른영향사전대비– 평판의하락

– 비용손실

– 위반으로인한기밀정보유출

– 규제미준수에따른비즈니스위험

AppScan Source 는보안위험을최소화하고사전식별을통한조직적인강화


AppScan Source – 분석 방식

정적분석(White Box 테스팅)

동적분석(Black Box 테스팅)

점검을위한입력(대상)

소스코드 완성된웹어플리케이션

평가기술 변형된요청분석및패턴매칭 변조된 HTTP 요청

애플리케이션개발주기에서의역할

Development: 소스스캔및 IDE를통한점검Build: 발생시자동점검을통한결함발견Security: 개발자를위한베스트프랙티스에대한정의및보안; 운영전점검과감사를위한실행

Build: 테스팅팀과릴리즈이전단계에스캔Test: 보안테스트실행품질감사를위한보안테스트스크립트실행Security: 품질을위한테스트스크립트정의; 운영전점검과감사를위한실행

결과 & 출력소스와결함함수에따른소스레벨의결과도출

HTTP 요청정보의결과도출 (공격요청정보)


AppScan Source – 업무 절차

Scan Triage

AssignRemediate

ConfigurePublish

Source code

결함-------

---------1. Configure Applications

– 애플리케이션과 프로젝트 구성

2. Scan

– 타겟 애플리케이션에 분석을수행하여 취약점을 찾아내는과정

3. Triage & Analyze results

– 평가 결과를 분석하고 실제취약점들을 잠재적인 것들에서분류

– 해결해야 할 문제들의우선순위화

4. Publish Scan Results

– 스캔 결과를 데이터베이스에추가하여 외부 도구에서수집/관리

5. Assign Remediation Tasks

– 결함 등록

6. Remediate

– 코드 수정, 보안 관련 코드 추가등을 통해 취약점 해결


프로젝트유형 -언어선택지원언어

AppScan Source - 다양한 언어지원

Java

JSP

C

C++

.NET

– C#

– VB.NET

– ASP.NET

Classic ASP (VB6)

PHP

HTML

Perl

ColdFusion

JavaScript

VBScript

COBOL

PL/SQL

T-SQL

SAP ABAP

Mobile

– Android

– Objective-C*


AppScan Source - 취약성 분류

취약점Matrix

발견된취약점유형별구분

취약성 Matrix

-취약성 및 심각도를 기준으로 발견된 취약성을 구분

-세분화된 분류로 해결해야 할 취약성의 우선순위화가

가능

-위험도, 속성 등 변경

필터링

-발견된 취약점 중 특별히 관심이 있는 내용 및 특정

유형 위주의 검토

-개발자들에게 필요한 결과만 제공하며 우선순위가

높은 취약성에 집중 가능

모든 룰과 정책은 중앙에서 관리하며 전사적으로 공유됨


AppScan Source - 소스코드 취약성 분석 기능

SmartTrace : 애플리케이션내의데이터의흐름을추적

- 잠재적으로위험한데이터경로를 call graph 형태로표시

- 코드내의문제점을 pin point

- XSS, SQL Injection 등의입력값검증및인코딩루틴부재

문제발견

- Custom validation/인코딩루틴명시가능

SmartAudit : 스캔결과를소프트웨어보안준수및규정관점의

결과로정리하여확인가능

- OWASP, PCI DSS, DISA STIG

-문제에대한정보및권고사항제공

Call Graph

문제가되는코드

Input/Output

stack

Data Flow


AppScan Source - 분석 결과의 정확성

정적 분석 결과 발견된 취약점 중에서 실제로 발생하지 않는 결과를 보안 담당자가 확인 후, 찾은 결과에서 제외하여 정제된 결과를 추출

발견된결과중에실제로발생하지않는결과제외

발견결과선별

애플리케이션정보입력후스캔

재스캔시‘제외된찾은결과’는따로취합됨

애플리케이션스캔

스캔 선별

조치 지정

도, 분류, 취약성유형, API

등으로필터링하여목적에맞게조회


AppScan Source - 취약성 점검 수행 시간

AppScan Source Edition은 타사의 제품들 보다 수행 속도가 빠른 최고 시간당 1,000,000 라인을 분석


AppScan Source – 상관 분석

동적 분석 및 정적 분석 결과를 통합하므로 보다 빠르고 정확하게 취약성의 확인하고 이에대한 해결책을 제시할 수 있어 취약성 조치 업무를 효율적으로 수행

동적분석결과 : 취약성이발견된페이지정보

정적분석결과 : 소스파일/행및 API 정보


동일한룰적용 -진단결과의신뢰성 동일하지않은룰적용 -상이한결과

AppScan Source – 특장점 > 중앙 관리

정적 분석 도구인 AppScan Source Edition은 서버 - 클라이언트 구성으로 룰을 중앙에서관리하므로 전사적으로 일관된 보안 정책을 적용

(룰)AppScan Source

Edition Core

개발자

보안담당자

룰정의 룰적용

클라이언트/서버 아키텍처

중앙 repository인 Source Edition Core와 사용자 클라이언트로 구성

Source Edition Core

스캔에 적용할 룰을 중앙의 Core 모듈에 저장

개발자들이 개별적인 룰을 적용할 수 없으며, 모든 개발자들이 같은 룰을

적용하여 개발

전사에 걸쳐 일관된 정책을 유지할 수 있음

Source Edition for Automation

커맨드 라인을 통한 스캔으로 자체 개발된 UI 등과 연계 가능

빌드 프로세스와 통합 가능

1차진단결과C에취약

2차진단결과양호

XSS 진단항목적용룰 A, B, C, D

XSS 진단항목적용룰 A, B, C, D

애플리케이션

취약성 C가조치된애플리케이션

1차진단결과C에취약

2차진단결과양호

XSS 진단항목적용룰 A, B, “C”, D

XSS 진단항목적용룰 A, B, D

개발자 A

개발자 B

애플리케이션

조치되지않은애플케이션


AppScan Source – 특장점 > Flow 분석

AppScan Source Edition은 IBM 연구소에서 개발된 분석기법을 적용하여 분석 결과의품질을 높임

public void submitQuery(String userName) {

userName = clean(userName);

String query = "SELECT id FROM users WHERE name = '" +

userName + "'";

execute(query);

}

public String clean(String input) {

String output = input.replaceAll(";","").replaceAll("'","");

return output;

}

submitQuery

clean

execute

userName = Σ* output = {Σ - {;,'}}*

userName = {Σ - {;,'}}*

query = SELECT id FROM users WHERE

name = '{Σ - {;,'}}*'

input = Σ*

사용자와 시스템에 의해 정의된새니타이저(sanitizer)와 검사 루틴들을자동으로 감지하고, 이들이 적절하게코딩 되었는지 검증하는 기능들을제공함

이를 통해 오탐과 미탐을 줄여 보다높은 정확성을 달성할 수 있음

검사 루틴을 나타내는 커스텀 룰을작성하는 데 필요한 노력을 줄이며취약성 분석과 분류 과정을 간소화하는효과가 있음

String Analysis


APIAppScan Reporting Console 형상관리

결함관리AppScan Source Edition

AppScan Source – 특장점 > 다양한 개발 환경에 적용

이클립스,Visual Studio 플러그인을 제공하여 이클립스 기반의 타 형상 관리 솔루션과 연동

중앙 저장소에 있는 검색 결과를 접근 할 수 있는 API를 사용하여 타 솔루션과 연동

취약점수정접수

변경요청검토/승인

변경수행

취약점수정완료공지

Check Out

개발및테스트

Check In

개발완료

취약점수정요청등록

이클립스, Visual Studio 플러그인을제공하여설치된형상관리플러그인과연동

리포팅콘솔서버와연동하여웹으로스캔결과조회

IBM Rational ClearQuest

Rational Team Concert

HP Quality Center

Microsoft Team Foundation Server

타결함시스템은 AppScan API로연계

대쉬보드

수정권고방안

Dynamic,Static 분석연계

취약점수정추세확인

스캔결과파일열기

발견된취약점출력

공개된스캔결과가져오기


AppScan Source Edition AppScan Reporting Console

AppScan Source – 특정점 > 다양한 리포트 지원

AppScan Source Edition은 진단도구에서 보여지는 점검 결과보기 이외에도, OWASP, DISA, PCI, 보안 프로파일 보고서 등의 다양하고 상세한 형태의 보고서를 제공

AppScan Reporting Console은 컴플라이언스 보고서와 대쉬보드, 이력, 경향 분석대쉬보드 등 58가지의 다른 산출물을 사용자 권한 및 역할별로 온라인으로 확인하는 기능을제공


기술연구

취약성연구

공개된취약성분석

멀웨어분석

공격매개체예측

방어기재연구

솔루션

3.3.4 룰 업데이트

IBM ISS(Internet Security Systems)의 X-Force 연구소에 의해 분석된 보안 룰을 주기적으로도구의 업데이트와 동시에 제공하여 새로 발견된 취약성에 적절히 대응

기존방어기재확장

새로운방어기재작성및개발

보안컨텐츠업데이트

수집된정보공유

WatchFire

IBM X-Force

OunceLab

X-Force 보안컨텐츠








사례

목차

© 2015 IBM Corporation

IBM Security

53 IBM Sellers & Business Partners Only

AppScan Cloud Services – AppScan Dynamic Analyzer

•

기반의 동적 웹어플리케이션 보안 취약점 분석 서비스

ENTER URL SCAN REPORT

HTTP://


IBM Security


AppScan Cloud Services – AppScan Mobile Analyzer

•AppScan mobile AnalyzerIBM Bluemix 기반의 모바일 앱 보안 취약점 분석 서비스


IBM Security


AppScan Cloud Services – AppScan Static Analyzer

•AppScan Static Analyzer - BetaIBM Bluemix 기반의 웹 어플리케이션 보안 취약점 분석 서비스


IBM Security








사례

목차


운영 사례 ( AppScan Source ) – Application 개발사

개발자는 개발 IDE에 설치된 형상 관리 플러그인을 이용하여 소스를 체크아웃 후 AppScan Source for Developer 플러그인으로 스캔 후, 체크인 합니다. 보안 담당자는 형상 관리솔루션을 이용하여 빌드 서버로 체크아웃 후 AppScan Source for Security를 사용해 스캔및 점검

귀사운영시스템과의연동시AppScan이보유하고있는 API를활용하여연동하는방안을제시

개발 IDE PC

형상관리서버

보안담당자

체크아웃1

체크인3

체크아웃1

체크인3

형상관리플러그인 AppScan Source 플러그인

스캔2

AppScan Source for Security

개발자

스캔2

형상관리솔루션

개발자

C:\

빌드서버


웹 서비스 보안 강화

운용 사례 ( AppScan Standard ) – 게임사 급증하는 방문자 트래픽과 이에 따른 악의적 해킹 시도로부터 사이트를 보호하고, 안전한 웹

서비스를 제공하기 위한 보안 강화로 솔루션 도입

개발자가 수작업으로 모의 해킹

점검 업무 하루(8시간) 이상 소요

웹 취약성 점검 후 서비스의 퍼블리쉬(결과 정리,

개발팀에 요청, 해결, 검증 및 서비스 공개)까지 일주일이상 소요

수작업으로 리포트 작성

모의 해킹 자동화

자동 점검을 통해 3시간 내로 단축

취약성 점검 후 퍼블리쉬 과정이 1일 이내로 80%

이상 단축 효과

리포트 자동 생성

보안 점검 효율성

개발자 경험에 전적으로 의존한 보안 점검의 한계로최신 해킹 패턴에 대한 대응 부재

이미 서비스된 애플리케이션은 보안 점검이 어려움

광범위한 해킹 패턴 보유 및 국내/외 최신 해킹패턴의 주기적인 업데이트로 보다 완전한 보안점검이 가능

스케줄링 기능으로 대외 서비스의 정기/비정기적상시 보안 점검이 가능

웹 서비스 보안 안정성

웹 보안 점검효율화

보안 취약점100% 근접 제거

보안 업무 추진력제고

대외 서비스 상시보안 점검


사례 – 국내외

세계 상위 10대 은행 중 9개 은행

세계 상위 10대 IT기술기업 중 8개기업

세계 상위 제약/임상 기업 중 7개기업

다양한 대규모정부기관

IT 기술기업

컨설팅 및 연구기업

국내 기업과 기관


IBM Security Investment

• 6,000+ IBM Security experts worldwide

• 1,700+ IBM security patents

• 4,000+ IBM managed security services

clients worldwide

• 25 IBM Security labs worldwide

Security services

and network security

Enterprisesingle-sign-on

Mainframeand server

security

Identity management

Directory integration

Endpoint managementand security

Information and analyticsmanagement

Application security

Risk management

Data management

Database monitoring

and protection

Applicationsecurity

Access management

SOA management and security

IBM Security는 최상의 소프트웨어 기술에 투자

1976 1999 2002 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014

Incident forensics

Advancedfraud

protection

Secure mobile management

Cloud-enabledidentity

management

Identity governance

Securityintelligence

IBM Securityis created

Documents

IBM 웹애플리케이션보안솔루션 - AppScan · IBM Security 는보안제품포트폴리오 ... 검 주체 보안담당자, 개발자 개발자, 보안담당자 Solution Rational