1 © 2014 Premium Technology

Horyzont bezpieczeństwa aplikacji webowych

IBM Rational AppScanna podstawie:

„Discovering the Value of Verifying Web Application Security Using IBM Rational AppScan”

© IBM Corporation (TechWorks) oraz mat. IBM/Watchfire/WhiteHat Security

20 stycznia 2014

2 © 2014 Premium Technology

Nota prawna

Wszystkie nazwy handlowe, nazwy produktów, nazwy firm, ich znaki firmowe i towarowe oraz materiały wizualne użyte w niniejszej prezentacji należą do ich odpowiednich właścicieli i są używane wyłącznie w celach informacyjnych i identyfikacyjnych. Mogą być one zastrzeżonymi znakami towarowymi i/lub w inny sposób być chronione przepisami prawa. Wszystkie prezentowane materiały, opisy i zdjęcia użyte są w celach informacyjnych.

3 © 2014 Premium Technology

IBM Security AppScan

• Co to jest?• AppScan jest zautomatyzowanym narzędziem do

wykrywania podatności na zagrożenia aplikacji webowych

• Do czego firma go potrzebuje?• Do uproszczenia i optymalizacji procesu wykrywania i

korygowania błędów w zakresie bezpieczeństwa aplikacji webowych

• Co wykonuje to narzędzie?• Skanuje aplikacje webowe, wykrywa problemy z zakresu

bezpieczeństwa i przygotowuje raporty z tego procesu

• Kto jest użytkownikiem tego oprogramowania?• Audytorzy bezpieczeństwa

• Inżynierowie Q&A, Programiści

4 © 2014 Premium Technology

Charakterystyka IBM Security Appscan

• Pozycja technologii:

– Gartner wskazuje AppScan jako rynkowego lidera bezpieczeństwa aplikacji w roku 2006

– Ponad 800 organizacji wspiera się IBM Rational Appscan

• Historia IBM Watchfire:

– Otwarcie w 1996, 190 pracowników, siedziba w Bostonie

– WF stworzyło pierwszy produkt do badania bezpieczeństwa aplikacji

– Produkty obejmują:

• Rozwiązanie bezpieczeństwa aplikacji – AppScan

• Rozwiązanie dot. prywatności i zgodności – Policy Tester

No.1 na Rynku Bezpieczeństwa

Aplikacji– Gartner & IDC

No.1 na Rynku Bezpieczeństwa

Aplikacji– Gartner & IDC

Najlepsza Firma

Bezpieczeństwo

5 © 2014 Premium Technology

IBM Security Appscan służy ponad 800 organizacjom

8 z 10 największych firm

technologicznych

7 z 10 największych koncernów

farmaceutycznych

Agencje Rządu Federalnego USA

9 z 10 najwięszych amerykańskich

banków detalicznych

Veteran’s Affairs

NavyArmy

Air Force Marines

Duże, skomplikowane ośrodki webowe

Wielka ilość danych klientów

Działalność podlegająca regulacjom prawnym

Wielka liczba klientów

6 © 2014 Premium Technology

Desktop Transport Sieć

Antywirus/IPS

Szyfrowanie(SSL)

Firewall’eZaawansowane

Routery

Bezpieczeństwo Aplikacji

Firewall

Serwery WebBazy

Danych

Serwer Główny

Serwery Aplikacji

Horyzont Bezpieczeństwa

Aplikacje Webowe

Rozwiązania Bezpieczeństwa Aplikacyjnego i

Sieciowego dotyczą innych problemów

IBM Security AppScan

7 © 2014 Premium Technology

Co testuje AppScan?

Network

Operating System

Applications

Database

Web Server

Web Server Configuration

Third-party Components

Web Applications

AppScan

8 © 2014 Premium Technology

Jak funkcjonuje Technologia IBM Security Appscan?

Prywatność Jakość

ZgodnośćStandardy

Bezpieczeństwo

SkanowanieSkanowanie

11

AnalizaAnaliza

22

Raportowanieszczegółowe, gotowe

do prowadzenia naprawy

Raportowanieszczegółowe, gotowe

do prowadzenia naprawy

33

9 © 2014 Premium Technology

Jak działa AppScan?

• Traktuje aplikację na zasadzie czarnej skrzynki

• Odwiedza wszystkie linki i buduje model ośrodka

• Określa kierunki ataku na podstawie wybranej polityki testowania

• Wykonuje testy wysyłając zmodyfikowane żądania HTTP do aplikacji i badając zgodność zachowania aplikacji z ustalonym regułamiZapytanie

HTTP

Aplikacja webowa

Odpowiedź HTTP

WebServers

Application

Databases

10 © 2014 Premium Technology

Kroki w Technologii IBM Security Appscan

1. Skanowanie URL

określenie na podstawie układu strony potencjalnych słabości bezpieczeństwa, problemów zgodności oraz zagrożeń dla wizerunku

2. Przesyłanie testów bezpieczeństwa i zgodności

Ponad 2000 automatycznych testów bezpieczeństwa i zgodności wykonywanych bez konieczności posiadania wiedzy wewnątrz organizacji (warianty testów podnoszą znacznie efektywną ich ilość)

3. Raportowanie wyników

Raportowanie obszarów wymagających uwagi wraz z rekomendacją sposobu ich naprawy, polepszające efektywność twórców aplikacji, szeroki wybór predefinowanych wzorów raportów audytowych

4. Odnawianie bazy wiedzy

Zespół badawczy nieprzerwanie monitoruje rządowe i branżowe bazy wiedzy w poszukiwaniu znanych podatności oraz tworzy i udoskonala testy z krokiem tygodniowym

11 © 2014 Premium Technology

Podsumowanie Zarządcze

• Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń

• Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń

• Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC)

• Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu

Koszt /Trudność

Zespół Security

Operacje / Infrastruktura

Czas

IBM wprowadza nowe innowacyjne podejście

polegające na integrację testowania bezpieczeństwa w

procesie rozwoju oprogramowania, dostarcza

najdokładniejsze oraz łatwe w użyciu rozwiązanie

12 © 2014 Premium Technology

AppScan Standard Ed

(desktop)

AppScan Enterprise user

(web client)

AppScan Build Ed(scanning agent)

IBM Rational Web Based Training for AppScan

AppScan Express(desktop)

AppScan Developer Ed

(desktop)

AppScan Ent. QuickScan (web client) AppScan Tester Ed

(scanning agent)(QA clients)

Rational BuildForge

Rational Quality Manager

Rational Application Developer

Rational Software Analyzer

Rational ClearCase

Rational ClearQuest / Defect Management

AppScan Enterprise / Reporting Console AppScan Enterprise / Reporting Console

CODEBuild security testing into the

IDE*

BUILDAutomate Security / Compliance

testing in the Build Process

QASecurity / compliance testing

incorporated into testing & remediation workflows

SECURITYSecurity & Compliance Testing, oversight, control, policy, audits

IBM Security AppScan (Ekosystem)

13 © 2014 Premium Technology

Wzmacnianie Audytorów Bezpieczeństwa

Wprowadzenie: testowania bezpieczeństwa i zgodności, nadzór, kontrola, badanie polityk zawartości, badanie szczegółowe

Rational AppScan Express Edition

(desktop)

Rational AppScan Enterprise Edition

(web client)

Rational AppScan Standard Edition

(desktop)

• IBM Security Rational AppScan Express Edition: Rozwiązanie dla Klientów średniej wielkości

– Wypełnia postulaty PCI (Payment Card Industry)

– Znacząco ogranicza potrzebę badania ręcznego, zwalnia zasoby

– Wewnętrzne testowanie aplikacji webowych zautomatyzowane i uzasadnione kosztowo

– Ochrona firmowego serwisu web oraz ochrona własnej marki

AutomatyczneTestowanie

Zabezpieczeń

SkalowalnośćSzerokie

Raportowanie

14 © 2014 Premium Technology

Średnia liczba dni do momentu naprawy dla wiodących pięciu PILNYCH podatności

Średnia liczba dni do momentu naprawy dla wiodących pięciu KRYTYCZNYCH podatności

15 © 2014 Premium Technology

Jaki jest koszt błędu oprogramowania?

Podczas kodowania

$25/błąd

Podczas kompilacji

$100/błąd

Po opublikowaniu produktu

$16,000/błądW fazie testów/

zapewnienia jakości (QA)

$450/błąd

Wzrastający koszt naprawy błędu oprogramowania

80% of development costs are spent identifying and correcting defects!

16 © 2014 Premium Technology

Dziękuję

Szymon Dowgwiłłowicz-Nowickisdow@premiumtechnology.pl

601.890.080