Your SlideShare is downloading. ×
0
Horyzont bezpieczeństwa
aplikacji webowych
IBM Rational AppScan
na podstawie:
„Discovering the Value of Verifying Web Appl...
Nota prawna
Wszystkie nazwy handlowe, nazwy produktów, nazwy
firm, ich znaki firmowe i towarowe oraz materiały
wizualne uż...
IBM Security AppScan
• Co to jest?
• AppScan jest zautomatyzowanym narzędziem do wykrywania
podatności na zagrożenia aplik...
Charakterystyka IBM Security Appscan
• Pozycja technologii:
–

Gartner wskazuje AppScan jako rynkowego
lidera bezpieczeńst...
IBM Security Appscan służy ponad 800 organizacjom
9 z 10 najwięszych
amerykańskich
banków detalicznych

8 z 10 największyc...
Bezpieczeństwo Aplikacji
Horyzont Bezpieczeństwa
IBM Security AppScan
Desktop

Transport

Sieć

Antywirus/
IPS

Szyfrowani...
Co testuje AppScan?

Web Applications
AppScan

Third-party Components
Web Server Configuration
Web Server
Database
Applica...
Jak funkcjonuje Technologia IBM Security Appscan?

Prywatność

Jakość

Bezpieczeństwo

1
Skanowanie

Standardy

2

Zgodnoś...
Jak działa AppScan?
• Traktuje aplikację na zasadzie czarnej skrzynki
• Odwiedza wszystkie linki i buduje model ośrodka
• ...
Kroki w Technologii IBM Security Appscan
1.

Skanowanie URL
określenie na podstawie układu strony potencjalnych słabości b...
Podsumowanie Zarządcze
• Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń
• Wymagania prawne (np. PC...
IBM Security AppScan (Ekosystem)
AppScan Enterprise / Reporting Console

AppScan
Developer Ed
(desktop)

AppScan Ent.
Quic...
Wzmacnianie Audytorów Bezpieczeństwa
Wprowadzenie: testowania bezpieczeństwa i zgodności, nadzór, kontrola,
badanie polity...
Średnia liczba dni do momentu naprawy dla wiodących pięciu PILNYCH podatności

Średnia liczba dni do momentu naprawy dla w...
Jaki jest koszt błędu oprogramowania?
80% of development costs are spent
identifying and correcting defects!

W fazie test...
Dziękuję
Szymon Dowgwiłłowicz-Nowicki
sdow@premiumtechnology.pl
601.890.080

16

© 2014 Premium Technology
Upcoming SlideShare
Loading in...5
×

IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych

209

Published on

Horyzont bezpieczeństwa aplikacji webowych. Wprowadzenie do koncepcji wspomaganych automatycznie testów bezpieczeństwa aplikacji.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
209
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych"

  1. 1. Horyzont bezpieczeństwa aplikacji webowych IBM Rational AppScan na podstawie: „Discovering the Value of Verifying Web Application Security Using IBM Rational AppScan” © IBM Corporation (TechWorks) oraz mat. IBM/Watchfire/WhiteHat Security 20 stycznia 2014 1 © 2014 Premium Technology
  2. 2. Nota prawna Wszystkie nazwy handlowe, nazwy produktów, nazwy firm, ich znaki firmowe i towarowe oraz materiały wizualne użyte w niniejszej prezentacji należą do ich odpowiednich właścicieli i są używane wyłącznie w celach informacyjnych i identyfikacyjnych. Mogą być one zastrzeżonymi znakami towarowymi i/lub w inny sposób być chronione przepisami prawa. Wszystkie prezentowane materiały, opisy i zdjęcia użyte są w celach informacyjnych. 2 © 2014 Premium Technology
  3. 3. IBM Security AppScan • Co to jest? • AppScan jest zautomatyzowanym narzędziem do wykrywania podatności na zagrożenia aplikacji webowych • Do czego firma go potrzebuje? • Do uproszczenia i optymalizacji procesu wykrywania i korygowania błędów w zakresie bezpieczeństwa aplikacji webowych • Co wykonuje to narzędzie? • Skanuje aplikacje webowe, wykrywa problemy z zakresu bezpieczeństwa i przygotowuje raporty z tego procesu • Kto jest użytkownikiem tego oprogramowania? • Audytorzy bezpieczeństwa • Inżynierowie Q&A, Programiści 3 © 2014 Premium Technology
  4. 4. Charakterystyka IBM Security Appscan • Pozycja technologii: – Gartner wskazuje AppScan jako rynkowego lidera bezpieczeństwa aplikacji w roku 2006 – Ponad 800 organizacji wspiera się IBM Rational Appscan No.1 na Rynku Bezpieczeństwa Aplikacji – Gartner & IDC • Historia IBM Watchfire: – Otwarcie w 1996, 190 pracowników, siedziba w Bostonie – WF stworzyło pierwszy produkt do badania bezpieczeństwa aplikacji – Produkty obejmują: • Rozwiązanie bezpieczeństwa aplikacji – AppScan • Rozwiązanie dot. prywatności i zgodności – Policy Tester Najlepsza Firma Bezpieczeństwo 4 © 2014 Premium Technology
  5. 5. IBM Security Appscan służy ponad 800 organizacjom 9 z 10 najwięszych amerykańskich banków detalicznych 8 z 10 największych firm technologicznych 7 z 10 największych koncernów farmaceutycznych Agencje Rządu Federalnego USA Veteran’s Affairs Army Navy Air Force Marines Duże, skomplikowane ośrodki webowe 5 © 2014 Premium Technology Wielka ilość danych klientów Działalność podlegająca regulacjom prawnym Wielka liczba klientów
  6. 6. Bezpieczeństwo Aplikacji Horyzont Bezpieczeństwa IBM Security AppScan Desktop Transport Sieć Antywirus/ IPS Szyfrowanie (SSL) Firewall’e Zaawansowane Routery Firewall Rozwiązania Bezpieczeństwa Aplikacyjnego i Sieciowego dotyczą innych problemów 6 © 2014 Premium Technology Aplikacje Webowe Serwery Aplikacji Serwery Web Serwer Główny Bazy Danych
  7. 7. Co testuje AppScan? Web Applications AppScan Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 7 © 2014 Premium Technology
  8. 8. Jak funkcjonuje Technologia IBM Security Appscan? Prywatność Jakość Bezpieczeństwo 1 Skanowanie Standardy 2 Zgodność Analiza 3 Raportowanie szczegółowe, gotowe do prowadzenia naprawy 8 © 2014 Premium Technology
  9. 9. Jak działa AppScan? • Traktuje aplikację na zasadzie czarnej skrzynki • Odwiedza wszystkie linki i buduje model ośrodka • Określa kierunki ataku na podstawie wybranej polityki testowania • Wykonuje testy wysyłając zmodyfikowane żądania HTTP do aplikacji i badając zgodność zachowania aplikacji z ustalonym regułami Aplikacja webowa Zapytanie HTTP Application Databases Odpowiedź HTTP 9 © 2014 Premium Technology Web Servers
  10. 10. Kroki w Technologii IBM Security Appscan 1. Skanowanie URL określenie na podstawie układu strony potencjalnych słabości bezpieczeństwa, problemów zgodności oraz zagrożeń dla wizerunku 2. Przesyłanie testów bezpieczeństwa i zgodności Ponad 2000 automatycznych testów bezpieczeństwa i zgodności wykonywanych bez konieczności posiadania wiedzy wewnątrz organizacji (warianty testów podnoszą znacznie efektywną ich ilość) 3. Raportowanie wyników Raportowanie obszarów wymagających uwagi wraz z rekomendacją sposobu ich naprawy, polepszające efektywność twórców aplikacji, szeroki wybór predefinowanych wzorów raportów audytowych 4. Odnawianie bazy wiedzy Zespół badawczy nieprzerwanie monitoruje rządowe i branżowe bazy wiedzy w poszukiwaniu znanych podatności oraz tworzy i udoskonala testy z krokiem tygodniowym 10 © 2014 Premium Technology
  11. 11. Podsumowanie Zarządcze • Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń • Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń • Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC) • Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu IBM wprowadza nowe innowacyjne podejście polegające na integrację testowania bezpieczeństwa w procesie rozwoju oprogramowania, dostarcza najdokładniejsze oraz łatwe w użyciu rozwiązanie 11 © 2014 Premium Technology Zespół Security Koszt / Trudność Operacje / Infrastruktura Czas
  12. 12. IBM Security AppScan (Ekosystem) AppScan Enterprise / Reporting Console AppScan Developer Ed (desktop) AppScan Ent. QuickScan (web client) Rational Application Developer Rational Software Analyzer AppScan Build Ed (scanning agent) (scanning agent) (QA clients) AppScan Tester Ed AppScan AppScan Enterprise user Standard Ed (desktop) (web client) AppScan Express (desktop) Rational BuildForge Rational ClearCase Rational Quality Manager Rational ClearQuest / Defect Management CODE Build security testing into the IDE* BUILD QA Automate Security / Compliance testing in the Build Process Security / compliance testing incorporated into testing & remediation workflows IBM Rational Web Based Training for AppScan 12 © 2014 Premium Technology SECURITY Security & Compliance Testing, oversight, control, policy, audits
  13. 13. Wzmacnianie Audytorów Bezpieczeństwa Wprowadzenie: testowania bezpieczeństwa i zgodności, nadzór, kontrola, badanie polityk zawartości, badanie szczegółowe Rational AppScan Standard Edition (desktop) Automatyczne Testowanie Zabezpieczeń Rational AppScan Enterprise Edition (web client) Rational AppScan Express Edition (desktop) Skalowalność Szerokie Raportowanie • IBM Security Rational AppScan Express Edition: Rozwiązanie dla Klientów średniej wielkości – Wypełnia postulaty PCI (Payment Card Industry) – Znacząco ogranicza potrzebę badania ręcznego, zwalnia zasoby – Wewnętrzne testowanie aplikacji webowych zautomatyzowane i uzasadnione kosztowo – Ochrona firmowego serwisu web oraz ochrona własnej marki 13 © 2014 Premium Technology
  14. 14. Średnia liczba dni do momentu naprawy dla wiodących pięciu PILNYCH podatności Średnia liczba dni do momentu naprawy dla wiodących pięciu KRYTYCZNYCH podatności 14 © 2014 Premium Technology
  15. 15. Jaki jest koszt błędu oprogramowania? 80% of development costs are spent identifying and correcting defects! W fazie testów/ zapewnienia jakości (QA) Podczas kompilacji Podczas kodowania Po opublikowaniu produktu $450/błąd $100/błąd $25/błąd Wzrastający koszt naprawy błędu oprogramowania 15 © 2014 Premium Technology $16,000/błąd
  16. 16. Dziękuję Szymon Dowgwiłłowicz-Nowicki sdow@premiumtechnology.pl 601.890.080 16 © 2014 Premium Technology
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×