SlideShare ist ein Scribd-Unternehmen logo

IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych

Als PPTX, PDF herunterladen
Szymon Dowgwillowicz-Nowicki
Szymon Dowgwillowicz-Nowicki

Horyzont bezpieczeństwa aplikacji webowych. Wprowadzenie do koncepcji wspomaganych automatycznie testów bezpieczeństwa aplikacji.

Technologie
1 von 16
Horyzont bezpieczeństwa aplikacji webowych IBM Rational AppScan na podstawie: „Discovering the Value of Verifying Web Application Security Using IBM Rational AppScan” © IBM Corporation (TechWorks) oraz mat. IBM/Watchfire/WhiteHat Security 20 stycznia 2014 1 © 2014 Premium Technology
Nota prawna Wszystkie nazwy handlowe, nazwy produktów, nazwy firm, ich znaki firmowe i towarowe oraz materiały wizualne użyte w niniejszej prezentacji należą do ich odpowiednich właścicieli i są używane wyłącznie w celach informacyjnych i identyfikacyjnych. Mogą być one zastrzeżonymi znakami towarowymi i/lub w inny sposób być chronione przepisami prawa. Wszystkie prezentowane materiały, opisy i zdjęcia użyte są w celach informacyjnych. 2 © 2014 Premium Technology
IBM Security AppScan • Co to jest? • AppScan jest zautomatyzowanym narzędziem do wykrywania podatności na zagrożenia aplikacji webowych • Do czego firma go potrzebuje? • Do uproszczenia i optymalizacji procesu wykrywania i korygowania błędów w zakresie bezpieczeństwa aplikacji webowych • Co wykonuje to narzędzie? • Skanuje aplikacje webowe, wykrywa problemy z zakresu bezpieczeństwa i przygotowuje raporty z tego procesu • Kto jest użytkownikiem tego oprogramowania? • Audytorzy bezpieczeństwa • Inżynierowie Q&A, Programiści 3 © 2014 Premium Technology
Charakterystyka IBM Security Appscan • Pozycja technologii: – Gartner wskazuje AppScan jako rynkowego lidera bezpieczeństwa aplikacji w roku 2006 – Ponad 800 organizacji wspiera się IBM Rational Appscan No.1 na Rynku Bezpieczeństwa Aplikacji – Gartner & IDC • Historia IBM Watchfire: – Otwarcie w 1996, 190 pracowników, siedziba w Bostonie – WF stworzyło pierwszy produkt do badania bezpieczeństwa aplikacji – Produkty obejmują: • Rozwiązanie bezpieczeństwa aplikacji – AppScan • Rozwiązanie dot. prywatności i zgodności – Policy Tester Najlepsza Firma Bezpieczeństwo 4 © 2014 Premium Technology
IBM Security Appscan służy ponad 800 organizacjom 9 z 10 najwięszych amerykańskich banków detalicznych 8 z 10 największych firm technologicznych 7 z 10 największych koncernów farmaceutycznych Agencje Rządu Federalnego USA Veteran’s Affairs Army Navy Air Force Marines Duże, skomplikowane ośrodki webowe 5 © 2014 Premium Technology Wielka ilość danych klientów Działalność podlegająca regulacjom prawnym Wielka liczba klientów
Bezpieczeństwo Aplikacji Horyzont Bezpieczeństwa IBM Security AppScan Desktop Transport Sieć Antywirus/ IPS Szyfrowanie (SSL) Firewall’e Zaawansowane Routery Firewall Rozwiązania Bezpieczeństwa Aplikacyjnego i Sieciowego dotyczą innych problemów 6 © 2014 Premium Technology Aplikacje Webowe Serwery Aplikacji Serwery Web Serwer Główny Bazy Danych
Co testuje AppScan? Web Applications AppScan Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 7 © 2014 Premium Technology
Jak funkcjonuje Technologia IBM Security Appscan? Prywatność Jakość Bezpieczeństwo 1 Skanowanie Standardy 2 Zgodność Analiza 3 Raportowanie szczegółowe, gotowe do prowadzenia naprawy 8 © 2014 Premium Technology
Jak działa AppScan? • Traktuje aplikację na zasadzie czarnej skrzynki • Odwiedza wszystkie linki i buduje model ośrodka • Określa kierunki ataku na podstawie wybranej polityki testowania • Wykonuje testy wysyłając zmodyfikowane żądania HTTP do aplikacji i badając zgodność zachowania aplikacji z ustalonym regułami Aplikacja webowa Zapytanie HTTP Application Databases Odpowiedź HTTP 9 © 2014 Premium Technology Web Servers
Kroki w Technologii IBM Security Appscan 1. Skanowanie URL określenie na podstawie układu strony potencjalnych słabości bezpieczeństwa, problemów zgodności oraz zagrożeń dla wizerunku 2. Przesyłanie testów bezpieczeństwa i zgodności Ponad 2000 automatycznych testów bezpieczeństwa i zgodności wykonywanych bez konieczności posiadania wiedzy wewnątrz organizacji (warianty testów podnoszą znacznie efektywną ich ilość) 3. Raportowanie wyników Raportowanie obszarów wymagających uwagi wraz z rekomendacją sposobu ich naprawy, polepszające efektywność twórców aplikacji, szeroki wybór predefinowanych wzorów raportów audytowych 4. Odnawianie bazy wiedzy Zespół badawczy nieprzerwanie monitoruje rządowe i branżowe bazy wiedzy w poszukiwaniu znanych podatności oraz tworzy i udoskonala testy z krokiem tygodniowym 10 © 2014 Premium Technology
Podsumowanie Zarządcze • Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń • Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń • Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC) • Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu IBM wprowadza nowe innowacyjne podejście polegające na integrację testowania bezpieczeństwa w procesie rozwoju oprogramowania, dostarcza najdokładniejsze oraz łatwe w użyciu rozwiązanie 11 © 2014 Premium Technology Zespół Security Koszt / Trudność Operacje / Infrastruktura Czas
IBM Security AppScan (Ekosystem) AppScan Enterprise / Reporting Console AppScan Developer Ed (desktop) AppScan Ent. QuickScan (web client) Rational Application Developer Rational Software Analyzer AppScan Build Ed (scanning agent) (scanning agent) (QA clients) AppScan Tester Ed AppScan AppScan Enterprise user Standard Ed (desktop) (web client) AppScan Express (desktop) Rational BuildForge Rational ClearCase Rational Quality Manager Rational ClearQuest / Defect Management CODE Build security testing into the IDE* BUILD QA Automate Security / Compliance testing in the Build Process Security / compliance testing incorporated into testing & remediation workflows IBM Rational Web Based Training for AppScan 12 © 2014 Premium Technology SECURITY Security & Compliance Testing, oversight, control, policy, audits
Wzmacnianie Audytorów Bezpieczeństwa Wprowadzenie: testowania bezpieczeństwa i zgodności, nadzór, kontrola, badanie polityk zawartości, badanie szczegółowe Rational AppScan Standard Edition (desktop) Automatyczne Testowanie Zabezpieczeń Rational AppScan Enterprise Edition (web client) Rational AppScan Express Edition (desktop) Skalowalność Szerokie Raportowanie • IBM Security Rational AppScan Express Edition: Rozwiązanie dla Klientów średniej wielkości – Wypełnia postulaty PCI (Payment Card Industry) – Znacząco ogranicza potrzebę badania ręcznego, zwalnia zasoby – Wewnętrzne testowanie aplikacji webowych zautomatyzowane i uzasadnione kosztowo – Ochrona firmowego serwisu web oraz ochrona własnej marki 13 © 2014 Premium Technology
Średnia liczba dni do momentu naprawy dla wiodących pięciu PILNYCH podatności Średnia liczba dni do momentu naprawy dla wiodących pięciu KRYTYCZNYCH podatności 14 © 2014 Premium Technology
Jaki jest koszt błędu oprogramowania? 80% of development costs are spent identifying and correcting defects! W fazie testów/ zapewnienia jakości (QA) Podczas kompilacji Podczas kodowania Po opublikowaniu produktu $450/błąd $100/błąd $25/błąd Wzrastający koszt naprawy błędu oprogramowania 15 © 2014 Premium Technology $16,000/błąd
Dziękuję Szymon Dowgwiłłowicz-Nowicki sdow@premiumtechnology.pl 601.890.080 16 © 2014 Premium Technology

Empfohlen

OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForceOWASP
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznegoSzymon Dowgwillowicz-Nowicki
 
YetiForce OWASP ASVS
YetiForce OWASP ASVSYetiForce OWASP ASVS
YetiForce OWASP ASVSYetiForce Sp. z o.o.
 
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacji
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOwasp asvs 3.0 co nowego w bezpieczeństwie aplikacji
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOWASP
 
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania QualityIn.IT
 
Carbon Markets Update 17.10.2010
Carbon Markets Update 17.10.2010Carbon Markets Update 17.10.2010
Carbon Markets Update 17.10.2010Juha Ruokonen
 

Empfohlen

OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForceOWASP
 
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznego2012 Premium Technology usługi bezpieczeństwa teleinformatycznego
2012 Premium Technology usługi bezpieczeństwa teleinformatycznegoSzymon Dowgwillowicz-Nowicki
 
YetiForce OWASP ASVS
YetiForce OWASP ASVSYetiForce OWASP ASVS
YetiForce OWASP ASVSYetiForce Sp. z o.o.
 
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacji
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOwasp asvs 3.0 co nowego w bezpieczeństwie aplikacji
Owasp asvs 3.0 co nowego w bezpieczeństwie aplikacjiOWASP
 
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...
4Developers: Mateusz Olejarka- Jak utrzymać bezpieczeństwo aplikacji po wdroż...PROIDEA
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania Analiza nowej Rekomendacji D pod kątem metodologii testowania
Analiza nowej Rekomendacji D pod kątem metodologii testowania QualityIn.IT
 
Carbon Markets Update 17.10.2010
Carbon Markets Update 17.10.2010Carbon Markets Update 17.10.2010
Carbon Markets Update 17.10.2010Juha Ruokonen
 
Publicidad Oficial: Enero-Junio 2010
Publicidad Oficial: Enero-Junio 2010Publicidad Oficial: Enero-Junio 2010
Publicidad Oficial: Enero-Junio 2010estebandelcampo
 
Social CRM: IMS Denver
Social CRM: IMS DenverSocial CRM: IMS Denver
Social CRM: IMS DenverCorporate Visions Inc.
 
2012 NagraID display cards - alternatywa dla tokenów
2012 NagraID display cards - alternatywa dla tokenów2012 NagraID display cards - alternatywa dla tokenów
2012 NagraID display cards - alternatywa dla tokenówSzymon Dowgwillowicz-Nowicki
 
Oer 2
Oer 2Oer 2
Oer 2rosemary10
 
Wireless 簡報
Wireless 簡報Wireless 簡報
Wireless 簡報Chia-Yen Lin
 
2012 Data Center Security
2012 Data Center Security2012 Data Center Security
2012 Data Center SecuritySzymon Dowgwillowicz-Nowicki
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Eusoft.Lab®LIMS
Eusoft.Lab®LIMS Eusoft.Lab®LIMS
Eusoft.Lab®LIMS Radosław Kuleszewicz
 
Cometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaCometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaJakub Hajek
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Fundacja Rozwoju Branży Internetowej Netcamp
 
Dlaczego flopsar
Dlaczego flopsarDlaczego flopsar
Dlaczego flopsarFlopsar Technology
 
Continuous security
Continuous securityContinuous security
Continuous securitykraqa
 
Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.Future Processing
 
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaTesty wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaBartłomiej Cymanowski
 
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...Michal Furmankiewicz
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Zarządzanie urządzeniami Apple | JCommerce
Zarządzanie urządzeniami Apple | JCommerceZarządzanie urządzeniami Apple | JCommerce
Zarządzanie urządzeniami Apple | JCommerceJCommerce
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychguest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych guest84f9115
 

Weitere ähnliche Inhalte

Andere mochten auch

Publicidad Oficial: Enero-Junio 2010
Publicidad Oficial: Enero-Junio 2010Publicidad Oficial: Enero-Junio 2010
Publicidad Oficial: Enero-Junio 2010estebandelcampo
 
2012 NagraID display cards - alternatywa dla tokenów
2012 NagraID display cards - alternatywa dla tokenów2012 NagraID display cards - alternatywa dla tokenów
2012 NagraID display cards - alternatywa dla tokenówSzymon Dowgwillowicz-Nowicki
 

Andere mochten auch (6)

Publicidad Oficial: Enero-Junio 2010
Publicidad Oficial: Enero-Junio 2010Publicidad Oficial: Enero-Junio 2010
Publicidad Oficial: Enero-Junio 2010
 
Social CRM: IMS Denver
Social CRM: IMS DenverSocial CRM: IMS Denver
Social CRM: IMS Denver
 
2012 NagraID display cards - alternatywa dla tokenów
2012 NagraID display cards - alternatywa dla tokenów2012 NagraID display cards - alternatywa dla tokenów
2012 NagraID display cards - alternatywa dla tokenów
 
Oer 2
Oer 2Oer 2
Oer 2
 
Wireless 簡報
Wireless 簡報Wireless 簡報
Wireless 簡報
 
2012 Data Center Security
2012 Data Center Security2012 Data Center Security
2012 Data Center Security
 

Ähnlich wie IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych

PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
Cometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaCometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaJakub Hajek
 
Continuous security
Continuous securityContinuous security
Continuous securitykraqa
 
Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.Future Processing
 
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaTesty wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaBartłomiej Cymanowski
 
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...Michal Furmankiewicz
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Zarządzanie urządzeniami Apple | JCommerce
Zarządzanie urządzeniami Apple | JCommerceZarządzanie urządzeniami Apple | JCommerce
Zarządzanie urządzeniami Apple | JCommerceJCommerce
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychguest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych guest84f9115
 
Certyfikacja_a_Kariera_IT_SelfCaseStudy
Certyfikacja_a_Kariera_IT_SelfCaseStudyCertyfikacja_a_Kariera_IT_SelfCaseStudy
Certyfikacja_a_Kariera_IT_SelfCaseStudyTobias Koprowski
 
Bezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleBezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleSecuRing
 
Testy w środowisku mobilnym
Testy w środowisku mobilnymTesty w środowisku mobilnym
Testy w środowisku mobilnymM_wiktorowski
 
Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?
Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?
Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?Damian Szczurek
 

Ähnlich wie IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych (20)

PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
 
Eusoft.Lab®LIMS
Eusoft.Lab®LIMS Eusoft.Lab®LIMS
Eusoft.Lab®LIMS
 
Cometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaCometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólna
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
 
Dlaczego flopsar
Dlaczego flopsarDlaczego flopsar
Dlaczego flopsar
 
Continuous security
Continuous securityContinuous security
Continuous security
 
Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.
 
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba GajdaTesty wydajnościowe - najlepsze praktyki - Kuba Gajda
Testy wydajnościowe - najlepsze praktyki - Kuba Gajda
 
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
Zarządzanie urządzeniami Apple | JCommerce
Zarządzanie urządzeniami Apple | JCommerceZarządzanie urządzeniami Apple | JCommerce
Zarządzanie urządzeniami Apple | JCommerce
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Certyfikacja_a_Kariera_IT_SelfCaseStudy
Certyfikacja_a_Kariera_IT_SelfCaseStudyCertyfikacja_a_Kariera_IT_SelfCaseStudy
Certyfikacja_a_Kariera_IT_SelfCaseStudy
 
Bezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źleBezpieczeństwo aplikacji czy musi być aż tak źle
Bezpieczeństwo aplikacji czy musi być aż tak źle
 
Testy w środowisku mobilnym
Testy w środowisku mobilnymTesty w środowisku mobilnym
Testy w środowisku mobilnym
 
Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?
Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?
Jak zapewnić jakość aplikacjom na sfragmentowanego Androida?
 

IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych

  • 1. Horyzont bezpieczeństwa aplikacji webowych IBM Rational AppScan na podstawie: „Discovering the Value of Verifying Web Application Security Using IBM Rational AppScan” © IBM Corporation (TechWorks) oraz mat. IBM/Watchfire/WhiteHat Security 20 stycznia 2014 1 © 2014 Premium Technology
  • 2. Nota prawna Wszystkie nazwy handlowe, nazwy produktów, nazwy firm, ich znaki firmowe i towarowe oraz materiały wizualne użyte w niniejszej prezentacji należą do ich odpowiednich właścicieli i są używane wyłącznie w celach informacyjnych i identyfikacyjnych. Mogą być one zastrzeżonymi znakami towarowymi i/lub w inny sposób być chronione przepisami prawa. Wszystkie prezentowane materiały, opisy i zdjęcia użyte są w celach informacyjnych. 2 © 2014 Premium Technology
  • 3. IBM Security AppScan • Co to jest? • AppScan jest zautomatyzowanym narzędziem do wykrywania podatności na zagrożenia aplikacji webowych • Do czego firma go potrzebuje? • Do uproszczenia i optymalizacji procesu wykrywania i korygowania błędów w zakresie bezpieczeństwa aplikacji webowych • Co wykonuje to narzędzie? • Skanuje aplikacje webowe, wykrywa problemy z zakresu bezpieczeństwa i przygotowuje raporty z tego procesu • Kto jest użytkownikiem tego oprogramowania? • Audytorzy bezpieczeństwa • Inżynierowie Q&A, Programiści 3 © 2014 Premium Technology
  • 4. Charakterystyka IBM Security Appscan • Pozycja technologii: – Gartner wskazuje AppScan jako rynkowego lidera bezpieczeństwa aplikacji w roku 2006 – Ponad 800 organizacji wspiera się IBM Rational Appscan No.1 na Rynku Bezpieczeństwa Aplikacji – Gartner & IDC • Historia IBM Watchfire: – Otwarcie w 1996, 190 pracowników, siedziba w Bostonie – WF stworzyło pierwszy produkt do badania bezpieczeństwa aplikacji – Produkty obejmują: • Rozwiązanie bezpieczeństwa aplikacji – AppScan • Rozwiązanie dot. prywatności i zgodności – Policy Tester Najlepsza Firma Bezpieczeństwo 4 © 2014 Premium Technology
  • 5. IBM Security Appscan służy ponad 800 organizacjom 9 z 10 najwięszych amerykańskich banków detalicznych 8 z 10 największych firm technologicznych 7 z 10 największych koncernów farmaceutycznych Agencje Rządu Federalnego USA Veteran’s Affairs Army Navy Air Force Marines Duże, skomplikowane ośrodki webowe 5 © 2014 Premium Technology Wielka ilość danych klientów Działalność podlegająca regulacjom prawnym Wielka liczba klientów
  • 6. Bezpieczeństwo Aplikacji Horyzont Bezpieczeństwa IBM Security AppScan Desktop Transport Sieć Antywirus/ IPS Szyfrowanie (SSL) Firewall’e Zaawansowane Routery Firewall Rozwiązania Bezpieczeństwa Aplikacyjnego i Sieciowego dotyczą innych problemów 6 © 2014 Premium Technology Aplikacje Webowe Serwery Aplikacji Serwery Web Serwer Główny Bazy Danych
  • 7. Co testuje AppScan? Web Applications AppScan Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 7 © 2014 Premium Technology
  • 8. Jak funkcjonuje Technologia IBM Security Appscan? Prywatność Jakość Bezpieczeństwo 1 Skanowanie Standardy 2 Zgodność Analiza 3 Raportowanie szczegółowe, gotowe do prowadzenia naprawy 8 © 2014 Premium Technology
  • 9. Jak działa AppScan? • Traktuje aplikację na zasadzie czarnej skrzynki • Odwiedza wszystkie linki i buduje model ośrodka • Określa kierunki ataku na podstawie wybranej polityki testowania • Wykonuje testy wysyłając zmodyfikowane żądania HTTP do aplikacji i badając zgodność zachowania aplikacji z ustalonym regułami Aplikacja webowa Zapytanie HTTP Application Databases Odpowiedź HTTP 9 © 2014 Premium Technology Web Servers
  • 10. Kroki w Technologii IBM Security Appscan 1. Skanowanie URL określenie na podstawie układu strony potencjalnych słabości bezpieczeństwa, problemów zgodności oraz zagrożeń dla wizerunku 2. Przesyłanie testów bezpieczeństwa i zgodności Ponad 2000 automatycznych testów bezpieczeństwa i zgodności wykonywanych bez konieczności posiadania wiedzy wewnątrz organizacji (warianty testów podnoszą znacznie efektywną ich ilość) 3. Raportowanie wyników Raportowanie obszarów wymagających uwagi wraz z rekomendacją sposobu ich naprawy, polepszające efektywność twórców aplikacji, szeroki wybór predefinowanych wzorów raportów audytowych 4. Odnawianie bazy wiedzy Zespół badawczy nieprzerwanie monitoruje rządowe i branżowe bazy wiedzy w poszukiwaniu znanych podatności oraz tworzy i udoskonala testy z krokiem tygodniowym 10 © 2014 Premium Technology
  • 11. Podsumowanie Zarządcze • Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń • Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń • Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC) • Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu IBM wprowadza nowe innowacyjne podejście polegające na integrację testowania bezpieczeństwa w procesie rozwoju oprogramowania, dostarcza najdokładniejsze oraz łatwe w użyciu rozwiązanie 11 © 2014 Premium Technology Zespół Security Koszt / Trudność Operacje / Infrastruktura Czas
  • 12. IBM Security AppScan (Ekosystem) AppScan Enterprise / Reporting Console AppScan Developer Ed (desktop) AppScan Ent. QuickScan (web client) Rational Application Developer Rational Software Analyzer AppScan Build Ed (scanning agent) (scanning agent) (QA clients) AppScan Tester Ed AppScan AppScan Enterprise user Standard Ed (desktop) (web client) AppScan Express (desktop) Rational BuildForge Rational ClearCase Rational Quality Manager Rational ClearQuest / Defect Management CODE Build security testing into the IDE* BUILD QA Automate Security / Compliance testing in the Build Process Security / compliance testing incorporated into testing & remediation workflows IBM Rational Web Based Training for AppScan 12 © 2014 Premium Technology SECURITY Security & Compliance Testing, oversight, control, policy, audits
  • 13. Wzmacnianie Audytorów Bezpieczeństwa Wprowadzenie: testowania bezpieczeństwa i zgodności, nadzór, kontrola, badanie polityk zawartości, badanie szczegółowe Rational AppScan Standard Edition (desktop) Automatyczne Testowanie Zabezpieczeń Rational AppScan Enterprise Edition (web client) Rational AppScan Express Edition (desktop) Skalowalność Szerokie Raportowanie • IBM Security Rational AppScan Express Edition: Rozwiązanie dla Klientów średniej wielkości – Wypełnia postulaty PCI (Payment Card Industry) – Znacząco ogranicza potrzebę badania ręcznego, zwalnia zasoby – Wewnętrzne testowanie aplikacji webowych zautomatyzowane i uzasadnione kosztowo – Ochrona firmowego serwisu web oraz ochrona własnej marki 13 © 2014 Premium Technology
  • 14. Średnia liczba dni do momentu naprawy dla wiodących pięciu PILNYCH podatności Średnia liczba dni do momentu naprawy dla wiodących pięciu KRYTYCZNYCH podatności 14 © 2014 Premium Technology
  • 15. Jaki jest koszt błędu oprogramowania? 80% of development costs are spent identifying and correcting defects! W fazie testów/ zapewnienia jakości (QA) Podczas kompilacji Podczas kodowania Po opublikowaniu produktu $450/błąd $100/błąd $25/błąd Wzrastający koszt naprawy błędu oprogramowania 15 © 2014 Premium Technology $16,000/błąd