IBM Software Group IBM Rational AppScan Preisinger Balázs Rational termékmenedzser balazs.preisinger@hu.ibm.com +36 20 823-5698 2009 IBM Corporation
A valóság IBM Software Group Rational software Security Spending % of Attacks % of Dollars Web Applications 10% 75% 90% 25% Network Server 75% 2/3 of all attacks on Information Security are directed to the Web Application Layer 2/3 of all Web Applications are vulnerable Sources: Gartner, Watchfire 2
Minıségbiztosítás kiterjesztése, bemutatkozik az IBM Rational AppScan és IBM Rational Policy Tester IBM Rational AppScan Automatizált biztonsági tesztelı webes alkalmazásokhoz és webes szolgáltatásokhoz Méretezhetı megoldás a biztonsági sebezhetıségek felderítésére és kiküszöbölésére. Fejlesztıknek, tesztelıknek, biztonsági szakembereknek és vezetıknek készült. Jelentések készítése, nyomon-követhetıség IBM Rational Policy Tester Minıség és megfelelıség tesztelı platform a webhely minıségének, titkosságának és megfelelıségének vizsgálatára és kezelésére Quality Edition biztosítja a webhely funkcionalitását és a felhasználói elégedettséget Privacy Edition vizsgálja a megfelelıséget a különbözı szigorú szabályozásoknak, mint pl.: ISO, HIPPA, COPPA, Safe Harbor Accessibility Edition biztosítja a webhely elérhetıségét és megfelelıségét Biztonság Titoktartás Minıség Szabványok Megfelelıség Webes alkalmazás biztonság, minıség és megfelelıség 3
Web-alkalmazásokat fenyegetı veszélyek Támadás Buffer overflow Cookie poisoning Hidden fields Debug options Cross Site scripting Stealth Commanding Parameter Tampering Forceful Browsing/ SQL Injection Session eltérítés Oldal átalakítás Admin hozzáférés Azonosító lopás Hozzáférés OS-hez, alkalmazásokhoz Csalás, adatlopás Negatív hatás Denial of Service (DoS) Jogosulatlan oldal/adat hozzáférés Lopás Lehetséges üzleti kockázat Oldal elérhetetlensége Illegális tranzakciók Jogosulatlan hozzáférés, személyes adatok védelmének sérülése Lopás, ügyfél bizalmatlanság Hozzáférés személyes adatokhoz, csalás, stb. Ügyfelek átirányítása Írás/olvasás az ügyfél adatbázba/adatbázisból 4
Az IBM Rational Web Application Security elınyei Company Több mint 10 éves tapasztalat a webes alkalmazások biztonsága, minısége és megfelelısége terén Szorosan együttmőködı biztonsági és fejlesztıi csapat Mi rendelkezünk a legtöbb felhasználóval -> legtöbb tapasztalat Piacvezetı pozíció a Gartner & IDC szerint Technology Legátfogóbb alkalmazás lefedettség AJAX, Flash, Flex, stb. Megtalálja a legkomolyabb hibákat WASC, OWASP, stb. Legkevesebb téves riasztás az iparban Megkönnyíti a kommunikációt a nem-biztonsági szakemberekkel Web-alapú megoldás a teljes vállalati bevezetéshez Számítógép-alapú oktatás és szolgáltatás -> legjobb-gyakorlat alapú hibajavítás 5
Webes alkalmazás tesztelés fejlıdési modellje Vállalati skálázhatóság AppScan Enterprise Skálázhatóság és teljes lefedettség a fejlesztés bevonásával a tesztelésbe Biztonsági tanfolyam Watchfire University CBT Vállalati láthatóság AppScan Reporting Console Belsı auditok AppScan Desktop Konszolidáció a fejlesztés és menedzsment jelentéseinek láthatóságáért és elosztásáért Belsı tesztelés, a biztonsági audit csapat által vezetett alkalmazás ellenırzésekkel Külsı auditok Elkezdik tesztelni az alkalmazások sebezhetıségét AppScan OnDemand 6
Az IBM Rational AppScan család Express Edition Biztonsági megoldás kis- és közepes vállalkozások számára Standard Edition Általános asztali megoldás az automatizált biztonsági teszteléshez Tester Edition Developer Edition Build Edition QA folyamatba integrált biztonsági megoldás Biztonsági megoldás a fejlesztıknek, ahol még a legolcsóbb a hibák javítása Beépíti a biztonsági tesztelést a build menedzsment folyamatba Reporting Console Enterprise Edition Központosított adatgyőjtés és riportolás Web-alapú, többfelhasználós, központosított megoldás párhuzamos teszteléshez és riportoláshoz 7
Webes alkalmazás biztonsági tesztelı eszközök AppScan Enterprise Web alkalmazás biztonság és tesztelés a teljes életciklusban AppScan Enterprise Edition & Quickscan AppScan Tester Edition AppScan - Standard Edition AppScan - Enterprise MSP Alkalmazás fejlesztés Minıség biztosítás Biztonsági Audit Monitorozás Fejlesztés alatti tesztelés Tesztelés a QA folyamat részeként Tesztelés üzembe helyezés elıtt Monitorozza vagy újra auditálja az üzembe helyezett alkalmazásokat 8
10
KÉRDÉSEK & VÁLASZOK 11