IBM Rational AppScan. IBM Software Group. Preisinger Balázs Rational termékmenedzser

®

IBM Software Group

IBM Rational AppScan

Preisinger Balázs Rational termékmenedzser [email protected] +36 20 823-5698

© 2009 IBM Corporation

IBM Software Group | Rational software

A valóság Security

Spending

% of Attacks

% of Dollars Web Applications

75%

25%

10%

90%

Network Server

of all attacks on Information Security

75% are directed to the Web Application Layer 2/3 of all Web Applications are vulnerable Sources: Gartner, Watchfire

2

IBM Software Group | Rational software

Minıségbiztosítás kiterjesztése, bemutatkozik az IBM Rational AppScan és IBM Rational Policy Tester IBM Rational Policy Tester

IBM Rational AppScan Automatizált biztonsági tesztelı webes alkalmazásokhoz és webes szolgáltatásokhoz

Minıség és megfelelıség tesztelı platform a webhely minıségének, titkosságának és megfelelıségének vizsgálatára és kezelésére


Méretezhetı megoldás a biztonsági sebezhetıségek felderítésére és kiküszöbölésére.


Quality Edition biztosítja a webhely funkcionalitását és a felhasználói elégedettséget


Fejlesztıknek, tesztelıknek, biztonsági szakembereknek és vezetıknek készült.


Privacy Edition vizsgálja a megfelelıséget a különbözı szigorú szabályozásoknak, mint pl.: ISO, HIPPA, COPPA, Safe Harbor


Jelentések készítése, nyomon-követhetıség


Accessibility Edition biztosítja a webhely elérhetıségét és megfelelıségét

Biztonság

Titoktartás

Minıség

Szabványok

Megfelelıség

Webes ás biztons ág, min ıség éés s Webes alkalmaz alkalmazás biztonság, minıség megfelel ıség megfelelıség 3

IBM Software Group | Rational software

Web-alkalmazásokat fenyegetı veszélyek Támadás

Negatív hatás

Lehetséges üzleti kockázat

Buffer overflow

Denial of Service (DoS)

Oldal elérhetetlensége

Cookie poisoning

Session eltérítés

Lopás

Hidden fields

Oldal átalakítás

Illegális tranzakciók

Debug options

Admin hozzáférés

Jogosulatlan hozzáférés, személyes adatok védelmének sérülése

Cross Site scripting

Azonosító lopás

Lopás, ügyfél bizalmatlanság

Stealth Commanding

Hozzáférés OS-hez, alkalmazásokhoz

Hozzáférés személyes adatokhoz, csalás, stb.

Parameter Tampering

Csalás, adatlopás

Ügyfelek átirányítása

Forceful Browsing/

Jogosulatlan oldal/adat hozzáférés

Írás/olvasás az ügyfél adatbázba/adatbázisból

SQL Injection

4

IBM Software Group | Rational software

Az IBM Rational Web Application Security elınyei

Company

Technology



Több mint 10 éves tapasztalat a webes alkalmazások biztonsága, minısége és megfelelısége terén



Szorosan együttmőködı biztonsági és fejlesztıi csapat



Mi rendelkezünk a legtöbb felhasználóval -> legtöbb tapasztalat



Piacvezetı pozíció a Gartner & IDC szerint



Legátfogóbb alkalmazás lefedettség – AJAX, Flash, Flex, stb.



Megtalálja a legkomolyabb hibákat – WASC, OWASP, stb.



Legkevesebb téves riasztás az iparban



Megkönnyíti a kommunikációt a nem-biztonsági szakemberekkel



Web-alapú megoldás a teljes vállalati bevezetéshez



Számítógép-alapú oktatás és szolgáltatás -> legjobb-gyakorlat alapú hibajavítás

5

IBM Software Group | Rational software

Webes alkalmazás tesztelés fejlıdési modellje Vállalati Vállalati skálázhatóság skálázhatóság



Skálázhatóság és teljes lefedettség a fejlesztés bevonásával a tesztelésbe

Watchfire University University CBT CBT Watchfire

Biztonsági tanfolyam tanfolyam Biztonsági

AppScan AppScan Enterprise Enterprise

Vállalati Vállalati láthatóság láthatóság



Konszolidáció a fejlesztés és menedzsment jelentéseinek láthatóságáért és elosztásáért

AppScan AppScan Reporting Reporting Console Console

Belsı Belsı auditok auditok



Belsı tesztelés, a biztonsági audit csapat által vezetett alkalmazás ellenırzésekkel

AppScan AppScan Desktop Desktop

Külsı Külsı auditok auditok



Elkezdik tesztelni az alkalmazások sebezhetıségét

AppScan AppScan OnDemand OnDemand 6

IBM Software Group | Rational software

Az IBM Rational AppScan család Express Edition

Biztonsági megoldás kis- és közepes vállalkozások számára

Standard Edition

Általános asztali megoldás az automatizált biztonsági teszteléshez

Tester Edition

QA folyamatba integrált biztonsági megoldás

Developer Edition

Biztonsági megoldás a fejlesztıknek, ahol még a legolcsóbb a hibák javítása

Build Edition

Beépíti a biztonsági tesztelést a build menedzsment folyamatba

Reporting Console

Központosított adatgyőjtés és riportolás

Enterprise Edition

Web-alapú, többfelhasználós, központosított megoldás párhuzamos teszteléshez és riportoláshoz

7

IBM Software Group | Rational software

Webes alkalmazás biztonsági tesztelı eszközök AppScan Enterprise Web alkalmazás biztonság és tesztelés a teljes életciklusban AppScan – Enterprise Edition & Quickscan

AppScan – Tester Edition

AppScan Standard Edition

AppScan Enterprise MSP

Alkalmazás fejlesztés

Minıség biztosítás

Biztonsági Audit

Monitorozás

Fejlesztés alatti tesztelés

Tesztelés a QA folyamat részeként

Tesztelés üzembe helyezés elıtt

Monitorozza vagy újra auditálja az üzembe helyezett alkalmazásokat

8

IBM Software Group | Rational software

10

IBM Software Group | Rational software

KÉRDÉSEK & VÁLASZOK

11