Solução de ciclo de vida IBM Rational AppScan: construir segurança para aplicações Web na delivery de software e sistemas.

Transcrição

1 Protecção estratégica para os seus activos web para suportar os seus objectivos de negócio Solução de ciclo de vida IBM Rational AppScan: construir segurança para aplicações Web na delivery de software e sistemas.

2 As vulnerabilidades on-line estão a colocar a sua empresa em risco? Hoje em dia, muitas empresas dependem de software e sistemas Web-based para gerir os seus processos de negócio, fazer transacções com fornecedores e proporcionar serviços cada vez mais sofisticados aos clientes. Criar segurança dentro de cada aplicação destinada a desenvolvimento on-line, deveria ser uma parte integrar dos processos de delivery de software e sistemas, numa organização bem gerida. Infelizmente, na corrida para se manterem um passo à frente da concorrência, muitas empresas descartam essas preocupações, pois elas impedem a rápida colocação de novas ofertas no mercado. As vulnerabilidades resultantes oferecem então amplas oportunidades para os hackers poderem penetrar ou roubar dados pessoais ou corporativos colocando potencialmente todo o negócio em risco. Solução IBM Rational AppScan é uma suite de soluções de aplicação de segurança Web, líder de mercado, que oferece às empresas a visibilidade e controlo necessário para fazer face a esse desafio crítico. A suite inclui: IBM Rational AppScan Standard Edition (disponível como aplicação desktop ou Software as a Service (SaaS) IBM Rational AppScan Tester Edition (disponível como aplicação desktop) IBM Rational AppScan Enterprise Edition (disponível como uma solução Webbased ou SaaS) Cada uma destas soluções completas oferece recomendações de scanning, relatório e reparação e está adaptada a todos os tipos de testes de segurança por uma variedade de utilizadores, incluindo programadores, equipas de quality assurance /QA), testadores de penetração, auditores de segurança e gestores sénior. Como outras soluções de ciclo de vida do IBM Rational Software Delivery Platform, os produtos IBM Rational AppScan permitem aos utilizadores trabalhar dentro de um ambiente tecnológico familiar, oferecendo uma integração virtualmente total com as principais ferramentas QA e ambientes de desenvolvimento integrado (IDES). As aplicações permitem efectuar auditorias de segurança contínuas, ajudando as equipas de delivery de software a criar segurança dentro de aplicações Web desde o início, e a mitigar os riscos de negócio mesmo antes de a aplicação implementada. Proteger os seus activos críticos de negócio Web-based Oferecendo total cobertura de segurança para sites Web complexos, as soluções Rational AppScan Standard, Rational AppScan Tester e Rational AppScan Enterprise fazem o scan e testam as vulnerabilidades Web mais comuns, incluindo as identificadas pela classificação do Web Application Securuty Consortium (WASC). As soluções Rational AppScan partilham uma grande gama de características base para oferecer uma cobertura de scanning de aplicações robusta para as tecnologias Web 2.0 mais recentes, incluindo melhor suporte para linguagens Flash e Java Script avançado, juntamente com um grande suporte para linguagem de programação Ajax (incluindo testes dedicados para JavaScript Object Notation [JSON] e parâmetros de serviços Web). 2

3 As características principais do Rational AppScan para eficiência de scan e facilidade de utilização incluem: Uma interface de utilizador com um selector de visualização para a arvore de aplicação, listas hierárquicas de problemas de segurança, visualização de reparações para programadores e painéis de detalhes. Um processo de testes adaptativo, que permite a análise dos parâmetros das aplicações e a selecção de apenas os testes relevantes que não impeçam o processo de desenvolvimento. Suporte de autenticação complexo, que permite o teste de múltiplos procedimentos de autenticação em aplicações Web, incluindo a autenticação em etapas Completely Automated Public Turing Test to Tell Computers and Humans Apart (CAPTCHA), autenticação por múltiplos factores, pass-words one-time, chaves Universal Serial Bus (USB), smart cards e autenticação mútua. Gestão de sessão avançada que efectua relogins mecanizados quando necessário. Visualização de resultados em tempo real, que permite aos utilizadores actuar sobre os problemas antes do scan estar completo. Regra de pesquisa de padrões que permitem testar a segurança de cartões de crédito, segurança social e outras sequências numéricas. As características principais do Rational AppScan para customização e controle incluem: Tecnologia Rational AppScan e extensions Framwork, que permite aos utilizadores criar, partilhar e carregar add-ons potentes que aumentam as capacidades de teste. Pyscan, que junta Rational AppScan com as capacidades dos scripts Python para permitir aos utilizadores aumentar as capacidades de scanning sem as limitações de uma interface de utilizador. O resultado é um nível de customização nunca antes alcançado para profissionais de segurança e testadores de penetração. Rational AppScan software Development Kit (SDK), que oferece a possibilidade de invocar acções, desde executar um scan longo a submeter um teste customizado. As interfaces SDK foram desenhadas para facilitar a integração e suportar a utilização customizada de mecanismos de scanning, juntamente com as opções Rational AppScan e extensions Framwork e Psyscan. As características principais do Rational AppScan para detecção de vulnerabilidades incluem: Cobertura para validação global que analisa a resposta a testes para problemas provocados inadvertidamente, teste Secure Sockets Layer (SSL) (para testar a validade do certificado SSL) e teste cross-site request forgery (CSRF). Simulações de hacker que incluem o Top 10 do Open Web Application Security Project (OWASP) e as 20 principais vulnerabilidades do System Administration, Networking and Security Institute (SANS). Informação sobre as ameaças mais recentes, actualizada automaticamente de cada vez que lança o IBM Rational AppScan. Uma suite de utilitários embalada, que ajuda os testadores de penetração e consultores de segurança a desenvolver, testar e fazer o debug de aplicações Web. IBM Rational AppScan security advisory view 3

4 As características principais do Rational AppScan para reporting e reparação incluem: Testes relacionados com mais de 40 problemas globais de conformidade e standards, incluindo National Institute of Standards and Techology Special Publication (NIST SP) e o top10 do OWASP (actualizado em 2007). O Rational AppScan, versão 7.7 também inclui cobertura para Family Education Rights and Privacy act (FERPA), Freedom of Information and Protection of Privacy Act (FIPPA) e Payment Application Best Practices (PABP). Realce de validação que localiza códigos HTML que contenham vulnerabilidades e explica o problema. Um atributo de diferenciação mostra os códigos HTML modificados. Relatórios de reparação que incluem recomendações de reparo Hypertext Processor (PHP) e listas de tarefas de programação. Estes relatórios possibilitam igualmente a visualização de problemas relacionados com a aplicação, infra-estrutura ou ambos, assim como capacidade de os apagar ou marcar como Não Vulneráveis para uma revisão posterior. IBM Rational AppScan security issues view Relatórios detalhados de conteúdos suspeitos que incluem itens como dados sensíveis em comentários HTML, assim como actividade HTTP em redor de conteúdos suspeitos. Descrições de testes que incluam IDs para vulnerabilidades comuns e exposições (CVEs) provindos da base de dados de vulnerabilidades. Capacidade de incorporar imagens de ecrãs do browser interno do Rational AppScan em relatórios, e a extracção, compressão e encriptação de informação não proprietária de testes específicos para enviar por . O Rational AppScan também permite reportar incidentes falsos positivos (ou negativos) à equipa de pesquisa de segurança IBM Rational AppScan, o que ajuda a melhorar continuamente a precisão do produto. IBM Rational AppScan remediation view 4

5 Efectue auditorias de segurança e monitorização de produção com o Rational AppScan Standard Edition Automatizar testes de aplicações Web para auditores de segurança e testadores de penetração requer tecnologias de scanning inteligentes e sofisticadas. Rational AppScan Standard Edition inclui características específicas desenhadas para suportar utilizadores moderados ou pesados. As características incluem: O especialista em scan, que oferece ajuda para criação e setup de scans baseados em melhores práticas, incluindo a utilização de ferramentas adicionais. Os utilizadores podem autorizar um prescan que perfile a aplicação alvo e recomende as acções necessárias para um scan bem sucedido. Um indutor de estado, que faz o scan e testa processos de negócio complexos, como compras e rastreamento multistep online, e mantém os valores dos parâmetros e os cookies durante todo o processo. Template de scan predefinidos que possibilitam aos utilizadores escolher rapidamente e lançar opções de configuração. Um wizard para configuração de scan rápido, que guia os utilizadores através de configurações importantes assim como passos condicionais para autenticação de proxy/plataforma e informação de detecção in-session. Relatórios baseados em templates Microsoft Word para desenhar formatos customizados de acordo com os standards empresariais. Os templates possuem uma tabela de conteúdos, tempo de início e final, e gráficos. Módulos embebidos de web-based traning (WBT) que ajudam a explicar problemas e demonstram as acções, juntamente com resultados da verificação para facilitar a compreensão e comunicação das vulnerabilidades. Faça dos testes de segurança uma parte do seu programa de gestão de qualidade com o Rational AppScan Tester Edition Rational AppScan Tester Edition oferece capacidades para ajudar as equipas de QA a integrar testes de segurança nos processos existentes de gestão de qualidade, aliviando assim o fardo dos profissionais de segurança. Visto que se integra com os principais sistemas de teste, os profissionais QA pode utilizar as funcionalidades Rational AppScan em scripts de testes e verificações de segurança de conduta dentro dos seus ambientes de teste habituais, facilitando a adopção dos testes de segurança ao longo dos testes funcionais e de performance. Tabela de novos pedidos/respostas que oferecem destaque de sintaxe, pedido/resposta, colapso/expansão, pesquisa as-you-type, e opções adicionais de right-click.

6 Escale os testes de segurança das aplicações através de toda a empresa, com o Rational AppScan Enterprise Edition Com a sua arquitectura web-based, Rational AppScan Enterprise Edition foi desenhado para ajudar as empresas a distribuir a responsabilidade dos testes de segurança por vários intervenientes, e a facilitar a descoberta de vulnerabilidades atempadamente dentro do ciclo de vida das aplicações Web enquanto a correcção é fácil e cost-effective. Para além da conveniência e capacidade de extensão de administrações centralizadas, o Rational AppScan Enterprise Edition oferece: Capacidade de fazer scan e testar milhares de aplicações simultaneamente, dentro de uma Web site complexa e refazer os testes frequentemente, após alterações. Uma consola de reporting web-based que oferece acesso role-based a relatórios de segurança e simplifica a comunicação através de toda a empresa. Os utilizadores podem filtrar e dar prioridade a problemas e especificar o seu status; aberto, em progresso ou fechado. Dashboards executivos e relatórios de análise delta realçam alterações entre scans, incluindo problemas resolvidos, pendentes ou novos. Controlos centralizados para monitorização e verificação de testes de vulnerabilidade de aplicações Web através de toda a empresa Módulos WBT embebidos que explicam problemas e demonstram os feitos, juntamente com os resultados da verificação para ajudar a compreensão e comunicação de vulnerabilidades. Ferramenta simples de scan rápido para executar templates de scan definidos pelos administradores, para programadores e outros profissionais não ligados à segurança, sem instalação de desktop ou configuração. Um repositório central de dados que automaticamente armazena e agrega resultados de testes, para serem acedidos por toda a empresa e por múltiplas visualizações. Os utilizadores podem segmentar e agrupar vulnerabilidades por unidade de negócio, geografia ou fornecedor externo. IBM Rational AppScan Enterprise Edition dashboard view 6

7 Capacidades Rational AppScan Standard e Rational AppScan Enterprise disponíveis como SaaS Ao aceder às capacidades Rational AppScan como serviço gerido, pode beneficiar das vantagens dos produtos sem os custos de pessoal ou hardware adicional. Um ambiente de segurança topo de gama Focalizados na protecção do seu ambiente operacional, estes serviços foram construídos com ferramentas e técnicas sofisticadas. O seu próprio especialista de segurança e conformidade Como cliente Rational AppScan Standard e Rational AppScan Enterprise, pode solicitar um analista IBM Rational para o ajudar a: Configurar e afinar scans, para assegurar a cobertura de cada aplicação Rever e analisar resultados para ajudar a eliminar falsos positivos e negativos, identificar padrões, dar prioridade a problemas chave e realçar tarefas chave de reparação. Faça frente a problemas de segurança organizacional e de gestão de conformidade com formação Web-based. A família de produtos IBM Rational AppScan inclui uma formação web-based, um curriculum on-line e à velocidade de cada um, baseado em décadas de experiência e melhores práticas resultantes de desenvolvimentos hands-on de clientes, em ambientes web desafiadores e complexos. Para alem da formação básica de produto, o serviço oferece sugestões especiais para programadores, equipas QA e profissionais de segurança. Entregue on-line em intervalos de 15 minutos e depois arquivados, os módulos do serviço ficam acessíveis a utilizadores em qualquer localização, a qualquer momento. Durante o horário de laboratório dos especialistas, os utilizadores podem igualmente aceder a ajuda em tempo real dada pelos especialistas de segurança Rational AppScan. Estão disponíveis testes on-line em 3 níveis para certificação de conhecimentos, através do processo de instrução, podendo os gestores verificar a evolução dos colaboradores através de um dashboard de gestão disponível on-line e do Rational AppScan Enterprise Edition. Rastrear os progressos de reparação através da manutenção de dados de tendência, rastrear a resolução de problemas chave, entre scans, e reportar a eficiência da resolução. Treinar o seu pessoal QA para a utilização de Rational AppScan através do ciclo de vida do desenvolvimento da aplicação e ajudar a construir segurança e gestão de conformidade dentro das suas aplicações, desde o início. 7

8 Requisitos de sistema Processador Memória Espaço de disco livre Rede Intel Pentium P4, 1,5GHz (2,4GHz recomendado) 512MB RAM (1GB recomendado para fazer o scan de sites grandes) 1GB (10 GB recomendado para fazer o scan de sites grandes) Um Network Interface Card (NIC) de 10Mbps para comunicação em rede com TCP/IP configurado (100 Mbps recomendados) Sistema Operativo Microsoft Windows XP, Windows 2000, Windows 2003 Enterprise Edition, Windows Vista Web Browser Microsoft Internet Explorer 5.5 ou superior (6.0 ou superior recomendado) Framework Microsof.NET 2.0 ou superior Java Runtime Environment (JRE) 5.0 (apenas para Rational AppScan HTTP proxy) Para mais informação Para saber mais sobre os produtos IBM Rational AppScan, contacte o seu representante comercial IBM ou IBM Business Partner, ou visite: ibm.com/software/rational/offerings/testing/webapplicationsecurity Copyright IBM Corporation 2007 IBM Corporation Software Group Route 100 Somers, NY U.S.A. Produced in the United States of America All Rights Reserved. AppScan, IBM, the IBM logo and Rational are trademarks or registered trademarks of International Business Machines Corporation in the United States, other countries, or both. Intel and Pentium are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries. Java and all Java-based trademarks are trademarks of Sun Microsystems, Inc., in the United States, other countries, or both. Microsoft and Windows are trademarks of Microsoft Corporation in the United States, other countries, or both. Other company, product and service names may be the trademarks or service marks of others. The information contained in this documentation is provided for informational purposes only. While efforts were made to verify the completeness and accuracy of the information contained in this documentation, it is provided as is without warranty of any kind, express or implied. In addition, this information is based on IBM s current product plans and strategy, which are subject to change by IBM without notice. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, this documentation or any other documentation. Nothing contained in this documentation is intended to, nor shall have the effect of, creating any warranties or representations from IBM (or its suppliers or licensors), or altering the terms and conditions of the applicable license agreement governing the use of IBM software. IBM customers are responsible for ensuring their own compliance with legal requirements. It is the customer s sole responsibility to obtain advice of competent legal counsel as to the identification and interpretation of any relevant laws and regulatory requirements that may affect the customer s business and any actions the customer may need to take to comply with such laws. RAB14001-USEN-00