ibm應(yīng)用信息安全檢測解決方案

1、1Developer TestFunctional TestAutomatedManualRational RequisitePro Rational Quality ManagerRational ClearQuestDefectsProject DashboardsDetailed Test ResultsQuality ReportsPerformance TestSOFTWARE QUALITY SOLUTIONSTest and Change ManagementTest AutomationQuality MetricsDEVELOPMENTOPERATOINSBUSINESSRa

2、tional ClearQuestRequirements TestChangeRational PurifyPlusRational Test RealTime Rational Functional Tester Plus Rational Functional TesterRational RobotRational Manual TesterRational Performance TesterSecurity and Compliance TestAppScanWebXMRational 質(zhì)量管理周期2WEB應(yīng)用安全性解決方案Rational Appscan(Watchfire)是業(yè)

3、界最準確的WEB應(yīng)用安全軟件的領(lǐng)導(dǎo)者，是唯一能夠提供端到端解決方案的公司。 在應(yīng)用安全脆弱性評估軟件市場排名第一，占有約30的市場份額（由IDC和Gartner提供）全球關(guān)鍵客戶超過1000家Rational 軟件質(zhì)量解決方案3成功案例10大銀行中的9家10大科技公司中的8家10大醫(yī)療/ 藥品公司中的7家各大政府機關(guān)和部門Security4顧問和調(diào)查公司科技公司Security成功案例5AppScan工作原理通過Crawl探索整個Web應(yīng)用結(jié)構(gòu)以黑盒方式分析被測網(wǎng)站根據(jù)分析，發(fā)送修改的HTTP Request進行攻擊嘗試通過對于Response的分析驗證是否存在缺陷HTTP RequestWe

4、b ApplicationHTTP Response6AppScan常用配置設(shè)置AppScan獲取url方式7AppScan常用配置設(shè)置用戶登陸方式，判斷是否登陸8AppScan常用配置設(shè)置appscan并發(fā)訪問和通信9AppScan常用配置設(shè)置AppScan設(shè)置https信息10AppScan常用配置設(shè)置基于權(quán)限差別的安全測試11AppScan常用配置配置安全策略12AppScan工作過程探測1分析2報告詳細的, 可操作的指導(dǎo)信息3選擇測試模板輸入入口URL發(fā)現(xiàn)應(yīng)用結(jié)構(gòu)基于規(guī)則進行測試實時產(chǎn)生測試結(jié)果根據(jù)安全規(guī)范報表根據(jù)業(yè)務(wù)規(guī)范報表13查看掃描結(jié)果14AppScan和業(yè)界標準兩個知名的Web

5、應(yīng)用安全組織WASC、OWASPWatchFire是該組織成員AppScan是依據(jù)上述業(yè)界標準進行測試的AppScan的修復(fù)報告可以遵循多種標準模板15AppScan還內(nèi)置了多種標準和報表16AppScan Enterprise在SDLC中進行Web 應(yīng)用安全測試開發(fā)人員測試人員集成測試/運維人員開發(fā)過程中進行測試作為QA的一部分在部署前進行測試對產(chǎn)品配置進行監(jiān)控或再審核程序開發(fā)品質(zhì)評測安全審計產(chǎn)品監(jiān)控面向整個應(yīng)用生命周期的web安全測試17AppScan 和問題追蹤系統(tǒng)的集成18AppScan不同版本AppScan標準版：準確有效的黑盒web應(yīng)用測試平臺AppScan開發(fā)版：黑盒同白盒結(jié)合的

6、安全測試平臺，將問題定位到代碼AppScan企業(yè)版：企業(yè)級的分布式應(yīng)用安全管理19使用AppScan De進行黑盒白盒結(jié)合的安全測試設(shè)置測試類型設(shè)置測試配置選擇安全測試的內(nèi)容白盒掃描發(fā)現(xiàn)的代碼問題黑盒掃描發(fā)現(xiàn)的代碼問題安全問題的上下文分析20使用企業(yè)級AppScan客戶機AppScan Enterprise目標系統(tǒng)21建立企業(yè)級安全報表管理Job4Infrastructure ScanJob2Security Data ImportJob1Security ScanGlobal Scan DataReportsJob3Security ScanReport Pack 1Report Pack

7、2Report Pack 3Dashboard 1Dashboard 222AppScan提供有效的Web應(yīng)用安全保障開發(fā)中的安全測試：將安全問題在開發(fā)中加以預(yù)防，幫助開發(fā)人員編寫安全的應(yīng)用。上線前的安全測試：通過 Rational AppScan 可以早期發(fā)現(xiàn)問題，迅速的定位安全隱患，為軟件驗收提供安全標準，保證系統(tǒng)運行安全。上線后的安全測試：為企業(yè)的運行應(yīng)用提供了安全保障，幫助企業(yè)評估運行系統(tǒng)的安全隱患，解決可能出現(xiàn)的安全問題。統(tǒng)一規(guī)范的安全測試：基于企業(yè)級安全策略的安全測試，保證企業(yè)所有應(yīng)用系統(tǒng)都能真正滿足企業(yè)的安全規(guī)范，實現(xiàn)安全的循規(guī)。統(tǒng)一的安全分析：靈活分析報表功能，可以對掃描結(jié)果進

8、行報表以及基于法規(guī)遵循的分析；通過分角色的Dashboard統(tǒng)一整理分析企業(yè)的應(yīng)用安全數(shù)據(jù)，幫助安全管理決策。23內(nèi)容IBM應(yīng)用安全方案簡介Web應(yīng)用安全簡介常用Web攻擊手段和方法使用Rational AppScan進行Web應(yīng)用安全檢測使用IBM ISS保護應(yīng)用系統(tǒng)24保護企業(yè)應(yīng)用安全 企業(yè)應(yīng)用The InternetPort ScanningDoSAnti-spoofingKnownWeb ServerIssuesPattern-BasedAttacks SQL Injection Cross Site Scripting Parameter TamperingCookie Poison

9、ingWeb ServerApplicationServerDatabasesBackendServer/SystemAccess ControlAnd FirewallIDS/IPSApplicationFirewallSSLAV251994年成立,全球領(lǐng)先的獨立IT安全廠商1992年ISS 推出業(yè)界第一套網(wǎng)絡(luò)漏洞掃描評估系統(tǒng) Internet Scanner， founder, Chris Klaus 1997年, ISS 推出業(yè)界第一套入侵檢測系統(tǒng) RealSecure Network Sensor ISS 推出業(yè)界第一套網(wǎng)絡(luò)入侵防護系統(tǒng)和主機入侵防護系統(tǒng) 全球領(lǐng)先的安全智庫X-forc

10、e Database全球領(lǐng)先的安全管理服務(wù)(安全托管)廠商全球威脅管理、漏洞管理領(lǐng)導(dǎo)者總部位于 Atlanta, USA1998 IPO NASDAQ: ISSX; 2001 JASDAQ在27個國家有1,200 名員工全球超過12,000企業(yè)用戶業(yè)界唯一超過十二年資歷，整合“研究、產(chǎn)品、服務(wù)”的安全廠商2006年Q3被IBM公司15億美金收購，為用戶提供更為持續(xù)高效的安全產(chǎn)品、解決方案與服務(wù)IBM ISS 背景介紹ISS Named Best Security Company USA by SC Magazine.February 200626誰最了解互聯(lián)網(wǎng)的風險 IBM ISS X-For

11、ce 組織X-Force 是全球最大規(guī)模的安全研發(fā)組織高風險漏洞來源: Frost & Sullivan 2006, InternetTHE WORLDS LEADINGENTERPRISE SECURITYR&D ORGANIZATION業(yè)界頂尖的安全研究機構(gòu)GLOBAL SECURITYOPERATIONS CENTER(INFRASTRUCTURE MONITORING)全球性的安全運營中心端到端的前瞻性安全防御產(chǎn)品INTEGRATED SECURITY專注于收集和分析安全風險每年發(fā)布30 次以上的安全建議和警告每月找出200 多個新的攻擊手法維護超過 30,000 個漏洞的安全數(shù)據(jù)庫開

12、發(fā)了 6000 多個檢查項用于檢測和發(fā)現(xiàn)攻擊手法發(fā)布季度網(wǎng)絡(luò)風險總結(jié) (IRIS)2006年，發(fā)現(xiàn)7247個安全漏洞及攻擊手法2713/4/2005IBM implements protection for MS PnP vulnerability into IBM products. IBMs Virtual Patch protection begins.13/4/2005Others do not have internal research to find and understand vulnerabilities; therefore, they have no knowledge

13、 of the MS Plug and Play vulnerability.9/8/2005Microsoft publicly announces vulnerability and availability of a patch.11/8/2005Plug and Play exploits e public13/8/2005Zotob Bot runs rampant and causes damage to organizations worldwide. IBM customers enjoy protection since 13/4/2005.9/8/2005Other cla

14、im “preemptive protection” through broad blocking and alerting methods which are prone to false positives and false negatives11/8/2005Plug and Play exploits e public13/8/2005 Zotob Bot propagates, some competition see the bot, but none of the (many) variants, resulting in continuous updates offering

15、 little to no zero day coverage.16/8/2005 Exploit-based signatures released to reactively protect against the Zotob BotMS Plug and Play / Zotob TimelineIBM ISS在主要混合威脅爆發(fā)之前保護用戶28IBM ISS Proventia ESP 產(chǎn)品和服務(wù)視圖29混雜的威脅單一安全設(shè)備解決各種問題TCP/IP (Network)OSServer ApplicationUser ApplicationContents processed by ap

16、plicationSniff / Session hijackUnauthorized connectionSPAM / Porn site / Unnecessary siteVirusAttack againstsecurity holeWorm網(wǎng)絡(luò)層系統(tǒng)層僅僅1個設(shè)備!VPN防火墻防病毒入侵防護內(nèi)容過濾/反垃圾郵件UTM ModelsMX0804MX1004MX3006MX4006MX5008MX5110Max Users50100500100020003000Form FactorDesktopDesktop1U1U2U2UInterfaces4x10/100/1000 Mbps4x10/100/1000 Mbps6x10/100/1000 Mbps6x10/100/1000 Mbps8x10/100/1000 Mbps10 x10/100/1000 MbpsThroughput (Firewall)100 Mbps100 Mbps200 Mbps600 Mbps1600 Mbps1800 Mbps30IBM ISS網(wǎng)絡(luò)漏洞掃描評估系統(tǒng)可以漏洞檢測1800+ 安全檢查項快速反應(yīng)X-Force 研發(fā)組織策略管理19 種默認策略支持自定義策略Flex