fortify on demand 動態應用程式安全測試 - micro focus€¦ · 可透過網站對網站 vpn...
TRANSCRIPT
安全
手冊
Fortify on Demand 動態應用程式安全測試
手冊Fortify on Demand 應用程式安全即服務
2
在整個軟體開發生命週期中保護應用程式企業應用程式產品組合的規模大小與複雜度均快速增長。保護
應用程式不受風險和弱點的影響,已成為保護企業和保護客
戶的關鍵業務。在軟體開發生命週期 (Software Development Lifecycle,SDLC) 的每一個階段都必須保護應用程式,才能讓軟體安全保障計畫獲得成功。應用程式安全始於開發程式碼,
透過測試驗證,然後在應用程式進入線上環境後持續監控。在
整個 SDLC 內嵌應用程式安全計畫,經證實為企業確保規則執行、合規及持續落實最具成本效益的方式。然而,目前僅 20% 的企業安全架構設計師將應用程式安全整合於軟體開發生命週
期。動態應用程式安全測試 (DAST) 是在品質保證 (QA) 階段辨識軟體弱點的關鍵。此外,Fortify on Demand DAST 服務也可在應用程式進入生產階段後持續套用,以監控應用程式。
Fortify on Demand 的動態評估是軟體安全的關鍵Fortify on Demand 動態評估可與程式碼的靜態應用程式安全測試相輔相成,因為它們能夠識別僅可於即時/模擬的生產環境中偵測到的弱點。例如組態相關弱點、精密的駭客手法以及
針對應用程式業務邏輯的特定攻擊手法,均是僅能透過動態測
試偵測的弱點範例。我們的動態評估功能模擬真實世界駭客攻
擊,以確保能辨識並隔離潛在的弱點。Fortify on Demand 動態評估也可透過選用的持續應用程式監控解決方案,整合到線上 環境。
Fortify on Demand 動態應用程式安全測試 (DAST) 評估: ■ 模擬真實世界駭客手法,針對目標應用程式進行攻擊
■ 針對複雜的 Web 應用程式與 Web 服務提供全面的安全分析 ■ 搜尋完整攻擊表面,找出可入侵的弱點
■ 可透過網站對網站 VPN 進行內部應用程式測試,或將 Fortify on Demand 的官方資料中心 IP 位址列入白名單我們的 DAST 技術支援 Web 應用程式、Web 服務以及針對行動裝置瀏覽器最佳化的應用程式。Fortify on Demand DAST 評估之所以與眾不同,是因為它整合了四大基本元件:WebInspect 自動化測試、手動分析、選用的主動式 IAST 以及持續應用程式監控。
動態應用程式安全測試 Fortify on Demand 應用程式安全即服務為客戶提供所需的安全測試、弱點管理、專業知識與支援,協助客戶輕鬆建立、增強並擴展其軟體安全保障計畫。Fortify on Demand 透過持續向開發人員桌面提供 DevOps 速度的回饋意見來支援安全開發,於開發工具鏈內嵌可擴充的安全測試,搭配持續監控功能,以保護線上環境中執行的軟體。
3www.microfocus.com
Fortify on Demand 發揮 WebInspect 先進的 DAST 功能WebInspect 是 Fortify on Demand DAST 的基石,也是領先業界的動態 Web 應用程式安全評估解決方案。WebInspect 的設計旨在徹底分析今日複雜的 Web 應用程式與 Web 服務,找出其中的安全弱點。Fortify on Demand 可在所有 Web 應用程式與 Web 服務通過品管、預備和上線等各個階段時偵測潛在威脅。
WebInspect 功能特色包括: ■ 涵蓋逾 250 種獨特弱點類別 ■ 自動化掃描排程,並內建支援可暫停掃描待停機時繼續,以節省時間與資源
■ 彈性的驗證處理功能,可改善工作階段管理,特別是在複雜的應用程式當中
■ 廣泛的用戶端語言支援,例如 HTML5、Flash、JavaScript 等等
■ 不限用特定語言的掃描技術,幾乎涵蓋所有伺服器端語言 ■ 可評估單頁應用程式 (SPA) 及 Web 服務
我們專業的應用程式安全專家會手動分析掃描結果Fortify on Demand 可作為內部應用程式安全團隊的延伸。我們瞭解貴公司投入可觀的時間與金錢開發新應用程式。貴公司
可能沒有時間或內部專業知識可處理大量報告,檢驗掃描涵蓋
範圍並排除誤判。為確實提供可據以行動的結果,Fortify on Demand 進一步由逾 150 人的全球安全專家組成專業團隊,以人工方式檢驗所有初始動態掃描結果。其中即包括判斷和移除
誤報結果。Fortify on Demand 測試團隊執行的工作包括: ■ 視需要開發驗證巨集
■ 驗證掃描涵蓋範圍
■ 從手動與自動化稽核結果中排除 99% 的誤報,以節省矯正問題所需的時間與資源 我們的團隊也可使用 Fortify on Demand 的測試方法來手動分析目標 Web 應用程式或 Web 服務,最久可達 8 小時,以進階的目標式滲透測試來補充 WebInspect 掃描結果。我們的專家會深入檢驗應用程式的驗證方案、工作階段管理、存取控制,並檢查
其中是否含有邏輯缺失和錯誤的開發人員假設。他們能夠辨識
需人為介入才能偵測到的弱點,包括但不限於:
■ 蒐集使用者帳戶的能力
■ 略過多步驟驗證
■ 密碼重設設計缺失
■ 存取其他使用者的資料或機密內容
■ 水平或垂直權限提升
■ 略過關鍵交易步驟,如購物車付款
■ 濫用折扣或業務上限的限制
■ 因開發人員假設錯誤而產生的特殊業務邏輯缺失
Fortify on Demand:全方位動態評估方法
WebInspect 手動分析 主動式 IAST(選填)
同級最佳動態應用程式安全測試
涵蓋超過 250 種漏洞類別
彈性驗證,改善工作階段管理
經證實可排除 99% 的誤報
由超過 150 位全球安全專家審查結果
以進階的目標式滲透測試支援自動化掃描
與 WebInspect 及應用程式執行時期引擎共同運作
提供堆疊追蹤詳細資料以加速矯正
增強動態測試的速度與準確度以改善結果
持續性應用程式監控
圖 1. Fortify on Demand:全方位動態評估方法
手冊Fortify on Demand 應用程式安全即服務
4
Fortify on Demand 內含主動式 IAST 選項可增強動態評估創新與領先業界的實力,是客戶在應用程式安全解決方案選擇 Fortify 的原因之一。其中一例即是為 Fortify on Demand 客戶選擇在動態評估程序中整合我們具前瞻性的主動式 IAST (互動式應用程式安全測試) 代理程式。IAST 代理程式安裝於應用程式執行時期伺服器,並於 Fortify on Demand 動態評估時自動與 WebInspect 同步。IAST 代理程式的優勢包括:
■ 改善涵蓋範圍 (受攻擊面的所有主要元件均加以測試) ■ 提升準確度 (減少誤報) ■ 加速矯正作業 (為每個發現的問題提供完整堆疊追蹤)
Fortify on Demand 持續應用程式監控可保護上線環境中的應用程式在發行前額外進行全方位的安全測試,Fortify on Demand 持續應用程式監控可針對線上應用程式不斷變動的風險提供寶貴的
資訊。持續應用程式監控結合輕量級、適用線上環境的動態弱
點掃描與應用程式風險分析,在發生與風險有關的變更時發出
警示。每週進行自動化、未驗證的掃描,並針對 OWASP 十大最常見和最重要的弱點進行檢查,並檢查可能在生產環境中植
入而無法於上線前測試中找到的組態弱點。每次掃描的風險分
析評估均會探討可能吸引攻擊者注意的特性與內部合規要求,
包括:
■ 收集個人識別資訊 (PII) ■ 電子商務功能
■ 驗證方法和機密內容
■ 應用程式堆疊中的 Web 技術 (應用程式伺服器、Javascript 程式庫等)
Fortify on Demand 提供靈活彈性的動態評估服務選項 Fortify on Demand 動態評估提供兩種服務等級,可依所需的應用程式安全目標選用,且這兩種等級均可以訂閱或單次掃描方
式購買。訂閱方案可在 12 個月內無限次掃描應用程式。訂閱服務持續支援您現行的動態應用程式安全測試計畫。
那麼,哪一種服務選項最適合貴公司?這取決於應用程式的風
險等級。
1. Fortify on Demand 動態評估訂閱適合已部署的低風險應用程式,或是對於業務影響較小的應用程式。動態評估可以採
取更加自動化的方式進行,並能在訂閱期間的小改版或新增
功能時進行安全測試。
2. Fortify on Demand 動態 + 評估訂閱適合關鍵業務、高風險的應用程式。需要 Fortify on Demand 團隊額外手動分析識別所有可能的弱點;尤其是會收集 PII 或處理金融交易的應用程式。應用程式遭受侵害時對企業造成傷害的風險越高,可
能就越需要進行人工測試與分析。 生命週期有限或合規要求有限的應用程式,則可能較適合單次
掃描。單次掃描也包含一次矯正掃描,以驗證因完整掃描而提
早回報的弱點修正是否有效。矯正掃描必須在原評估後的 30 個日曆天內執行。Web 服務應用程式測試需進行大量的手動測試,僅以單次掃描 (無訂閱) 的方式提供。
比較:Fortify on Demand「動態」與「動態 +」評估服務訂閱的比較
Fortify on Demand 動態評估
Fortify on Demand 動態+ 評估
應用程式類型 網站 網站或 Web 服務WebInspect DAST 是 是
驗證 是 是
安全專家審查 (包括排除誤報)
是 是
持續性應用程式監控 (僅限訂閱)
是 是
主動式 IAST 選擇性 選擇性
應用程式弱點測試 否 是
5www.microfocus.com
Fortify on Demand 提供完整的動態掃描解決方案Fortify on Demand 是您的「應用程式安全即服務」合作夥伴,可提供完整的軟體安全保障。在整個 SDLC 中測試並監控應用程式,對於防範可入侵弱點來說至關重要。我們的動態評估超
越傳統的 DAST。我們瞭解現今的威脅環境需要多管齊下,才能確保貴公司受到保護。僅有 Fortify on Demand 能整合:
■ 使用 WebInspect 技術的全方位動態應用程式安全測試 ■ 由超過 150 位應用程式安全專家組成的全球團隊徹底手動審查掃描結果
■ 尖端技術,如主動式 IAST 與執行時期應用程式自我保護 (Fortify Application Defender 的 RASP)
■ 藉由生產環境中的持續掃描與風險評估設定檔,持續監控您的應用程式
開始使用Fortify 提供最為全方位的靜態與動態應用程式安全測試技術,並以領先業界的研究成果為後盾,對執行時期應用程式進行 監測。
如需更多資訊,請瀏覽:www.microfocus.com/fod
163-TW0026-001 | H | 05/19 | © 2019 Micro Focus® 或其關係企業之一。Micro Focus 及 Micro Focus 標誌等項目,是 Micro Focus 或其子公司或關係企業在英國、美國及其他國家/地區的商標或註冊商標。所有其他標記皆為其個別擁有者的財產。
與我們聯絡:www.microfocus.com
喜歡本文內容嗎?歡迎分享。
網址:https://www.microfocus.com/zh-tw電話:+886-2-23760036電子信箱:[email protected]