HP Application Security Center

Bezpečnosť ako súčasť Manažmentu kvality


Project & Portfolio Management Center Quality Center Performance Center Application Security Center Business Availability Center Operations Center Network Management Center Client Automation Center Data Center Automation Center Service Management Center Universal CMDB
HP Application Security Center - mapa produktu


HP Application Security Center software pomáha analyzovať komplexné web aplikácie postavené na Web 2.0 technológiách. Zabezpečuje rýchlu a presnú scanovaciu schopnosť , široké hodnotiace pokrytie ako aj spôsobilosť poskytovať presné scanovacie výsledky Vašich webových aplikácií.


Web útoky – hrozba pre aplikácie

Web sa momentálne stal najľahším miestom útoku pre každého hackera. V súčasnosti, keď každý mesiac je spustených viac ako jeden milión webových aplikácii, skúsený hacker nemá problém uskutočniť viacero útokov každý týždeň. A kvôli tejto skutočnosti, otázka aplikačnej bezpečnosti už nemôže byť viac odkladaná do úzadia. Mnoho spoločností investuje milióny dolárov na bezpečnostné riešenia a zabezpečnie sietí, ale k útokom hackerov aj napriek tomu neustále dochádza. Prečo je tomu ale tak?

Pretože hackeri objavili ďalšiu, novú úroveň zraniteľnosti sietí a touto je web a webové aplikácie. Každá spoločnosť vlastní niekoľko webových aplikácií, business je poháňaný webovými aplikáciami a práve toto sú oblasti, na ktoré sa momentálne hackeri hlavne sústreďujú. Ako vidno z Grafu 1., nárast počtu security incidentov, ktoré sa vyskytli v rokoch 2001 až 2006 je viac ako markantný a trend vývoja nenasvedčuje tomu, že by sa tento trend mal zvrátiť. Z uvedeného vyplýva, že za veľmi častou oblasťou útokov je práve web sféra, kde sa tieto útoky čoraz častejšie uskutočňujú. Ako uviedol Gardner vo svojej štúdii, tak do roku 2009, až 80% spoločností utrpí stratu v dôsledku incidentu v oblasti bezpečnosti aplikácií. Dôsledkom toho až 80% spoločností zareaguje zabudovaním testovacej zložky do Application Development Lifecycle. V poslednej dobe začína byť čím ďalej tým viac zrejmé, že predovšetkým finančné a poisťovacie spoločnosti začínajú sústreďovať pozornosť na web security.



Ako teda zabezpečiť webové aplikácie Vašej spoločnosti?
Neoddeliteľnou časťou efektívneho zabezpečenia procesov vývoja aplikácií je proaktívne začlenenie bezpečnostné hľadiska do životného cyklu vývoja aplikácií.



A práve kvôli týmto novým trendov v oblasti zabezpečenia webových aplikácií prišla spoločnosť HP v spolupráci s SPI Dynamics so súborom aplikácií HP Security Application Center, vychádzajúcich z best practices a politík slúžiacich na ochranu pred novodobými útokmi hackerov. Tieto politiky sú v súlade s viac ako 20 právami a reguláciami vrátane:

  • Sarbanes-Oxley (SOX)
  • California SB 1386
  • Gramm-Leach-Bliley Act (GLBA)
  • Health Insurance Portability and Accountability Act (HIPAA)
  • ISO 17799
  • Payment Card Industry (PCI) Data Security Standard (DSS) compliance
  • OWASP Top Ten

Pred čím HP Application Security Center chráni:

Tradičné scannery aplikačnej bezpečnosti zabezpečujú dostatočnú kontrolu a odhaľujú bezpečnostné riziká pri niektorých, starších webových technológiách, ako napr. HTML a CGI, ale tieto neposkytujú dostatok inteligencie potrebnej na kontrolu rozvíjajúcich sa Web 2.0 technológií, akými sú Ajax, Simple Object Access Protocol (SOAP), Service oriented architecture (SOA), Rich Site Summary (RSS) a Atom, ako aj viac dynamické technológie, akými sú JavaScript a Flash. Staršie scannery webových aplikácií jednoducho nie sú dizajnované chrániť súčasné webové aplikácie s aktívnym obsahom, povinnou two-factor autentifikáciou a s iným sofistikovanejším obsahom. Výsledkom toho je, že pri použití tradičných scannerov je riziko napadnutia oveľa vyššie a Vaša sieť je náchylnejšia na bezpečnostné slabiny a riziká, ktoré existujú v komplexnejších webových aplikáciách.

HP Application Security Center sa sústreďuje na ochranu pred:

Data injection and manipulation attacks:

  • Reflected cross-site scripting (XSS)
  • Persistent cross-site scripting (XSS)
  • Cross-site request forgery
  • SQL injection
  • Blind SQL injection
  • Buffer overflows
  • Integer overflows
  • Log injection
  • Remote File Include (RFI) injection
  • Server Side Include (SSI) injection
  • Operating system command injection
  • Local File Include (LFI)

Sessions and authentication:

  • Session strength
  • Authentication attacks
  • Insufficient authentication
  • Insufficient session expiration

Server and general HTTP:

  • Secure Sockets Layer (SSL) certificate issues
  • SSL protocols
  • SSL ciphers
  • Server misconfiguration
  • Directory indexing and enumeration
  • Denial of Service (DoS)
  • HTTP response splitting
  • Encoding attacks
  • Windows 8.3 file name
  • DOS device handle DoS
  • Canonicalization attacks
  • URL redirection attacks
  • Password autocomplete
  • Cookie security
  • Custom fuzzing
  • Path manipulation—traversal
  • Path truncation
  • Ajax auditing
  • WebDAV auditing
  • Web services auditing
  • File enumeration
  • Information disclosure
  • Directory and path traversal
  • Spam gateway detection
  • Brute force authentication attacks
  • Known application and platform vulnerabilities


Komponenty portfólia HP Application Security Center

HP Application Security Center je súbor nástrojov riešení, vytvorených na pomoc web developerom a quality assurance profesionálom testovať a chápať bezpečnostné riziká, ktoré sa v súčasnosti objavujú na webe. HP riešenia minimalizujú riziko identifikovaním hrozieb a ošetrovaním web aplikácií vo všetkých fázach ich životného cyklu.

HP Application Security Center pozostáva z:

  • HP DevInspect software
  • HP WebInspect software
  • HP QAInspect software

HP DevInspect software zjednodušuje pohľad na bezpečnosť pre web developerov automatickým vyhľadavaním a opravovaním bezpečnostných defektov. Pomáha rýchlejšie developerom budovať webové aplikácie a služby so zvýšenými bezpečnostnými prvkami. Tieto činnosti dokáže vykonávať ľahšie, bez potreby zvýšenej bezpečnostnej expertízy alebo zvýšenej časovej náročnosti. Tento software zrýchľuje budovanie webových aplikácií a webových služieb so zvýšenými bezpečnočnostnými opatreniami hľadaním a ošetrovaním aplikácií v priebehu ich vývoja ako aj po ich dokončení. HP DevInspect využíva inovatívne analýzy náchylnosti a remediačné techniky na opravu bezpečnostných defektov predtým, ako sú aplikácie vypustené do produkcie predtým ako môžu spôsobiť vážne ohrozenie Vašeho majektu.

Hlavné benefity HP DevInspect:

  • Rôznorodý prístup k analýzam
  • Automatická remediácia náchylností
  • Zvýšená podpora Ajax-u
  • Application self-defense pre ASP.NET
  • Security vzdelávanie pre developerov
  • Integrácia s viacerými vendormi
  • Application lifecycle management

      • HP WebInspect software je webový testovací nástroj určený na hĺbovú hodnotiacu analýzu komplexných webových aplikácií. Zabezpečuje rýchle scanovacie možnosti, široké hodnotiace pokrytie a presné výsledky scanovania webových aplikácií. Využíva kompexnosť Web 2.0 a identifikuje zraniteľnosti, ktoré neboli detekované tradičným scanovaním. HP WebInspect software narába s najsúčasnejšími technológiami webových aplikácií s prelomovými testovacími inováciami, vrátane SCA (simultaneous crawl and audit) a súbežného aplikačného scanovania. Výsledkom toho je automatizované, rýchle a presné testovanie webových aplikácií. Väčšina tradičných aplikačných scannerov je dizajnovaných pre zastaralé webové technológie, ale rozvoj nových technológií vyžaduje podporu aj pre aplikácie typu Web 2.0, aplikácie využívajúce Ajax, SOAP, JavaScipt a Flash.



      HP QAInspect software umožňuje quality assurance profesionálom začleniť plne automatizované bezpečnostné testovanie pre webové aplikácie do Vašich celkových testovacích procesov bez potreby špeciálnych znalostí bezpečnosti a bez rizika spomalenia procesu vývoja novej aplikácie. Tento súbor aplikácií zjednocuje prácu developerských teamov a quality assurance teamov s cieľom čo najviac sa vyhnúť možným bezpečnostným defektom aplikácií. QA (quality assurance) profesionáli vedia, že možu ušetriť organizácii čas a peniaze identifikovaním týchto bezpečnostných defektov skoro v procece softvérového životného cyklu – oveľa skôr ako webová aplikácia je spustená do produkčného procesu. Napriek tomu, väčšina QA profesionálov nie je bezpečnostnými expertami a potrebujú pomoc s identifikovaním bezpečnostných hrozieb vrámci ich existujúcich procesoch a nástrojoch.

      HP QAInspect software umožňuje efektívny security manažment pre QA teamy. Používa inovatívne techniky pre identifikáciu defektov z hackerskej perspektívy. Reportuje o náchylnostiach s detailnou znalosťou bezpečnosti spôsobom kedy prioritizuje zoznam útokov podľa závažnosti. Výsledky analýz poskytujú detailné informácie o možných spôsoboch útokov, akými sú napr. Cross-site scripting (XSS) alebo Structured query language (SQL) injection. Toto všetko s prihliadaním na právne predpisy a regulacie SOX, HIPAA, PCI DSS a iné.