首頁 電子報 資安電子報 GSS資安電子報0059期【全方位評估應用程式弱點(下)】

GSS資安電子報0059期【全方位評估應用程式弱點(下)】

E-mail 列印

alt

資料來源: HP-Fortify 提供

Fortify 360 Analysis:偵測、排序和修復應用程式漏洞的新方法

Fortify 360是一個整合工具,可以用來辨認、排序、修復應用程式中的安全漏洞,也能確保應用程式的安全。藉由幫助企業快速找出問題並加以修復,Fortify大幅降低攻擊威脅,也幫助企業維持應用程式的適法性。

Fortify 360使用全方位的分析以找出軟體中的漏洞,提供企業組織最快、最廣泛的威脅偵測。使用Fortify 360,企業組織得以:

  1. 藉由動態和靜態分析找出最多種的軟體漏洞。Fortify 360可以找出超過225種漏洞,為業界之最。
  2. 根據不同企業的不同環境和系統,找出最適合的偵測方式,以提供最快速的服務。
  3. 使用企業本身的測試方式,加上最大程式碼覆蓋率動態分析,在應用軟體中找出漏洞並監控生產流程。
  4. 對動態和靜態分析所產出的結果進行關聯和排序,提供企業整合過的結果,使企業可以找出各個漏洞間的關聯(這些漏洞很有可能看似毫無關係)。
  5. 開發人員和系統安全人員分享對於各個漏洞的見解,整合不同的解決辦法,使修復漏洞又快又有效率。

使用Fortify 360偵測漏洞

跟其他安全問題解決方案不同的是,Fortify 360能從安全的角度提供最全面的見解。它也是第一個整合靜態和動態分析的解決方案。其合併Static Code Analyzer(SCA)和兩個動態分析工具:test-phase-focused Program Trace Analyzer(PTA)以及production-phase-focused Real-Time Analyzer(RTA)。這幾項工具彼此配合,互相分享訊息,使企業可以更快更有效率的找出問題。此外,Fortify 360會以周期性的方式更新分析工具,使IT團隊可以對現在最新型態的駭客手法或是漏洞有所防備。

Fortify 360:Static Code Analyzer(SCA)

SCA使用多種演算法和知識庫來檢驗程式碼,在應用程式開始適用前先找出其漏洞。這項技術分析了整個應用程式所有可能的執行和資料路徑,能夠找出超過200 個種類的漏洞。

主要優勢:

  1. 在開發階段,維修成本最低的時候盡早發現漏洞。
  2. 在開發過程中教育開發者安全知識。

Fortify 360:Program Trace Analyzer(PTA)

在測試應用程式時,PTA在程式執行中找出漏洞。企業組織可以用PTA搭配他們本身自有的測試方式,找出只有在程式執行時才比較容易被發現的漏洞,像是無法預測的使用者行為。不需要客製化或是安全專門技術,PTA使QA和開發者在不改變開發目標的情況下照顧到更多的程式區塊。

主要優勢:

  1. 使企業找到更好的方式來找漏洞。
  2. 與QA測試程序完美的整合。
  3. 提供最精準的結果(只有最少的錯誤判斷)。
  4. 在應用程式內執行,提供最好的環境,判斷問題是可被繼續開發的或僅僅才剛開始。
  5. 標出各個漏洞的準確位置,以達成更快速的修復。

Fortify 360:Real-Time Analyzer(RTA)

RTA元件可以對抗一直在演化的邏輯攻擊,像是詐騙、駭客,資料探勘等等可能會危害應用程式的威脅。放置在應用程式中,RTA可以提供「應用程式在真實世界中如何被攻擊」的即時監控。在任何時間,IT人員都可以看到誰正在攻擊(IP位址和domain name)、攻擊是如何進行的和哪部分應用程式正遭受攻擊(可精準至程式碼各行)。

主要優勢:

  1. 提供最真實的應用層觀點,而且可以用應用程式邏輯來進行決策。
  2. 提供即時警報,也能透過e-mail即時通知。
  3. 精準分辨攻擊和正常使用情形,在提供強大保護前提下增進用戶體驗。
  4. 可以針對個別網頁應用程式,整合根據邏輯或是行為的規則,用以對抗不同的威脅。

使用Fortify 360優先排序

Fortify 360整合從三個不同分析器來的資料,提供IT公司對於漏洞最廣泛的觀點。藉由關聯不同分析器的結果,使用者可以排除誤判之情事,驗證所找到漏洞的嚴重性並加以排序。這「全方面的觀點」讓您對各種漏洞有更佳的認識,認識漏洞之間的關聯,和如何使分流、審計和修復變得更快更輕鬆。

以下是一個例子,一個公司使用SCA檢查應用程式的程式碼,找出一長串的漏洞。即使SCA已經將列表依照優先順序排列過,這份列表還是頗長的。在此同時,使用者使用PTA進行動態檢測,PTA所偵測出的漏洞列表稍短,但不保證有涵蓋到所有程式碼。如果沒有使用Fortify 360,該公司只能得到兩份漏洞列表,並且無法得知哪些漏洞是在兩份列表上同時存在,或是兩份列表上的漏洞有什麼關聯。最嚴重的是,這個公司無法得知哪些漏洞是最致命、最需要及時修補的。Fortify 360可以結合兩個工具所產生的結果,並綜合判斷出哪個漏洞最需要被照顧。Fortify 360可以幫助公司企業用最有效率、成本最低的方式解決最嚴重的安全漏洞。

使用Fortify 360合作修復漏洞

快速修復軟體中的漏洞需要團體合作,以及關鍵利益相關者、安全部門、QA和開發部門之間的協調。藉由Fortify 360中央控制台、關聯和優先排序功能,可以使各個團隊更有效率的合作,解決各種安全問題。Fortify 360整合一般企業天天使用的QA、開發過程和工具。這項功能使安全審計人員可以將問題送給公司內部的bug-tracking系統、上傳給整合開發環境(IDE),或是送給任何可以解決此問題的部門。安全人員可以自行修復問題,也可以嵌入其他環境供開發團隊修復問題時使用。此外,Fortify 360提供企業第一時間合作審計能力,使各個團隊可以同時對同一份程式碼進行漏洞修補。使用Fortify 360的企業可以用最快的速度修補漏洞,而空出來的額外時間可以用來開發應用程式,在時限內滿足客戶需求。

結論

所有數據都指出,駭客、組織網路犯罪和有不良意圖的國家逐年增加,為了獲利,他們對準了全世界的應用程式。就算只有一個安全漏洞也可能是非常嚴重的,潛在的影響可能是:獲利損失、失去客戶信任和破壞商譽。於是,企業安全政策和政府安全規範就愈來愈多,IT企業的壓力也愈來愈大,他們必須好好保護由他們所生產、製造、管理和布署的應用程式。使用Fortify 360,IT企業可以用最快的速度偵測、排序和修復軟體漏洞。並且,Fortify 360是市面上唯一可以關聯不同分析器結果,整合現有QA、開發環境和工具的資訊安全解決方案。使企業可以更有效率的保護自己的應用程式,對抗不斷進化的威脅。

參考資料

  1. Mark Curphey, Software Security Testing: Let’s Get Back to Basics, October, 2004, SoftwareMAG.com; Theresa Lanowitz, Now Is the Time for Security at the Application Level, December 1, 2005, The Gartner Group.
  2. Ponemon Institute Study, 2007.
  3. John Pescatore, Joseph Feiman, Security Features Should Be Built Into Web 2.0 Applications, March 5, 2008, The Gartner Group.
  4. Ponemon Institute Study, 2007.
.