軟體工具
|Fortify 360 Server|SCA|PTA|RTA|Fortify on Demand|SSA Risk Assessment|資安電子報|
|產品簡介|產品特色|運作原理|產品效益|產品規格|成功案例|得獎紀錄|價格|
產品簡介
為企業已上線的Web應用程式提供即時的監測與防禦,是目前業界精準度最高的Web應用程式入侵偵測防禦系統。
防火牆、入侵防禦系統、以及應用層防火牆並非專門針對保護網站應用程式而設計,因此無法有效保護Web應用程式的安全。RTA採用創新的解決方案,在Web應用程式的安全關鍵API為您把關,可即時攔阻駭客攻擊時,並即時記錄,供事後分析追蹤,不僅讓企業瞭解應用程式漏洞所在,更讓駭客攻擊無所遁形!
產品特色
API-level Web應用程式入侵偵測防禦系統
RTA是新一代高階的API-level Web應用程式入侵偵測防禦系統,透過分析Web應用程式API所讀取的內容,可明確地判斷字串是否為攻擊。傳統的Http-level WAF僅能透過分析Http封包,並依據有限的封包前後文範疇(context)判定攻擊。
精準度最高、大幅降低上線調校期
API層次所分析的資料詳實地記載駭客攻擊字串,可大幅降低誤判、漏判的可能性,因此RTA不需像傳統WAF需要大量的上線調校期。
RTA可精準分析SQL Injection攻擊字串
多層次深入追蹤分析能力
RTA的主控台提供多層次分析功能,讓您透過強大的UI介面,層層下鑽,深入分析找出漏洞的根源所在。
遵循PCI、HIPPA規範
RTA已獲得數個國際組織的核可,成為符合PCI、HIPPA規範的 Web應用防火牆。RTA可協助企業Web應用程式符合PCI、HIPPA安全規範的需求。
強大即時報表分析系統
RTA將所有駭客攻擊的詳細內容即時記錄至後端資料庫。透過RTA 控制台的強大報表系統,企業可迅速瞭解所面臨的威脅。
RTA儀表版提供全方位攻擊資訊
不需原始程式碼
RTA不需應用程式的原始碼就可以保護應用程式。RTA僅需應用程式的byte code,便能保護應用程式。
與Fortify 360完全整合
RTA的監控結果可匯入至Fortify 360數位儀表板平台,該平台對來自三個分析器的結果進行匯總,並提供您一個關於Web應用程式安全性的全面的看法,讓修復和稽核成為一個更有效率的過程。
運作原理
Fortify RTA是純軟體解決方案,它透過「安全強化」的程序,為應用程式的關鍵API(Application Program Interface)作安全防護。這些關鍵API往往就是駭客攻擊的網站程式關鍵出入點,如駭客攻擊的進入點(譬如供使用者輸入資料的網頁表單)、駭客攻擊的目標點(譬如網站資料庫)、以及駭客攻擊呈現點(譬如網頁資料輸出)。Fortify RTA不需要原始程式碼,僅需程式的ByteCode。
RTA運作流程圖
產品效益
- 不需原始程式碼,可即時保護已上線的Web應用程式
- 在API層監測攻擊字串,精準度高,可大幅降低漏判與誤判
- 協助企業遵循PCI、HIPPA等規範
- 防止駭客入侵Web應用程式,保護關鍵資訊,維護公司品牌及商譽
規格
| 防禦模式 | 保護模式(protect mode)、監控模式(monitor mode)、關閉模式(off mode) |
|---|---|
| 攻擊後反應 | Log、Replace、Block、Challenge、Escape、Ignore、Logout、Custom |
| 防Web應用程式攻擊 | 針對OWASP Top 10 漏洞設計,偵測超過 20個漏洞種類,包括:Cross-Site Scripting: Reflective, Cross-Site Scripting: Persistent, HTTP Response Splitting, SQL Injection, Unhandled Exception, Buffer Overflow, Session Fixation, Privacy Violation: Credit Card, Privacy Violation: Social Security, Credit Card Fraud, CSRF, Decoy Tampering, Forceful Browsing, Link Spam (Reflected & Persistent), Probing, and more. |
| 遵循規範 | OWASP Top 10, HIPAA, PCI |
| 客製化攻擊回應 | 企企業可撰寫API-level的客製化攻擊回應,與企業商業邏輯完全整合。 |
| 防資料挖掘 | RTA可以阻止惡意用戶透過應用層對資料庫進行大量資料惡意挖掘。 |
| RTA後端資料庫 | IBM DB2, Oracle, MS SQL Server, MySQL |
| 電腦鑑識記錄 | 攻擊時間、手法、來源IP、攻擊後反應、Session ID、Web觸發之API、攻擊詳細字串、Stack Trace, and more。 |
受保護Web應用程式規格
| 語言 | J2SE 1.4及以上版本,J2EE 1.3.1及以上版本 .Net 1.0、2.0、3.0、3.5;ColdFusion |
|---|---|
| Web伺服器 | Tomcat 4.1, 5.0, 5.5, 6;Weblogic 8.x, 10;Oracle 10g;IBM Websphere 6.0;IIS 5.0及以上版本 |
成功案例
美國空軍、
美國線上租車網站、
醫療、旅遊保險公司、
線上主機租用服務
得獎記錄
- Fortify Software Wins 2008 SC Magazine Readers' Trust Award
- Fortify Software's Web Application Security Solution Named 2008 Jolt Award Finalist
- 2007 Best Security Software Solution
- Fortify Software Named Best Security Software Development Solution Finalist by SC Magazine
- Fortify Software Recognized as Application Security Innovator by SD Times for Third Straight Year
- 2007 Jolt Productivity Award
- 2007 Reader Trust Award
- Financial IT Security Future Now List - 25 Best Innovations of 2007
- 2007 Jolt Award for Product Excellence
價格
- Fortify 程式碼安全檢測 NT$2,300,000 元整
- Fortify 應用系統安全即時防禦暨追蹤分析工具 NT$1,650,000 元整
- Fortify 應用系統安全檢測數位儀表管理中心 NT$2,120,000 元整
- Fortify應用系統安全即時防禦暨追蹤分析工具(一年軟體升級授權) NT$420,000 元整
- Fortify應用系統安全檢測數位儀表管理中心(一年軟體版本升級更新) NT$480,000 元整
- Fortify on Demand 網站安全弱點分析服務 NT$350,000 元整