Automatizace penetračních

testů v režii IBM AppScan

Enterprise

Jiří Kohout

14. října 2015

Agenda

Přístup Unicornu k penetračním testům

Možnosti IBM AppScan Enterprise

Architektura IBM AppScan Enterprise

Ukázky workflow

Případy užití

Copyright © 2015 Unicorn Systems a.s. 2

Přístup Unicornu – globální pohled

Copyright © 2015 Unicorn Systems a.s. 3

Přístup Unicornu – AppScan Ent.

Copyright © 2015 Unicorn Systems a.s. 4

Penetrační testy v kostce

Copyright © 2015 Unicorn Systems a.s. 5

Statická analýza

- Analýza zdrojového kódu

- Během vývoje aplikace

- Sledování toků informací/ / Hledání vzorů

Dynamická analýza

- Korelace dynamické a statické analýzy

- Odstranění zranitelnosti s pomocí identifikace závadného řádku kódu

Hybridní analýza

- Analýza nasazené webové aplikace

- Během testování - Manipulace s HTTP zprávami

Analýza kódu na klientovi

- Analýza staženého JavaScriptu spouštěného na klientovi

Run-time analýza

- Kombinace dynamické analýzy s run-time agentem (GlassBox)

- Doplnění výstupu a dodání přesnosti zjištění

Všechny zranitelnosti

Architektura – komponenty

AppScan Standard

Copyright © 2015 Unicorn Systems a.s. 6

Architektura – komponenty

AppScan Standard

AppScan Source

For Analysis

For Automation

For Development and Remediation

Database (Oracle DB, solidDB)

Copyright © 2015 Unicorn Systems a.s. 7

Architektura – komponenty

AppScan Standard

AppScan Source

AppScan Enterprise Server

Enterprise Console

Dynamic Analysis Scanner

Copyright © 2015 Unicorn Systems a.s. 8

Architektura

Copyright © 2015 Unicorn Systems a.s. 9

Aplikační prostředí

Centrální automatizované scannery

Klientské scannery

Infrastrukturní servery

Rational LicenseKey Server

AppScan Enterprise

ASE DAS

ASE DB

Active Directory

AppScanStandard

AppScan Sourcefor Automation

AppScanSource for Analysis

Aplikační serverWeb server

Firewall

F5/Imperva

AdministratorAuditor

Reporter

AppScanSource for

Development

Internet

Úložiště skenů, mgmt., plánovač, konzole řízení rizik

Autentizace, licence, databáze

Minimální workflow

Copyright © 2015 Unicorn Systems a.s. 10

Zdroj: IBM

Základní workflow

Copyright © 2015 Unicorn Systems a.s. 11

Zdroj: IBM

Workflow středního rozsahu

Copyright © 2015 Unicorn Systems a.s. 12

Zdroj: IBM

Plnohodnotné workflow

Copyright © 2015 Unicorn Systems a.s. 13

Zdroj: IBM

Rozšířené workflow

Copyright © 2015 Unicorn Systems a.s. 14

Zdroj: IBM

Možnosti nasazení

Copyright © 2015 Unicorn Systems a.s. 15

Zdroj: IBM

Případy užití

Identifikovat chyby v návrhu/implementaci v raných fázích vývoje

Úspora finančních prostředků při opravě zjištěných zranitelností

Audit kódu součástí vývojového procesu

Standardizované a automaticky opakované testy

Nástroj pro řízení rizik pro všechny webové aplikace

Pozitivní dopady na vývoj moderních mobilních aplikací

Úspora finančních nákladů za penetrační testy

Kontinuální sledování rizik s včasnou mitigací

Integrace

SW repozitáře, IDE, WAF, SIEM

Copyright © 2013 Unicorn Systems a.s. 16

Nasazení AppScan Ent.

Dvě základní části

PoC

Vlastní nasazení

Kompletní realizace < 90 dní

Copyright © 2013 Unicorn Systems a.s. 17

Kontakt

Copyright © 2015 Unicorn Systems a.s. 18

Děkuji za pozornost

Jiří Kohout