Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v...
Transcript of Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v...
Automatizace penetračních
testů v režii IBM AppScan
Enterprise
Jiří Kohout
14. října 2015
Agenda
Přístup Unicornu k penetračním testům
Možnosti IBM AppScan Enterprise
Architektura IBM AppScan Enterprise
Ukázky workflow
Případy užití
Copyright © 2015 Unicorn Systems a.s. 2
Přístup Unicornu – globální pohled
Copyright © 2015 Unicorn Systems a.s. 3
Přístup Unicornu – AppScan Ent.
Copyright © 2015 Unicorn Systems a.s. 4
Penetrační testy v kostce
Copyright © 2015 Unicorn Systems a.s. 5
Statická analýza
- Analýza zdrojového kódu
- Během vývoje aplikace
- Sledování toků informací/ / Hledání vzorů
Dynamická analýza
- Korelace dynamické a statické analýzy
- Odstranění zranitelnosti s pomocí identifikace závadného řádku kódu
Hybridní analýza
- Analýza nasazené webové aplikace
- Během testování - Manipulace s HTTP zprávami
Analýza kódu na klientovi
- Analýza staženého JavaScriptu spouštěného na klientovi
Run-time analýza
- Kombinace dynamické analýzy s run-time agentem (GlassBox)
- Doplnění výstupu a dodání přesnosti zjištění
Všechny zranitelnosti
Architektura – komponenty
AppScan Standard
Copyright © 2015 Unicorn Systems a.s. 6
Architektura – komponenty
AppScan Standard
AppScan Source
For Analysis
For Automation
For Development and Remediation
Database (Oracle DB, solidDB)
Copyright © 2015 Unicorn Systems a.s. 7
Architektura – komponenty
AppScan Standard
AppScan Source
AppScan Enterprise Server
Enterprise Console
Dynamic Analysis Scanner
Copyright © 2015 Unicorn Systems a.s. 8
Architektura
Copyright © 2015 Unicorn Systems a.s. 9
Aplikační prostředí
Centrální automatizované scannery
Klientské scannery
Infrastrukturní servery
Rational LicenseKey Server
AppScan Enterprise
ASE DAS
ASE DB
Active Directory
AppScanStandard
AppScan Sourcefor Automation
AppScanSource for Analysis
Aplikační serverWeb server
Firewall
F5/Imperva
AdministratorAuditor
Reporter
AppScanSource for
Development
Internet
Úložiště skenů, mgmt., plánovač, konzole řízení rizik
Autentizace, licence, databáze
Minimální workflow
Copyright © 2015 Unicorn Systems a.s. 10
Zdroj: IBM
Základní workflow
Copyright © 2015 Unicorn Systems a.s. 11
Zdroj: IBM
Workflow středního rozsahu
Copyright © 2015 Unicorn Systems a.s. 12
Zdroj: IBM
Plnohodnotné workflow
Copyright © 2015 Unicorn Systems a.s. 13
Zdroj: IBM
Rozšířené workflow
Copyright © 2015 Unicorn Systems a.s. 14
Zdroj: IBM
Možnosti nasazení
Copyright © 2015 Unicorn Systems a.s. 15
Zdroj: IBM
Případy užití
Identifikovat chyby v návrhu/implementaci v raných fázích vývoje
Úspora finančních prostředků při opravě zjištěných zranitelností
Audit kódu součástí vývojového procesu
Standardizované a automaticky opakované testy
Nástroj pro řízení rizik pro všechny webové aplikace
Pozitivní dopady na vývoj moderních mobilních aplikací
Úspora finančních nákladů za penetrační testy
Kontinuální sledování rizik s včasnou mitigací
Integrace
SW repozitáře, IDE, WAF, SIEM
Copyright © 2013 Unicorn Systems a.s. 16
Nasazení AppScan Ent.
Dvě základní části
PoC
Vlastní nasazení
Kompletní realizace < 90 dní
Copyright © 2013 Unicorn Systems a.s. 17
Kontakt
Copyright © 2015 Unicorn Systems a.s. 18
Děkuji za pozornost
Jiří Kohout