www.AKTIO.comwww.AKTIO.com

www.AKTIO.com

Solución de Seguridad en Aplicaciones WebIBM Security AppScan

Enrique G. DutraEnterprise Security MVP – MCT - IBM Sales Spec.Auditor Lider ISO/IEC 27001:2005Punto Net Soluciones SRL

edutra@puntonetsoluciones.com.arTw: @egdutra @linenetsecurity

www.AKTIO.com

AGENDA

• Problemáticas actuales en la seguridad de las

aplicaciones web.

• Gestión de la seguridad de las aplicaciones

basada en riesgos.

• IBM Security AppScan 9.0.2

www.AKTIO.com

Problemática actual

- Que las amenazas web crezcan potencialmente.

- Que los dispositivos móviles sean el doble de atractivos

para los piratas informáticos.

ESTO PROVOCA

- Creciente uso de dispositivos y aplicaciones

web.

- Desarrollos web para servidores y móviles con

un nivel bajo de seguridad.

- Poco control en las aplicaciones web. IPS.

www.AKTIO.com

Costos de la violación de datos

Costos de remediación (en cada etapa en el ciclo de vida)

$7.2M costo promedio de una violación de datos

80 días para detectar y 123 días (más de 4 meses) para resolver

$80/defecto

$240/defecto

$960/defecto

$7,600/defecto

Desarrollo Compilación QA/Prueba Producción

Problemática actual

www.AKTIO.com

Problemática actual

6

¿Cuál es el estatus de nuestra seguridad

de las aplicaciones?¿Cuáles son nuestras aplicaciones más importantes?

¿Cuántas de ellas hemos evaluado?

¿Cuáles presentan el mayor riesgo?

¿Qué vulnerabilidades deberíamos reparar primero?

¿Cuáles son los errores más comunes que cometen los

desarrolladores?

www.AKTIO.com

Quieren compartir algunas problemáticas con

nosotros?

¿Nos alcanza?

www.AKTIO.com

Gestión de seguridad de las aplicaciones

PRODUCTIONSECURITYQABUILDCODE

www.AKTIO.com

Gestión de seguridad de las aplicaciones

Protegido gracias a su diseño

Incorpore la seguridad en su proceso de desarrollo de aplicaciones

Aborde eficiente y efectivamente los defectos de seguridad antes del

despliegue

Colabore efectivamente entre Seguridad y Desarrollo

Proporcione visibilidad de la gestión

Reduzca

costos

Innove

de manera

segura

Entregue nuevos servicios

más rápido

PRODUCTIONSECURITYQABUILDCODE

www.AKTIO.com

Análisis

dinámicoAnálisis

interactivo

Análisis de

aplicaciones móvilesAnálisis

estático

Haga un

Inventario

De los Activos

Evalúe el impacto

en el negocio

Mida el estatus

y el progreso

Asigne la prioridad de

las vulnerabilidades

Determine el

cumplimiento

Gestión de la seguridad de aplicaciones

SER PROACTIVO

www.AKTIO.com

AppScan – VersionesON-Premise

- IBM Security AppScan® Source

- IBM Security AppScan® Standard

- IBM Security AppScan® Enterprise

CLOUD

- IBM Security AppScan® Dynamic Analyzer

- IBM Security AppScan® Mobile Analyze

www.AKTIO.com

IBM Security AppScan Standard 9.0

www.AKTIO.com

IBM Security AppScan® Standard

Ayuda a las organizaciones a disminuir la

probabilidad de ataques a aplicaciones web.

Evitar costosas infracciones de datos mediante la

automatización de las pruebas de vulnerabilidad.

Ejecución on-premise

Bajo requerimiento de hardware y software.

Ultima versión vigente 9.0.2

www.AKTIO.com

IBM Security AppScan® Standard

Características:

Pruebas de seguridad dinámicas automatizadas

(llamadas de caja negra) que incluyen servicios

Web, Web 2.0 y aplicaciones de Internet

enriquecidas como JavaScript, Ajax y Adobe Flash.

JavaScript Security Analyzer para el análisis

estático y avanzado (llamado estructural o de caja

blanca).

Reportes y Análisis Delta.

www.AKTIO.com

IBM Security AppScan® Standard

Características: Explora sitios web en busca de malware incluido que

enlazan con sitios maliciosos o no deseados.

COMPLIANCES: Payment Card Industry Data Security

Standard (PCI DSS), Payment Application Data Security

Standard (PA-DSS), ISO 27001 e ISO 27002 y Basilea II.

Soporte mejorado para servicios web y arquitectura

orientada a servicios (SOA), incluidos SOAP y XML.

Realiza comparaciones con una base de datos mantenida

de IBM X-Force.

www.AKTIO.com

DEMO

www.AKTIO.com

IBM Security AppScan® Standard

Recomendaciones: No esperar que el IPS resuelva todos los problemas de

seguridad de las aplicaciones.

Comenzar con la Gestión de Seguridad de las

aplicaciones Web.

No pasar a producción soluciones sin un previo análisis.

Esta herramienta no reemplaza los test de vulnerabilidad

externos.

Mantenerse actualizado.

www.AKTIO.com

Mantenerse actualizado

IBM Punto Net Soluciones@IBMSecurity @Linenetsecurity

@egdutra

/secintelligence /PuntoNetSolucionesSRL

/line.net.71

http://seguridadit.blogspot.com.ar/

http://www-03.ibm.com/software/products/en/appscan-standard

www.AKTIO.com

Muchas GraciasMuito ObrigadoThank You