automatizace penetračních testů v režii ibm appscan enterpriseidentifikovat chyby v...
TRANSCRIPT
![Page 1: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/1.jpg)
Automatizace penetračních
testů v režii IBM AppScan
Enterprise
Jiří Kohout
14. října 2015
![Page 2: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/2.jpg)
Agenda
Přístup Unicornu k penetračním testům
Možnosti IBM AppScan Enterprise
Architektura IBM AppScan Enterprise
Ukázky workflow
Případy užití
Copyright © 2015 Unicorn Systems a.s. 2
![Page 3: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/3.jpg)
Přístup Unicornu – globální pohled
Copyright © 2015 Unicorn Systems a.s. 3
![Page 4: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/4.jpg)
Přístup Unicornu – AppScan Ent.
Copyright © 2015 Unicorn Systems a.s. 4
![Page 5: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/5.jpg)
Penetrační testy v kostce
Copyright © 2015 Unicorn Systems a.s. 5
Statická analýza
- Analýza zdrojového kódu
- Během vývoje aplikace
- Sledování toků informací/ / Hledání vzorů
Dynamická analýza
- Korelace dynamické a statické analýzy
- Odstranění zranitelnosti s pomocí identifikace závadného řádku kódu
Hybridní analýza
- Analýza nasazené webové aplikace
- Během testování - Manipulace s HTTP zprávami
Analýza kódu na klientovi
- Analýza staženého JavaScriptu spouštěného na klientovi
Run-time analýza
- Kombinace dynamické analýzy s run-time agentem (GlassBox)
- Doplnění výstupu a dodání přesnosti zjištění
Všechny zranitelnosti
![Page 6: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/6.jpg)
Architektura – komponenty
AppScan Standard
Copyright © 2015 Unicorn Systems a.s. 6
![Page 7: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/7.jpg)
Architektura – komponenty
AppScan Standard
AppScan Source
For Analysis
For Automation
For Development and Remediation
Database (Oracle DB, solidDB)
Copyright © 2015 Unicorn Systems a.s. 7
![Page 8: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/8.jpg)
Architektura – komponenty
AppScan Standard
AppScan Source
AppScan Enterprise Server
Enterprise Console
Dynamic Analysis Scanner
Copyright © 2015 Unicorn Systems a.s. 8
![Page 9: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/9.jpg)
Architektura
Copyright © 2015 Unicorn Systems a.s. 9
Aplikační prostředí
Centrální automatizované scannery
Klientské scannery
Infrastrukturní servery
Rational LicenseKey Server
AppScan Enterprise
ASE DAS
ASE DB
Active Directory
AppScanStandard
AppScan Sourcefor Automation
AppScanSource for Analysis
Aplikační serverWeb server
Firewall
F5/Imperva
AdministratorAuditor
Reporter
AppScanSource for
Development
Internet
Úložiště skenů, mgmt., plánovač, konzole řízení rizik
Autentizace, licence, databáze
![Page 10: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/10.jpg)
Minimální workflow
Copyright © 2015 Unicorn Systems a.s. 10
Zdroj: IBM
![Page 11: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/11.jpg)
Základní workflow
Copyright © 2015 Unicorn Systems a.s. 11
Zdroj: IBM
![Page 12: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/12.jpg)
Workflow středního rozsahu
Copyright © 2015 Unicorn Systems a.s. 12
Zdroj: IBM
![Page 13: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/13.jpg)
Plnohodnotné workflow
Copyright © 2015 Unicorn Systems a.s. 13
Zdroj: IBM
![Page 14: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/14.jpg)
Rozšířené workflow
Copyright © 2015 Unicorn Systems a.s. 14
Zdroj: IBM
![Page 15: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/15.jpg)
Možnosti nasazení
Copyright © 2015 Unicorn Systems a.s. 15
Zdroj: IBM
![Page 16: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/16.jpg)
Případy užití
Identifikovat chyby v návrhu/implementaci v raných fázích vývoje
Úspora finančních prostředků při opravě zjištěných zranitelností
Audit kódu součástí vývojového procesu
Standardizované a automaticky opakované testy
Nástroj pro řízení rizik pro všechny webové aplikace
Pozitivní dopady na vývoj moderních mobilních aplikací
Úspora finančních nákladů za penetrační testy
Kontinuální sledování rizik s včasnou mitigací
Integrace
SW repozitáře, IDE, WAF, SIEM
Copyright © 2013 Unicorn Systems a.s. 16
![Page 17: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/17.jpg)
Nasazení AppScan Ent.
Dvě základní části
PoC
Vlastní nasazení
Kompletní realizace < 90 dní
Copyright © 2013 Unicorn Systems a.s. 17
![Page 18: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/18.jpg)
Kontakt
Copyright © 2015 Unicorn Systems a.s. 18
![Page 19: Automatizace penetračních testů v režii IBM AppScan EnterpriseIdentifikovat chyby v návrhu/implementaci v raných fázích vývoje Úspora finančních prostředků při opravě](https://reader033.vdocuments.mx/reader033/viewer/2022042313/5edfddc7ad6a402d666b28bb/html5/thumbnails/19.jpg)
Děkuji za pozornost
Jiří Kohout