|
어플리케이션 보안은 어플리케이션 개발 주기에서 핵심적인 요소이며, 가트너의 조사결과에 의하면 2008년도에 이르면 어플리케이션 보안은 가장 중요한 평가 항목이고 시스템 성능과 비교될 만큼 중요성이 높아지게 될 것입니다. 소프트웨어 개발 주기 안에 보안적인 요소를 통합하고자 하는 기업은 발표하는 소프트웨어 또는 외부와 접하는 웹 어플리케이션에서 발견되는 치명적인 취약점 중 80%정도의 감소를 경험하게 될 것 입니다.
Automating Web Application Security Management
- 안전성 테스트의 자동화, 적용 이전에 안전성 보증 테스트
- 분야 최초, 선도적인 웹 어플리케이션 보안 테스트 도구
- 포괄적인 수정업무를 제공하는 유일한 도구
- 뛰어난 스캔성능, Zero-Day 취약점 업데이트, 설정 마법사 및 상세 리포트 시스템
- 생산성 향상, 보안 규약의 용이성, 웹 인프라 보호
Application Testing Throrughout the Development Lifecycle
- 개발주기에 따른 웹 어플리케이션 보안과 규정을 준수 가능
- 가트너 그룹과 IDC - 전세계 최고의 시장점유제품
- 모든 종류의 웹 어플리케이션에 대한 보안 검사
- 취약점들과 규정관련 보고에 대한 지속적인 감사
- 모든 관련 사용자를 위한 해결책 제공
- 개발도구, QA도구와의 완전한 통합
- 개발 과정에 대한 간소화된 보안 검사를 통한 신뢰성 유지
- 기반시설 내에서 웹 어플리케이션을 점검하고, 보안 문제를 검사
- 적용 가능한 보고서와 수정 권고안을 제공
AppScan Overview
* 가장 광범위한 어플리케이션 점검 영역
 웹 어플리케이션에서 보안 취약점을 찾도록 자동화된점검
업계에서 가장 빠르고 가장 포괄적인 특허 받은 점검 엔진
복잡한 로그인 폼과 다른 기술에 대한 점검
- 자바스크립트, 플래시
통합된 웹 서비스 점검: 어플리케이션 간의 상호작용을 모의로 구성, 점검 수행
* 보안 취약점 식별
해커의 공격을 모의 구성하여 보안취약점 탐지
- XSS, HTTP Response Splitting, Parameter Tampering, Hidden Field Manipulation;
- Backdoors/Debug Option, Stealth Commanding, Forceful Browsing, Application, Buffer Overflow, Cookie Positioning;
- Third-Party Misconfiguration, HTTP Attacks, SQL injection, Suspicious Content, XML/SOAP Tests, Content Spoofing, LDAP Injection, XPath Injection, Session Fixation 등
OWASP(Open Web Application Security Project)의 10대 항목 및 SANS의 상위 20 취약점
* 업계에서 가장 광범위한 규제요구이행 해법
자동화된 규제/요구이행 관리 보고기능:
California Assembly Bill No. 1950, Children's Online Privacy Protection Act (COPPA);
Director of Central Intelligence DCID 6/3; electronic Fund and Transfer Act (EFTA);
Exchange and Securities Act; Federal Information Security Management Act (FISMA);
Gramm-Leach-Bliley (GLBA); Health Insurance Portability & Accountability Act (HIPAA);
MasterCard® Site Data Protection Program (MasterCard SDDP);
NERC CIPC Security Guidelines for the Electricity Sector;
Payment Card Industry (PCI) Standards; Privacy Act of 1974;
Sarbanes-Oxley; Title 21Code of Federal Regulations;
Visa® Cardholder Information Security Program (CISP)
PCI Data Security Standard, ISO 17799, ISO 27001 표준 등 34개의 규정이행 보고서
* 생산성 향상을 위한 수정권고안
어플리케이션의 모든 단계에 걸친 수정 권고 작업에 적용가능하고 우선순위를 제공할 수 있는 첫 번째이자 유일한 웹 어플리케이션 보안 검사 도구
문제점과 일반적인 수정 기술에 대한 지침을 제공하여 사용자 생산성을 개선
* 모의 침입 테스트 시도를 위한 진보된 검사 도구들
자동화되고 효과적인 새로운 경향의 진보된 검사 도구를 포함
Token Analyzer:웹 어플리케이션 세션 토큰을 위한 다양한 검사를 제공
Authentication Tester:적절하지 못한 사용자이름-패스워드 조합을 검출하는 brute-force-like 검사도구
* 유용성 및 생산성을 위한 기능
User Interface
- 사용이 용이한 다양한 인터페이스
Report False Positive
- 오탐지에 대한 빠른 피드백 시스템
Remediation View
- 수정을 위한 포괄적인 리스트
Configuration Wizard
- 알아보기 쉽게 환경 설정 요소를 제공하는 스캔 마법사
Real-time View of Results
- 중요한 사항에 대해 즉각적인 대응
Enhanced View of Issues
- 분석 결과 화면에 대한 다양한 형식
Report Enhancements
- 보고서에 특별한 형식의 결과 포함
Screenshots in Report
- 보고서에 포함할 AppScan 자체 화면 캡쳐
Zero-Day Vulnerability Updates
- Zero-Day 보안업데이트
Case-sensitive Scanning Engine
- URL 대소문자 구분
Disable Concurrent Logins
- 동시다발 로그인 시도 방지
Logout Detection
- 정확한 스캔을 위한 정규식 설정
Improved "Out-of-session" Handling
- Out-of-Session 관리의 유용성
Watchfire® PowerTools™
- 테스트와 디버깅을 위한 자동화 효율성 제공
강력한 보고서 기능
- 보고 받을 사용자에 맞게 모든 내용과 형식을 맞춤형으로 제작 가능
- 간결한 URL 기반 레포트
- 산업 표준 보고서 : OWASP, SANS, WASC 표준을 포함한 34개 규정이행 보고서 작성
|
