امروزه، سازمان‌ها به منظور افزایش سطح خدمات و تسریع در روند تجاری خود، سعی بر آن دارند تا از آخرین تکنولوژی‌های مدرن در حوزه‌های شبکه و اینترنت استفاده نمایند. این امر از سویی موجب جذب بیشتر مشتریان شده و از سوی دیگر دروازه‌ای را برای حملات روز افزون کاربران متخلف، هکرها و نرم‌افزارهای مخرب گشوده است. در نتیجه سازمان‌ها با چالش‌هایی هم‌چون افزایش تهدیدات امنیتی از داخل و خارج سازمان و نیز سازگاری بیشتر با قواعد نظام‌های امنیتی استاندارد و جهانی مواجه هستند. آمارهای  بی‌سابقه از تهدیدها در سال‌های اخیر، مسئولیت مهمی را بر دوش IT و مدیران امنیتی سیستم‌ها قرار داده است تا بتوانند ذخیره‌سازی، مدیریت و امنیت داده‌ها را تضمین نمایند.

نیاز سازمان‌ها در حوزه امنیت
افزایش روزافزون مجرمان سایبری و تلاش آن‌ها در سرقت اطلاعات مهم تجاری و سازمانی، تجدیدنظر بسیاری سازمان‌ها را در قبال زیرساخت قدیمی امنیتی خود، برانگیخته است. از سویی مدیران IT سازمان‌ها، می‌بایست قادر به پیاده‌سازی و مدیریت انواع دستگاه‌های زیرساختی، سیستم‌ها و اپلیکیشن‌ها و نیز تمامی log های تولید شده از آن‌ها باشند و از سوی دیگر تحلیلگران امنیتی سازمان‌ها نیز باید ارتباط میان این رویدادها را درک نموده و بر تمامی پیچیدگی آن‌ها فائق آیند تا بتوانند از حملات هکرها و سرقت داده‌های حساس خود جلوگیری نمایند.

قابلیت‌های یک راه‌حل موفق
  مدیریت و کنترل تکنولوژی‌های نوین
  جمع‌آوری رویدادها و فعالیت‌ها از تمامی دستگاه‌ها، سیستم‌ها و اپلیکیشن‌های موجود در سازمان
  مجتمع‌سازی و تحلیل داده‌ها به منظور شناسایی حملات به صورت بلادرنگ
  درک ارتباطات میان رویدادهای به ظاهر نامرتبط از دیدگاه امنیت
  تحلیل الگوهای حملات از طریق آنالیز رفتار کاربران و همچنین قابلیت تنظیم هشدارها به منظور جلوگیری از حملات IT با رویکرد بازدارندگی
  ارائه گزارشات لازم برای گذراندن موفق audit ها
  کاهش هزینه‌ها و تسهیل در انجام فعالیت‌های فوق

شرکت پیشگامان کی‌پاد، رویکرد جدیدی را به سازمان‌ها پیشنهاد می‌دهد که به‌جای بهره‌گیری از سرویس‌های دوره‌ای تست نفوذ و شناسایی آسیب‌پذیری‌ها، از ابزارهایی استفاده نماید که اولاً به صورت Real-time و ثانیاً به تعداد نامحدود به تست و محافظت از اپلیکیشن‌های خود (صرف نظر از نحوه تهیه، نوع زبان و محل جغرافیایی آن‌ها) بپردازد. همچنین این ابزارها در اختیار سازمان قرار گرفته و تیم امنیتی سازمان به‌راحتی قادرند از طریق آن‌ها نسبت به تست و گزارش‌گیری امنیتی از نرم‌افزارها و اپلیکیشن‌های خود، در هر زمانی اقدام نمایند. نکته بسیار مهم در این محصولات، پیروی از رویکرد بازدارندگی از مشکلات امنیتی است.

از آن‌جایی که امروزه فرآیندهای کاری با مأموریت‌های مهم تجاری و نیز ارتباط با مشتریان، اکثراً در سطح وب انجام می‌شود، مقوله امنیت مؤثر اپلیکیشن‌های سازمان، اهمیت ویژه‌ای برای آن‌ها پیدا کرده است. از بخش IT یک سازمان انتظار می‌رود که اپلیکشن‌های جدید وب را با سرعت بسیار زیادی توسعه دهد و این در حالی است که این کار منجر به افزایش تهدیدهای امنیتی می‌شود.
افزایش اولویت تست امنیت، فقط قدم اول است. دپارتمان IT هر سازمان، علاوه بر اتخاذ رویکردی نوین در تست امنیت اپلیکیش‌ها، میبایست از رویکردی بازدارنده نیز پیروی کند که در کل چرخه حیات اپلیکیشن و در سرتاسر سازمان گسترش یافته و بتواند قدرت تست‌های پویا و ایستا را با یکدیگر ترکیب نماید. امروزه در هر یک از صنایع، متخصصین امنیت با تعداد قابل توجهی از اپلیکیشن‌ها، آسیب‌پذیری‌ها و تیم‌های کاری از سرتاسر جهان، در تعامل می‌باشند. آن‌ها اپلیکیشن‌های مهم را شناسایی نموده و گزارشات فرآیند ارزیابی خود را در سرتاسر سازمان و تمامی کسانی که در مراحل چرخه حیات اپلیکیشن حضور دارند اعم از توسعه‌دهندگان، تیم‌های تضمین کیفیت، دیگر متخصصین امنیت و حتی مدیران تجاری که مالک اپلیکیشن‌ها هستند، اعمال نمایند.
کمپانی HP در چند سال اخیر اقدام به خرید کمپانی‌های امنیتی شاخصی همچون Fortify ،ArcSight و TippingPoint نموده و از این بابت بزرگترین تیم تحقیقاتی حوزه امنیت را در جهان تشکیل داده است. این مزیت در جهان منحصربه‌فرد بوده زیرا تمامی محصولات امنیتی HP ، مستقیماً با این گروه در ارتباط بوده و پایگاه دانش آن‌ها با آخرین تکنولوژی‌های دفاعی و روش‌های امنیتی از یک سو و در سوی دیگر با مدرنترین روش‌های تست و نفوذ به اپلیکیشن‌ها بروز می‌گردد. بنابراین با این محصولات، سازمان متقاضی، اطمینان می‌یابد که اپلیکیشن‌هایش کاملاً تست شده و ایمن هستند. لازم به ذکر است که تمامی این محصولات در گزارش‌های مختلف گارتنر در حوزه تست‌های امنیتی ایستا و پویا در درجه اول یا دوم می‌باشند.
نرم‌افزار HP WebInspect ، پیچیدگی تکنولوژی Web 2.0 را مدنظر قرار داده و نقاط آسیب‌پذیر امنیتی که توسط اسکنرهای سنتی قابل شناسایی نمی‌باشند را شناسایی می‌کند. این نرم‌افزار به سادگی پیچیده‌ترین فناوری‌های وب اپلیکیشن، همچون JavaScript، flash، AJAX و SOAP  را مدیریت می‌نماید. استفاده از HP WebInspect به حدی آسان است که برای متخصصان امنیت و نیز تازه‌کاران در این زمینه، یکسان می‌نماید. این نرم‌افزار از نوآوری‌های تست که توسط HP فراهم شده است استفاده می‌کند که حاصل آن تست‌های امنیتی سریع، دقیق و اتوماتیک برای وب‌اپلیکیشن‌ها خواهد بود.این نرم‌افزار به افراد درون سازمان که با اپلیکیشن‌های امنیتی تازه آشنا شده‌اند یا به تازگی از آن برخوردار گردیده‌اند این توانایی را می‌دهد تا دانش گسترده یک متخصص امنیت کاملاً آموزش دیده را به کمک خود بیاورند.
نرم‌افزار HP WebInspect، قدرتمندترین سیستم تست و گزارش‌دهی را در میان دیگر محصولات حوزه تست پویایی اپلیکیشن‌ها دارا می‌باشد. همچنین ابزاری انعطاف‌پذیر، مقیاس‌پذیر و سریع جهت مبادله نتایج قابل توجه حاصل از ارزیابی‌های امنیتی اپلیکیشن می‌باشد. بنابر تحقیقات گارتنر، نرم‌افزارHP WebInspect در رتبه دوم پیشتازان حوزه نرم‌افزارهای DAST قراردارد.
 


نکته بسیار اقتصادی راه‌حل  HP WebInspect در این است که تیم امنیتی سازمان به صورت نامحدود می‌توانند از این نرم‌افزار برای تست وب‌اپلیکیشن‌های خود استفاده نمایند. زیرا این نرم‌افزار هیچگونه محدودیتی در تعداد وب‌اپلیکیشن‌های تحت تست و یا حتی محل جغرافیایی، نوع زبان برنامه‌نویسی و نحوه تولید آن‌ها ندارد. درنتیجه تیم امنیتی سازمان، قادر به اجرای بی‌نهایت تست امنیتی و در هر زمان دلخواهی خواهند بود. همچنین توسط این نرم‌افزار نه تنها میتوان وب‌اپلیکیشن‌های عملیاتی سازمان را تست نمود، بلکه اپلیکیشن‌هایی را که سازمان به صورت برون‌سپاری تهیه نموده است را نیز می‌توان پیش از انتقال به محیط عملیاتی تست نموده و نقایص امنیتی آن را یافت.

  فناوری ارزیابی مبتکرانه

  • تحلیل ایستای اپلیکیشن‌هایی که از flash ، JavaScript و غیره در سمت کلاینت استفاده می‌کنند
  • تسریع در تولید اسکن همراه با نتایج دقیق‌تر با استفاده همزمان از تکنولوژی‌های کراول و ممیزی موجود در تحلیلگر کد منبع
  • قابلیت MacroRecording پیشرفته جهت کنترل انعطاف‌پذیری authentication و مدیریت Session
  • افزایش دقت کشف آسیب‌پذیری‌ها توسط Intelligent Engine (جهت شبیه‌سازی متدولوژی حملات هکرها)
  • کاهشِ NegativeFalse و گسترش پوشش‌دهی، با فناوری کراول که به شکل خاصی برای اپلیکیشن‌های پیچیده امروزی ساخته شده‌اند.
  • کاهشِ PositiveFalse با استفاده از موتورهای هوشمندی که به منظور تقلید روش هکرها طراحی شده‌اند.
  • افزایش توان عملیاتی تست با پشتیبانی از اجرای چند اسکن به شکل هم‌روند
  • وارد کردن یک URL، نام کاربری و رمز عبور برای شروع سریع یک اسکن ساده به منظور کسب نتایج فوری
  •  بهینه‌سازی پیکربندی اسکن با فناوری نوین profiler معماری اپلیکیشن (بیشینه نمودن کارایی و دقت)
  • استفاده از کراول اول‌عمق  برای وب‌سایت‌هایی که بررسی کلمات کلیدی و با واسطه کاربر را اعمال می‌کنند.
  • کشف و ممیزی خودکار وب‌سرویس‌های تعبیه شده در اپلیکیشن با ابزار WebService SecurityDesigner
  • پشتیبانی از Data Type های پیچیده جهت اجرای تست‌های اپلیکیشن‌های خاص و WSDL
  • انگشت‌نگاری  چارچوبِ وب با استفاده از فناوری SmartScan به منظور کاهش حملات غیرضروری

  قابلیت‌ها و کاربردهای آسان

  • ایجاد سریع یک اسکن معمولی یا regression از طریق یک wizard و یا شروع سریع با گزینه Scannow
  • مشاهده نتایج اسکن در عرض چند دقیقه پس از شروع ارزیابی
  • نمایش تمامی گام‌های یک تست به منظور مرور روند شناسایی یک حفره امنیتی
  • امکان تست مجدد آسیب‌پذیری‌ها از طریق اجرای مجدد گام‌های یک تست انجام شده
  • مرور و کنترل چند اسکن و گزارش از طریق یک واسط کاربری مناسب
  • ارائه گزارش مربوط به False Positive و دیگر بازخوردها، به صورت مستقیم و ایمن به HP (تنها با استفاده از چند کلیک)
  • ایجاد ماکروهایی برای ثبت مراحل تست و رویه‌های login و تست آن‌ها پیش از شروع اسکن
  • توسعه حملات خاص با سرعت و سادگی بیشتر از طریق Assessment Wizard های دلخواه
  • امکان تست مجدد آسیب‌پذیری‌های حل شده جهت کسب اطمینان از عدم بروز مجدد آن‌ها

  گزارش‌گیری از وضعیت اپلیکیشن‌ها و نیازهای Regulatory Compliance

  • ایجاد گزارش‌های انعطاف‌پذیر، قابل توسعه و مقیاس‌پذیری که با کسب‌وکار سازمان متناسب باشد
  • امکان مقایسه اسکن‌ها جهت مرور تفاوت‌های میان آسیب‌پذیری‌های کشف شده در تست‌های مختلف
  • امکان دسته‌بندی و فیلترنمودن نتایج حاصله از تست آسیب‌پذیری‌ها
  • تسهیل تولید گزارشات مکرر از طریق نمونه گزارش‌های آماده
  • تنظیم دلخواه فونت، رنگ و پس‌زمینه موردنظر باتوجه به سبک ویرایش، اینکار باعث می‌شود بتوانید گزارش‌های اسکن را با ظاهری حرفه‌ای و زیبا ارائه نمایید.
  • گزارش‌های مناسب برای خواننده به منظور تأکید بر مسائلی که بیش از همه برای وی اهمیت دارند.
  • اجرای گزارش‌های موردنیاز جهت سازگاری با استانداردهای امنیتی همچون PCI ،SOX  ،ISO و HIPAA با استفاده از داده‌های حاصل از اسکن
  • تحلیل جهت‌گیری‌های امنیتی و آمادگی اپلیکیشن

  یک‌پارچگی با دیگر نرم‌افزارها

  • یک‌پارچگی با فرآیندهای مدیریت معایب در سازمان و امکان ترکیب با HP Quality Center و IBMRationalClearQuest
  • یک‌پارچگی با فرایند مدیریت امنیت اپلیکیشن سازمان و امکان یکپارچگی با نرم‌افزار HPAMP
  • بهبود استفاده از XML جهت استخراج خروجی‌های کاربردی و ارسال آن‌ها به دیگر سیستم‌های مدیریت امنیت
  • گنجاندن اطلاعات از منابع داده‌ای خارجی در WebInspect از طریق ارتباطات ODBC ،SQL یا XML

  ابزارهای پیشرفته برای تست نفوذ  (HP Security Toolkit)

  • Report Designer: طراح گزارش به تیم امنیت سازمان، امکان ایجاد گزارش‌های جدید، تنظیم و سفارشی نمودن آن‌ها را به صورت دلخواه فراهم می‌آورد. هم‌چنین این ابزار توانایی ترکیب و ویرایش منابع داده‌های خارجی با یکدیگر و یا حتی در قالب موردنظر سازمان را داراست.
  • SQL injector: این ابزار، تمامی پایگاه‌داده‌ها را با استفاده از آسیب‌پذیری‌های SQLinjection، استخراج می‌کند.
  • Cookie cruncher: بیانگر ظرفیت کوکی بوده و قدرت کوکی‌ها را به منظور جلوگیری از سرقت نشست‌ها  تحلیل می‌کند.
  • Encoder: ترجمه استانداردهای رمزنگاری و انکدهای مختلف
  • HTTP editor: فراهم‌آوردن امکان ایجاد و ویرایش درخواست‌های خام HTTP
  • Regex editor: این ابزار امکان تست و ایجاد عبارات منظم  را فراهم می‌آورد.
  • Web Service Test Designer: ابزار تولید و ویرایش درخواست‌های خام سرویس‌های وب
  • Web Fuzzer: امکان شناسایی سرریزی بافر یا اصلاح متغیرهای ورودی با استفاده از HTTPFuzzing
  • Web Proxy: مشاهده تمامی درخواست‌ها و پاسخ‌های سرور در حین مرور کردن یک سایت
  • WebBrute: ابزار تست قدرت login فرم‌ها یا وب و همچنین سیستم‌های پروکسی احراز هویت
  • WebDiscovery: شناسایی و کشف پورت متصل به هر سرور یا وب‌اپلیکیشن
  • Server analyzer: ابزار تحلیلگر سرور و SSL به همراه قابلیت شناسایی دستگاه‌ها و وب سرورها
  • Traffic monitor: این ابزار، تمامی درخواست‌ها و پاسخ‌های HTTP ارسال شده در طی کراول و ممیزی را نظارت می‌نماید.

 

Server and general HTTP Data injection and manipulation attacks
  Ajax Auditing   Reflected cross-site scripting (XSS)
  Flash Analysis   Persistent XSS
  SSL certificate issues   Cross-site request forgery
  SSL protocols supported   SQL injection
  SSL ciphers supported   Blind SQL injection
  Server misconfiguration   Buffer overflows
  Denial of service   Log injection
  Integer overflows   Directory indexing and enumeration
  HTTP response splitting   Remote File Include (RFI) injection
  Windows 8.3 file name   Server Side Include (SSI) injection
  DOS device handle DoS   Operating system command injection
  Canonicalization attacks   Local File Include (LFI)
  URL redirection attacks   Parameter Redirection
  Password auto-complete   Auditing of Redirect Chains
  Cookie security Sessions and authentication
  Custom fuzzing   Session strength
  Path manipulation—traversal   Authentication attacks
  Path truncation   Insufficient authentication
  WebDAV auditing   Insufficient session expiration
  Web services auditing  
  File enumeration  
  Information disclosure  
  Directory and path traversal  
  Spam gateway detection  
  Brute force authentication attacks  
  Known application and platform vulnerabilities