امروزه، سازمانها به منظور افزایش سطح خدمات و تسریع در روند تجاری خود، سعی بر آن دارند تا از آخرین تکنولوژیهای مدرن در حوزههای شبکه و اینترنت استفاده نمایند. این امر از سویی موجب جذب بیشتر مشتریان شده و از سوی دیگر دروازهای را برای حملات روز افزون کاربران متخلف، هکرها و نرمافزارهای مخرب گشوده است. در نتیجه سازمانها با چالشهایی همچون افزایش تهدیدات امنیتی از داخل و خارج سازمان و نیز سازگاری بیشتر با قواعد نظامهای امنیتی استاندارد و جهانی مواجه هستند. آمارهای بیسابقه از تهدیدها در سالهای اخیر، مسئولیت مهمی را بر دوش IT و مدیران امنیتی سیستمها قرار داده است تا بتوانند ذخیرهسازی، مدیریت و امنیت دادهها را تضمین نمایند.
نیاز سازمانها در حوزه امنیت
افزایش روزافزون مجرمان سایبری و تلاش آنها در سرقت اطلاعات مهم تجاری و سازمانی، تجدیدنظر بسیاری سازمانها را در قبال زیرساخت قدیمی امنیتی خود، برانگیخته است. از سویی مدیران IT سازمانها، میبایست قادر به پیادهسازی و مدیریت انواع دستگاههای زیرساختی، سیستمها و اپلیکیشنها و نیز تمامی log های تولید شده از آنها باشند و از سوی دیگر تحلیلگران امنیتی سازمانها نیز باید ارتباط میان این رویدادها را درک نموده و بر تمامی پیچیدگی آنها فائق آیند تا بتوانند از حملات هکرها و سرقت دادههای حساس خود جلوگیری نمایند.
قابلیتهای یک راهحل موفق
مدیریت و کنترل تکنولوژیهای نوین
جمعآوری رویدادها و فعالیتها از تمامی دستگاهها، سیستمها و اپلیکیشنهای موجود در سازمان
مجتمعسازی و تحلیل دادهها به منظور شناسایی حملات به صورت بلادرنگ
درک ارتباطات میان رویدادهای به ظاهر نامرتبط از دیدگاه امنیت
تحلیل الگوهای حملات از طریق آنالیز رفتار کاربران و همچنین قابلیت تنظیم هشدارها به منظور جلوگیری از حملات IT با رویکرد بازدارندگی
ارائه گزارشات لازم برای گذراندن موفق audit ها
کاهش هزینهها و تسهیل در انجام فعالیتهای فوق
شرکت پیشگامان کیپاد، رویکرد جدیدی را به سازمانها پیشنهاد میدهد که بهجای بهرهگیری از سرویسهای دورهای تست نفوذ و شناسایی آسیبپذیریها، از ابزارهایی استفاده نماید که اولاً به صورت Real-time و ثانیاً به تعداد نامحدود به تست و محافظت از اپلیکیشنهای خود (صرف نظر از نحوه تهیه، نوع زبان و محل جغرافیایی آنها) بپردازد. همچنین این ابزارها در اختیار سازمان قرار گرفته و تیم امنیتی سازمان بهراحتی قادرند از طریق آنها نسبت به تست و گزارشگیری امنیتی از نرمافزارها و اپلیکیشنهای خود، در هر زمانی اقدام نمایند. نکته بسیار مهم در این محصولات، پیروی از رویکرد بازدارندگی از مشکلات امنیتی است.
از آنجایی که امروزه فرآیندهای کاری با مأموریتهای مهم تجاری و نیز ارتباط با مشتریان، اکثراً در سطح وب انجام میشود، مقوله امنیت مؤثر اپلیکیشنهای سازمان، اهمیت ویژهای برای آنها پیدا کرده است. از بخش IT یک سازمان انتظار میرود که اپلیکشنهای جدید وب را با سرعت بسیار زیادی توسعه دهد و این در حالی است که این کار منجر به افزایش تهدیدهای امنیتی میشود.
افزایش اولویت تست امنیت، فقط قدم اول است. دپارتمان IT هر سازمان، علاوه بر اتخاذ رویکردی نوین در تست امنیت اپلیکیشها، میبایست از رویکردی بازدارنده نیز پیروی کند که در کل چرخه حیات اپلیکیشن و در سرتاسر سازمان گسترش یافته و بتواند قدرت تستهای پویا و ایستا را با یکدیگر ترکیب نماید. امروزه در هر یک از صنایع، متخصصین امنیت با تعداد قابل توجهی از اپلیکیشنها، آسیبپذیریها و تیمهای کاری از سرتاسر جهان، در تعامل میباشند. آنها اپلیکیشنهای مهم را شناسایی نموده و گزارشات فرآیند ارزیابی خود را در سرتاسر سازمان و تمامی کسانی که در مراحل چرخه حیات اپلیکیشن حضور دارند اعم از توسعهدهندگان، تیمهای تضمین کیفیت، دیگر متخصصین امنیت و حتی مدیران تجاری که مالک اپلیکیشنها هستند، اعمال نمایند.
کمپانی HP در چند سال اخیر اقدام به خرید کمپانیهای امنیتی شاخصی همچون Fortify ،ArcSight و TippingPoint نموده و از این بابت بزرگترین تیم تحقیقاتی حوزه امنیت را در جهان تشکیل داده است. این مزیت در جهان منحصربهفرد بوده زیرا تمامی محصولات امنیتی HP ، مستقیماً با این گروه در ارتباط بوده و پایگاه دانش آنها با آخرین تکنولوژیهای دفاعی و روشهای امنیتی از یک سو و در سوی دیگر با مدرنترین روشهای تست و نفوذ به اپلیکیشنها بروز میگردد. بنابراین با این محصولات، سازمان متقاضی، اطمینان مییابد که اپلیکیشنهایش کاملاً تست شده و ایمن هستند. لازم به ذکر است که تمامی این محصولات در گزارشهای مختلف گارتنر در حوزه تستهای امنیتی ایستا و پویا در درجه اول یا دوم میباشند.
نرمافزار HP WebInspect ، پیچیدگی تکنولوژی Web 2.0 را مدنظر قرار داده و نقاط آسیبپذیر امنیتی که توسط اسکنرهای سنتی قابل شناسایی نمیباشند را شناسایی میکند. این نرمافزار به سادگی پیچیدهترین فناوریهای وب اپلیکیشن، همچون JavaScript، flash، AJAX و SOAP را مدیریت مینماید. استفاده از HP WebInspect به حدی آسان است که برای متخصصان امنیت و نیز تازهکاران در این زمینه، یکسان مینماید. این نرمافزار از نوآوریهای تست که توسط HP فراهم شده است استفاده میکند که حاصل آن تستهای امنیتی سریع، دقیق و اتوماتیک برای وباپلیکیشنها خواهد بود.این نرمافزار به افراد درون سازمان که با اپلیکیشنهای امنیتی تازه آشنا شدهاند یا به تازگی از آن برخوردار گردیدهاند این توانایی را میدهد تا دانش گسترده یک متخصص امنیت کاملاً آموزش دیده را به کمک خود بیاورند.
نرمافزار HP WebInspect، قدرتمندترین سیستم تست و گزارشدهی را در میان دیگر محصولات حوزه تست پویایی اپلیکیشنها دارا میباشد. همچنین ابزاری انعطافپذیر، مقیاسپذیر و سریع جهت مبادله نتایج قابل توجه حاصل از ارزیابیهای امنیتی اپلیکیشن میباشد. بنابر تحقیقات گارتنر، نرمافزارHP WebInspect در رتبه دوم پیشتازان حوزه نرمافزارهای DAST قراردارد.
نکته بسیار اقتصادی راهحل HP WebInspect در این است که تیم امنیتی سازمان به صورت نامحدود میتوانند از این نرمافزار برای تست وباپلیکیشنهای خود استفاده نمایند. زیرا این نرمافزار هیچگونه محدودیتی در تعداد وباپلیکیشنهای تحت تست و یا حتی محل جغرافیایی، نوع زبان برنامهنویسی و نحوه تولید آنها ندارد. درنتیجه تیم امنیتی سازمان، قادر به اجرای بینهایت تست امنیتی و در هر زمان دلخواهی خواهند بود. همچنین توسط این نرمافزار نه تنها میتوان وباپلیکیشنهای عملیاتی سازمان را تست نمود، بلکه اپلیکیشنهایی را که سازمان به صورت برونسپاری تهیه نموده است را نیز میتوان پیش از انتقال به محیط عملیاتی تست نموده و نقایص امنیتی آن را یافت.
فناوری ارزیابی مبتکرانه
قابلیتها و کاربردهای آسان
گزارشگیری از وضعیت اپلیکیشنها و نیازهای Regulatory Compliance
یکپارچگی با دیگر نرمافزارها
ابزارهای پیشرفته برای تست نفوذ (HP Security Toolkit)
Server and general HTTP | Data injection and manipulation attacks |
Ajax Auditing | Reflected cross-site scripting (XSS) |
Flash Analysis | Persistent XSS |
SSL certificate issues | Cross-site request forgery |
SSL protocols supported | SQL injection |
SSL ciphers supported | Blind SQL injection |
Server misconfiguration | Buffer overflows |
Denial of service | Log injection |
Integer overflows | Directory indexing and enumeration |
HTTP response splitting | Remote File Include (RFI) injection |
Windows 8.3 file name | Server Side Include (SSI) injection |
DOS device handle DoS | Operating system command injection |
Canonicalization attacks | Local File Include (LFI) |
URL redirection attacks | Parameter Redirection |
Password auto-complete | Auditing of Redirect Chains |
Cookie security | Sessions and authentication |
Custom fuzzing | Session strength |
Path manipulation—traversal | Authentication attacks |
Path truncation | Insufficient authentication |
WebDAV auditing | Insufficient session expiration |
Web services auditing | |
File enumeration | |
Information disclosure | |
Directory and path traversal | |
Spam gateway detection | |
Brute force authentication attacks | |
Known application and platform vulnerabilities | |