Історії успішного впровадження IBM Rational AppScan як засіб забезпечення безпеки онлайн-додатків., Різне, Програмування, статті

NAV CANADA використовує переваги ПО IBM Rational AppScan для забезпечення безпеки своїх онлайн-додатків та їх відповідності законодавчим вимогам.


“ПО AppScan збільшило продуктивність праці нашого колективу. Воно дозволило нам автоматизувати дуже складні і трудомісткий види діяльності, а також допомогло значно підвищити наш рівень якості, безпеки та дотримання законодавчих вимог “, – заявив Андре Хіотіс (André Hiotis), відповідальний за технологічну безпеку, NAV CANADA.


Замовник:
NAV Canada


Галузь:
Управління


Країна розгортання:
Канада


Огляд характеристик програмного продукту


NAV CANADA використовує переваги ПО IBM Rational AppScan для забезпечення безпеки своїх онлайн-додатків та їх відповідності законодавчим вимогам.


Потреба бізнесу.
Щоб справлятися з виникаючими ризиками та підтримувати повну безпеку важливих для бізнесу потоків інформації між внутрішніми зацікавленими особами та замовниками з авіаліній, компанії NAV CANADA було необхідно застосувати новітню технологію забезпечення безпеки веб-додатків.


Рішення.
NAV CANADA використовує всебічне рішення, засноване на ПО IBM Rational AppScan. Воно автоматизує тестування функцій, пов’язаних з відповідністю законодавчим вимогам, в базових веб-додатках і зручно інтегрується в життєвий цикл розробки ПО.


Переваги.
Компанія NAV CANADA змогла підвищити безпеку своїх веб-додатків за допомогою кращих методик, наприклад регулярного сканування і тестування на наявність вразливостей протягом усього життєвого циклу розробки ПЗ. До того ж завдяки повсюдному впровадженню цього рішення підвищилася продуктивність праці працівників, відповідальних за розробку додатків, безпека та забезпечення якості.


Впровадження


NAV CANADA – канадський постачальник навігаційних послуг для цивільної авіації. Організація веде свою діяльність на всій території країни. Вона надає різні послуги: управління повітряним рухом, надання польотної інформації, метеопрогнозірованіе, надання аеронавігаційної інформації, консалтинг для аеропортів та електронну навігацію. Щоб підтримувати обслуговування в канадському небі на безпечному та ефективному рівні, NAV CANADA використовує широку інфраструктуру. Вона складається з 7 центрів управління, 42 диспетчерських вишок, 60 станцій служби забезпечення польотів, 7 польотних інформаційних центрів і понад 1000 одиниць наземного навігаційного обладнання по всій країні. NAV CANADA все ширше використовує технологію веб-порталів, щоб консолідувати велику інформацію, пов’язану з повітряним рухом, і надати її своїм замовникам і працівникам.


Навігація, що перевершує сучасні стандарти онлайн-безпеки
Щоб координувати обмін інформацією між внутрішніми групами і з зовнішніми замовниками, NAV CANADA впровадила інформаційну панель для своїх клієнтів, засновану на технологію веб-порталу. Ця панель об’єднує авіакомпанії, повітряних диспетчерів і адміністрацію аеропорту. Портал NAV CANADA містить кілька веб-додатків, які дозволяють організації виконувати різні важливі види діяльності.



Безпека роботи в Інтернеті для NAV CANADA стала ще більш важливою, ніж коли б то не було. Технологія Web 2.0 робить програми більш динамічними і дружніми для користувачів. Але вона робить програми і більш уразливими для небезпечного використання. “Через нових методів веб-атак, які постійно розвиваються і стають все більш складними, дуже важко контролювати програми без автоматизованого процесу “, – пояснює Андре Хіотіс (André Hiotis), відповідальний за технологічну безпеку, NAV CANADA.
Щоб справитися з цією наростаючою тенденцією і випередити потенційні загрози, група технологічної безпеки в NAV CANADA повинна була прийняти завчасні заходи, покликані забезпечити безпеку онлайн-додатків компанії. Крім того, організація потребувала способі забезпечення своїх зусиль по відповідності законодавчим вимогам, пов’язаних з додатками для фінансової звітності. Згідно законам про безпеку, ці програми повинні бути сертифіковані відповідальними співробітниками NAV CANADA.

Прокладання курсу до більш захищеним онлайн-додатків для бізнесу
Після досліджень та тестування продуктів для оцінки вразливостей в різних додатках (наприклад, мережевих додатках, базах даних і веб-додатках) група технологічної безпеки NAV CANADA визначила, що їй потрібне рішення, яке надає такі можливості.



До того ж компанії потрібна можливість інтеграції нового рішення для забезпечення безпеки з існуючим життєвим циклом розробки ПЗ, щоб його могли використовувати групи забезпечення безпеки, розробки та контролю якості.

Як сказав Хіотіс, після ретельної оцінки можливостей компанія вибрала рішення, засноване на технології AppScan. “Після аналізу конкуруючих продуктів для забезпечення безпеки веб-додатків ми з’ясували, що технологія AppScan найкращим чином задовольняє всім критеріям в нашому середовищі “, – говорить Хіотіс. В рамках процесу оцінки Хіотіс консультувався з фахівцем в цій галузі. В кінцевому підсумку він порахував основною перевагою рішення AppScan його зручність використання, оскільки це дозволило б розробникам тестувати програми без додаткових зусиль. До того ж персонал міг би використовувати додаткові можливості, щоб забезпечити безпеку і відповідність законодавчим вимогам.

Новий горизонт: підвищення продуктивності праці за допомогою автоматизації
Перед впровадженням ПО AppScan в компанії NAV CANADA дуже ретельно протестували функціональність його додатків. Оскільки дуже важливим було тестування безпеки і вразливості, це займало багато часу і зажадало багато ресурсів. Однак, за словами Хіотіса, нове рішення допомогло скоротити ці проблеми. “ПО AppScan збільшило продуктивність праці нашого колективу. Воно дозволило нам автоматизувати дуже складні і трудомісткий види діяльності, а також допомогло значно підвищити наш рівень якості, безпеки та дотримання законодавчих вимог “, – коментує Хіотіс.

Завдяки кращим методикам і високій швидкості впровадження попереду тепер – спокійне небо
Разом з ПЗ AppScan компанія NAV CANADA впровадила методику регулярного сканування веб-додатків на наявність вразливостей в системі безпеки. Сканування проводиться в процесі розробки, ще до впровадження додатків в “живі” експлуатовані системи.

До того ж група технологічної безпеки в NAV CANADA створила внутрішню службу тестування на базі можливостей AppScan. Розробники передають свої додатки в групу технологічної безпеки. Ця група, в свою чергу, проводить тестування і надає розробникам звіти, що вказують на рівень (високий, середній або низький) ризиків, а також рекомендації щодо усунення проблем. Оскільки це ПЗ дозволяє організувати швидкий цикл розробки, група безпеки рекомендує, щоб навіть найдрібніші зміни в додатку перед випуском проходили через процес тестування в AppScan.

Більш того, Хіотіс каже, що початок використання розробниками ПЗ AppScan було успішним. Він зауважив також, що вони почали запитувати свої власні копії ПЗ. “Зручність використання і чіткі рекомендації по виправленню частково стали причиною того, що розробники вирішили AppScan “, – говорить Хіотіс. -” Вони розуміють, що сканування в кінцевому підсумку полегшують їх роботу і забезпечують потрібний рівень якості. Завдяки цьому їм не потрібно буде через проблеми з безпекою витрачати години на внесення змін уже після того, як вони закінчили створювати додатки “.

Використані продукти і послуги


В даному впровадженні були використані наступні продукти та послуги IBM.


Програмне забезпечення.
Rational AppScan Standard Edition


ITWorx проводить стандартизацію на базі ПО IBM Rational AppScan Standard Edition, щоб створювати безпечні програми для замовників по всьому світу.


“Ми дуже задоволені рішенням AppScan і розглядаємо його використання не тільки як додаткову конкурентну перевагу, але також як ключову частину нашої пропозиції”. Доктор Тарек Набхан (Tarek Nabhan), менеджер по продукції, ITWorx.


Замовник:
ITWorx.


Галузь:
комп’ютерні послуги.


Країна розгортання:
Єгипет.


Огляд характеристик програмного продукту


ITWorx проводить стандартизацію на базі ПО IBM Rational AppScan Standard Edition, щоб створювати безпечні програми для замовників по всьому світу.


Потреба бізнесу.
Компанія ITWorx щорічно поставляла більше 300 додатків замовникам по всьому світу. Їй потрібна була впевненість в тому, що вироблені програми не містять уразливості системи безпеки, які потенційно можуть розкрити конфіденційні і закриті дані замовників.


Рішення.
Після ретельної оцінки цілого ряду продуктів для сканування системи безпеки веб-додатків, що існували на ринку, компанія ITWorx стала використовувати ПО IBM Rational ® AppScan ®. Воно використовується для автоматизації тестування безпеки сотень веб-додатків, які компанія розробляє і розгортає кожен рік.


Переваги.
ПО Rational AppScan дозволяє компанії ITWorx спростити тестування безпеки своїх додатків і автоматизувати деякі ручні завдання. Це підвищує продуктивність праці співробітників і якість додатків.


Впровадження


ITWorx – одна з найбільших компаній в Єгипті, що надають професійні послуги в області ПЗ. Вона пропонує компаніям із списку Global 2000 розробку рішень для бізнес-аналітики і порталів, а також послуги розробки сервісно-орієнтованої архітектури (service-oriented architecture, SOA) і аутсорсингу розробки додатків. ITWorx обслуговує фінансові компанії, освітні установи, телекомунікаційних операторів і незалежних виробників ПЗ в Північній Америці, Європі і на Близькому Сході.


Успіх компанії багато в чому визначається її здатністю створювати високоякісні рішення і глибоким розумінням ринкових тенденцій. Хоча ці тенденції змінюються від континенту до континенту, безпека додатків є універсальним вимогою. Щоб надавати своїм замовникам найкращі рішення, в ITWorx прийняли стратегічне рішення спочатку вбудувати безпеку в процеси розробки ПЗ. Це допоможе створювати продукти, які витримують постійно мінливі загрози безпеки.


Створення більше 300 додатків на рік
Аутсорсинг розробки додатків – включаючи веб-додатки – часто є логічним вибором для компаній, які хочуть заощадити час і гроші. Створюючи більше 300 додатків на рік, ITWorx дозволяє своїм замовникам зосередитися на своєму основному бізнесі і не відволікатися на розробку ПЗ. Але щоб захистити свою репутацію і залишатися конкурентоспроможною на глобальному ринку, компанії ITWorx потрібна впевненість в тому, що розроблені програми не містять уразливості системи безпеки, які потенційно можуть розкрити конфіденційні і закриті дані замовників. Враховуючи загальну кількість і різноманітність замовників, компанія ITWorx потребувала спрощення тестування безпеки додатків.

Після ретельної оцінки цілого ряду продуктів для сканування системи безпеки веб-додатків, що існували на ринку, компанія ITWorx вирішила впровадити ПО AppScan. Воно використовується для автоматизації тестування безпеки сотень веб-додатків, які компанія розробляє і розгортає кожен рік. Компанія вибрала AppScan через міцного лідерського положення цього ПЗ і його здатності автоматизувати багато завдань, які в ITWorx раніше виконувалися вручну. “Моє рішення обрати AppScan було засноване на багатьох факторах, – говорить доктор Тарек Набхан (Tarek Nabhan), менеджер по продукції, ITWorx. – Ми з’ясували, що AppScan виявляє більше вразливостей, ніж будь-який інший продукт, а його настроюються можливості були найбільш зручними у використанні для наших власних розробників і фахівців щодо забезпечення якості “.

Підвищена гнучкість призводить до зростання продуктивності праці
Раніше інженери в ITWorx втрачали дорогоцінні години робочого часу через негнучкості попереднього рішення для сканування. Однак ПО AppScan дозволяє фахівцям з ITWorx виконувати численні тести і сканування за їх власним графіком, і навіть зупиняти й запускати сканування в середині процесу. “Ми визнали AppScan самим гнучким із всіх продуктів на ринку”, – заявив доктор Набхан.

Функції створення звітів в AppScan можна настроювати. Їх можуть використовувати керівники, розробники, фахівці з контролю якості, системні адміністратори і інші професіонали ITWorx, що працюють в області безпеки. У число можливостей програми для створення звітів входять спрощені звіти на базі URL-адрес. Також підтримуються такі галузеві стандарти звітів, як Open Web Application Security Project (OWASP), SysAdmin, Audit, Network, Security (SANS) Institute Top 20 і Web Application Security Consortium (WASC). Крім того, за допомогою спеціального фільтра користувачі можуть вибирати між проблемами, пов’язаними з додатком, і проблемами, що відносяться до інфраструктури. Можна також обрати відразу обидва цих типу проблем.

На додаток до загальних можливостей для забезпечення безпеки AppScan пропонує компанії ITWorx широкий набір можливостей, пов’язаних із забезпеченням відповідності законодавчим вимогам. Сюди входять шаблони і звіти, які потрібні для вирішення проблем, пов’язаних з вимогами різних законів. Це закон Сарбейнса-Окслі, закон про захист особистих відомостей дітей в Інтернеті (COPPA), закон про зберігання і передачі електронних даних (EFTA), закон про біржі та цінних паперах, федеральний закон про управління безпекою інформації (FISMA), програма захисту даних на сайтах MasterCard (SDDP), закон про стандарти безпеки даних в галузі платіжних карт, Закон про недоторканність приватного життя від 1974 р. і програма інформаційної безпеки держателів карт Visa (CISP).

Спрощені процедури тестування
Незабаром після установки ПО AppScan в ITWorx змогли значно спростити свої процеси сканування системи безпеки. За допомогою широких можливостей вирішення для отримання звітів робочі групи змогли легко знаходити можливі уразливості і вирішувати проблеми на місці. Інженери компанії не повинні більше переглядати довгі звіти, які переповнені даними. ПО AppScan спрощує знаходження проблем розробниками. Вони можуть користуватися перевагами лаконічних результатів тестування, написаних простою мовою. Додаток також дає чіткі пояснення до коду, де є порушення, а також надає рекомендації по виправленню. До впровадження рішення AppScan всі програми потрібно було сканувати і аналізувати вручну. Тепер колективи фахівців із забезпечення якості в ITWorx можуть сканувати розроблені продукти в міру необхідності. Вони відчувають себе впевнено і покладаються на можливості звітів, з яких можна швидко почерпнути інформацію.

Через великий обсяг тестування, яке виконується в ITWorx, компанія користується підтримкою з боку підрозділу IBM Rational, яке допомагає впроваджувати кращі методики роботи. “З боку професіоналів з IBM нам виявляється велика підтримка. Відповідь завжди приходить швидко і містить точну інформацію, – каже доктор Набхан. – Ми дуже задоволені рішенням AppScan і розглядаємо його використання не тільки як додаткова конкурентна перевага, але також як ключову частину нашої пропозиції “.

Використані продукти і послуги


В даному впровадженні були використані наступні продукти та послуги IBM.


Програмне забезпечення.
IBM Rational AppScan Standard Edition


 


Agentrics проводить стандартизацію на базі ПО IBM Rational AppScan, щоб створювати безпечні програми для великих організацій роздрібної торгівлі.


“AppScan – це важлива і невід’ємна частина нашої спільної стратегії забезпечення безпеки”. Апурв Сингх (Apurv Singh), менеджер з інформаційної безпеки, Agentrics.


Замовник:
Agentrics.


Галузь:
роздрібна торгівля.


Країна розгортання:
Сполучені Штати.


Огляд характеристик програмного продукту


Agentrics служить довіреною представником для галузі роздрібної торгівлі і споживчих товарів. Ця компанія допомагає роздрібним продавцям, виробникам та їх торговельним партнерам оптимізувати спільні бізнес-процеси.


Потреба бізнесу.
Щоб підтримати свою надійну репутацію, компанії Agentrics було потрібно впровадити новітню технологію безпеки для захисту своїх веб-технологій і послуг.


Рішення.
Для автоматизації тестування безпеки своїх веб-додатків Agentrics ефективно використовує ПО IBM Rational ® AppScan ®.


Переваги.
Рішення AppScan стало частиною загальної стратегії безпеки та розробки в компанії Agentrics. Це привело до підвищення надійності та безпеки додатків для великих клієнтів компанії з галузі роздрібної торгівлі.


Впровадження


Agentrics служить довіреною представником для галузі роздрібної торгівлі і споживчих товарів. Ця компанія допомагає роздрібним продавцям, виробникам та їх торговельним партнерам оптимізувати спільні бізнес-процеси. Для досягнення хороших результатів у бізнесі її замовники покладаються на продукти Agentrics, унікальні практичні форуми і глибокий досвід роботи в галузі. За останні шість років компанія Agentrics заробила понад 5 млрд. дол на зниженні собівартості продукції для своїх замовників. Компанія спільно працює з ними над розробкою та ефективним використанням технологій і послуг Agentrics.


У бізнесі швидкість і безпека не завжди йдуть рука об руку. Часто одне по відношенню до іншого грає другорядну роль. Але компанія Agentrics досягла успіху в наданні економічних і безпечних веб-додатків для роздрібної торгівлі, які допомагають прискорити процеси в галузі.

Факти
Agentrics обслуговує 17 з 30 найбільших роздрібних продавців. Це велика клієнтська база, яка включає в себе кілька компаній, безпосередньо конкуруючих між собою. Agentrics надає їм свої рішення для спільної роботи в ланцюжках поставок, організації постачання та управління життєвим циклом продуктів. Оскільки ці рішення базуються на загальній центральній платформі, яку спільно використовують всі замовники компанії, необхідно добре захищати їх конфіденційну інформацію. Тому в Agentrics завжди зосереджувалися на наданні рішень, які реалізують найвищі стандарти безпеки. Насправді, компанія Agentrics була в авангарді кривої впровадження безпеки. У компанії спочатку розуміли, що найбільші загрози таяться на рівні веб-додатків, а не на мережевому рівні.

“У той час було багато інформації про те, як захистити мережеві системи. Але мало де пояснювалося, як захистити програму або написати безпечний код”, – говорить Апурв Сингх (Apurv Singh), менеджер з інформаційної безпеки. Agentrics. Сінгх і його команда поставили за мету краще зрозуміти аспекти безпеки веб-додатків, включаючи найбільш небезпечні і часто зустрічаються типи атак і виникають із них уразливості додатків. “Спочатку ми почали вручну перевіряти програми. Але переглянути мільйони рядків коду практично неможливо”, – пояснює Сінгх.

Прийняття правильного рішення
І Сингх знав відповідь. До того як його компанія придбала Agentrics, він використовував ПО AppScan для автоматизації аудиту веб-додатків. Але після злиття Сингх зіткнувся з можливістю використовувати інший продукт. Після аналізу обох продуктів, в Agentrics вирішили зупинитися на AppScan.

Маючи структурованої і багаторівневої стратегією безпеки, в Agentrics очікували, що розробники будуть створювати надійні програми і писати безпечний код. Але через те, що нові уразливості і загрози для веб-додатків виникають тижні, жоден код не може бути на 100% безпечним. Тому на всьому протязі життєвого циклу розробки компанія в значній мірі покладається на можливості ПО AppScan для забезпечення безпеки. “AppScan – це важлива і невід’ємна частина нашої спільної стратегії забезпечення безпеки”, – розповідає Сінгх. Забезпечення безпеки програми вимагає постійного контролю та роботи. Ще до початку розробки програми Agentrics починає з використання різних форм моделювання загроз. В процесі створення програми компанія підтримує обмін інформацією між розробниками та фахівцями з безпеки. Нові додатки скануються за допомогою ПЗ AppScan, а виявлені вразливості передаються назад у відділ розробки для виправлення.

Додаток AppScan забезпечено патентованим механізмом сканування, який допомагає знизити робоче навантаження на фахівців з безпеки. Це реалізується декількома способами. По-перше, рішення автоматизує процес тестування безпеки і сканує рівні коду, які було б неможливо переглянути вручну. Крім того, зрозумілі рекомендації з виправлення дозволяють розробникам швидко виявляти проблеми і виправляти порушене код.

Пожинания плодів
Але автоматизація – не єдина частина, яка робить ПО AppScan важливим інструментом для Agentrics. Компанія також ефективно використовує такі можливості, як тестування підвищення (ескалації) привілеїв. Один з найбільш руйнівних видів вторгнень – це коли хакер маніпулює кодом, щоб отримати доступ до зони веб-сайту, на якому він (або вона) не авторизований. AppScan забезпечує складне тестування, яке визначає подібні слабкі місця в коді програми, а потім надає прості та спеціалізовані способи виправлення цих проблем.

На додаток до своїх власних створюваним додатків, Agentrics використовує в роботі веб-додатки сторонніх виробників. Сингх ефективно використовує ПО AppScan для забезпечення безпеки і цих додатків теж. Він наполягає, щоб програми сторонніх виробників задовольняли тим же самим високим стандартам безпеки, які його колектив пред’являє до своїх власних створеним програмам. “У мене б не було такої міри впевненості в безпеці моїх програм, яка у мене є сьогодні, якби ми не використали AppScan. Це дуже важлива частина нашого процесу забезпечення безпеки”, – Зауважує Сінгх.

Використані продукти і послуги


В даному впровадженні були використані наступні продукти та послуги IBM.


Програмне забезпечення.
Rational AppScan Standard Edition


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*