Истории успешного внедрения IBM Rational AppScan как средство обеспечения безопасности онлайн-приложений.

Источник: По материалам IBM.com

NAV CANADA использует преимущества ПО IBM Rational AppScan для обеспечения безопасности своих онлайн-приложений и их соответствия законодательным требованиям.

"ПО AppScan увеличило производительность труда нашего коллектива. Оно позволило нам автоматизировать очень сложные и трудозатратные виды деятельности, а также помогло значительно повысить наш уровень качества, безопасности и соблюдения законодательных требований", - заявил Андре Хиотис (André Hiotis), ответственный за технологическую безопасность, NAV CANADA.

Заказчик:
NAV Canada

Отрасль:
Управление

Страна развертывания:
Канада

Обзор характеристик программного продукта

NAV CANADA использует преимущества ПО IBM Rational AppScan для обеспечения безопасности своих онлайн-приложений и их соответствия законодательным требованиям.

Потребность бизнеса.
Чтобы справляться с возникающими рисками и поддерживать полную безопасность важных для бизнеса потоков информации между внутренними заинтересованными лицами и заказчиками из авиалиний, компании NAV CANADA было необходимо применить новейшую технологию обеспечения безопасности веб-приложений.

Решение.
NAV CANADA использует всестороннее решение, основанное на ПО IBM Rational AppScan. Оно автоматизирует тестирование функций, связанных с соответствием законодательным требованиям, в базовых веб-приложениях и удобно интегрируется в жизненный цикл разработки ПО.

Преимущества.
Компания NAV CANADA смогла повысить безопасность своих веб-приложений с помощью лучших методик, например регулярного сканирования и тестирования на наличие уязвимостей на протяжении всего жизненного цикла разработки ПО. К тому же благодаря повсеместному внедрению этого решения повысилась производительность труда работников, ответственных за разработку приложений, безопасность и обеспечение качества.

Внедрение

NAV CANADA - канадский поставщик навигационных услуг для гражданской авиации. Организация ведет свою деятельность на всей территории страны. Она предоставляет различные услуги: управление воздушным движением, предоставление полетной информации, метеопрогнозирование, предоставление аэронавигационной информации, консалтинг для аэропортов и электронную навигацию. Чтобы поддерживать обслуживание в канадском небе на безопасном и эффективном уровне, NAV CANADA использует широкую инфраструктуру. Она состоит из 7 центров управления, 42 диспетчерских вышек, 60 станций службы обеспечения полетов, 7 полетных информационных центров и более 1000 единиц наземного навигационного оборудования по всей стране. NAV CANADA все шире использует технологию веб-порталов, чтобы консолидировать обширную информацию, связанную с воздушным движением, и предоставить ее своим заказчикам и работникам.

Навигация, превосходящая современные стандарты онлайн-безопасности
Чтобы координировать обмен информацией между внутренними группами и с внешними заказчиками, NAV CANADA внедрила информационную панель для своих клиентов, основанную на технологию веб-портала. Эта панель объединяет авиакомпании, воздушных диспетчеров и администрацию аэропорта. Портал NAV CANADA содержит несколько веб-приложений, которые позволяют организации выполнять различные важные виды деятельности.

  • Отслеживание наземной деятельности авиационных компаний в выбранных канадских аэропортах и анализ наземной деятельности по отдельному аэропорту.
  • Анализ плотности трафика, исходя из планов полетов, отчетов о размещении, графиков и метеоданных; отображение списков отслеживания, загрузка трасс и другой информации через Интернет.
  • Планирование ежедневной загрузки канадских аэропортов.
  • Управление потоком воздушного движения и получение отчетов.

Безопасность работы в Интернете для NAV CANADA стала еще более важной, чем когда бы то ни было. Технология Web 2.0 делает приложения более динамичными и дружественными для пользователей. Но она делает приложения и более уязвимыми для опасного использования. "Из-за новых методов веб-атак, которые постоянно развиваются и становятся все более сложными, очень трудно контролировать приложения без автоматизированного процесса", - поясняет Андре Хиотис (André Hiotis), ответственный за технологическую безопасность, NAV CANADA.
Чтобы справиться с этой нарастающей тенденцией и опередить потенциальные угрозы, группа технологической безопасности в NAV CANADA должна была принять заблаговременные меры, призванные обеспечить безопасность онлайн-приложений компании. Кроме того, организация нуждалась в способе обеспечения своих усилий по соответствию законодательным требованиям, связанных с приложениями для финансовой отчетности. Согласно законам о безопасности, эти приложения должны быть сертифицированы ответственными сотрудниками NAV CANADA.

Прокладывание курса к более защищенным онлайн-приложениям для бизнеса
После исследований и тестирования продуктов для оценки уязвимостей в различных приложениях (например, сетевых приложениях, базах данных и веб-приложениях) группа технологической безопасности NAV CANADA определила, что ей нужно решение, предоставляющее следующие возможности.

  • Всеобъемлющее обнаружение уязвимостей.
  • Широкие возможности для создания отчетов и исправления.
  • Широкие возможности анализа соответствия законодательным требованиям.
  • Поддержка протоколов и технологий веб-приложений.
  • Удобство использования.

К тому же компании требовалась возможность интеграции нового решения для обеспечения безопасности с существующим жизненным циклом разработки ПО, чтобы его могли использовать группы обеспечения безопасности, разработки и контроля качества.

Как сказал Хиотис, после тщательной оценки возможностей компания выбрала решение, основанное на технологии AppScan. "После анализа конкурирующих продуктов для обеспечения безопасности веб-приложений мы выяснили, что технология AppScan наилучшим образом удовлетворяет всем критериям в нашей среде", - говорит Хиотис. В рамках процесса оценки Хиотис консультировался со специалистом в этой области. В конечном итоге он посчитал основным преимуществом решения AppScan его удобство использования, поскольку это позволило бы разработчикам тестировать приложения без дополнительных усилий. К тому же персонал мог бы использовать дополнительные возможности, чтобы обеспечить безопасность и соответствие законодательным требованиям.

Новый горизонт: повышение производительности труда с помощью автоматизации
Перед внедрением ПО AppScan в компании NAV CANADA очень тщательно протестировали функциональность его приложений. Поскольку очень важным было тестирование безопасности и уязвимости, это занимало много времени и потребовало много ресурсов. Однако, по словам Хиотиса, новое решение помогло сократить эти проблемы. "ПО AppScan увеличило производительность труда нашего коллектива. Оно позволило нам автоматизировать очень сложные и трудозатратные виды деятельности, а также помогло значительно повысить наш уровень качества, безопасности и соблюдения законодательных требований", - комментирует Хиотис.

Благодаря лучшим методикам и высокой скорости внедрения впереди теперь - спокойное небо
Вместе с ПО AppScan компания NAV CANADA внедрила методику регулярного сканирования веб-приложений на наличие уязвимостей в системе безопасности. Сканирование проводится в процессе разработки, еще до внедрения приложений в "живые" эксплуатируемые системы.

К тому же группа технологической безопасности в NAV CANADA создала внутреннюю службу тестирования на базе возможностей AppScan. Разработчики передают свои приложения в группу технологической безопасности. Эта группа, в свою очередь, проводит тестирование и предоставляет разработчикам отчеты, указывающие на уровень (высокий, средний или низкий) рисков, а также рекомендации по устранению проблем. Поскольку это ПО позволяет организовать быстрый цикл разработки, группа безопасности рекомендует, чтобы даже мельчайшие изменения в приложении перед выпуском проходили через процесс тестирования в AppScan.

Более того, Хиотис говорит, что начало использования разработчиками ПО AppScan было успешным. Он заметил также, что они начали запрашивать свои собственные копии ПО. "Удобство использования и четкие рекомендации по исправлению частично стали причиной того, что разработчики приняли решение AppScan", - говорит Хиотис. - "Они понимают, что сканирования в конечном итоге облегчают их работу и обеспечивают нужный уровень качества. Благодаря этому им не нужно будет из-за проблем с безопасностью тратить часы на внесение изменений уже после того, как они закончили создавать приложения".

Использованные продукты и услуги

В данном внедрении были использованы следующие продукты и услуги IBM.

Программное обеспечение.
Rational AppScan Standard Edition

ITWorx проводит стандартизацию на базе ПО IBM Rational AppScan Standard Edition, чтобы создавать безопасные приложения для заказчиков по всему миру.

"Мы очень довольны решением AppScan и рассматриваем его использование не только как дополнительное конкурентное преимущество, но также как ключевую часть нашего предложения". Доктор Тарек Набхан (Tarek Nabhan), менеджер по продукции, ITWorx.

Заказчик:
ITWorx.

Отрасль:
компьютерные услуги.

Страна развертывания:
Египет.

Обзор характеристик программного продукта

ITWorx проводит стандартизацию на базе ПО IBM Rational AppScan Standard Edition, чтобы создавать безопасные приложения для заказчиков по всему миру.

Потребность бизнеса.
Компания ITWorx ежегодно поставляла более 300 приложений заказчикам по всему миру. Ей нужна была уверенность в том, что производимые приложения не содержат уязвимости системы безопасности, которые потенциально могут раскрыть конфиденциальные и закрытые данные заказчиков.

Решение.
После тщательной оценки целого ряда продуктов для сканирования системы безопасности веб-приложений, существовавших на рынке, компания ITWorx стала использовать ПО IBM Rational® AppScan®. Оно используется для автоматизации тестирования безопасности сотен веб-приложений, которые компания разрабатывает и развертывает каждый год.

Преимущества.
ПО Rational AppScan позволяет компании ITWorx упростить тестирование безопасности своих приложений и автоматизировать некоторые ручные задачи. Это повышает производительность труда сотрудников и качество приложений.

Внедрение

ITWorx - одна из крупнейших компаний в Египте, предоставляющих профессиональные услуги в области ПО. Она предлагает компаниям из списка Global 2000 разработку решений для бизнес-аналитики и порталов, а также услуги разработки сервисно-ориентированной архитектуры (service-oriented architecture, SOA) и аутсорсинга разработки приложений. ITWorx обслуживает финансовые компании, образовательные учреждения, телекоммуникационных операторов и независимых производителей ПО в Северной Америке, Европе и на Ближнем Востоке.

Успех компании во многом определяется ее способностью создавать высококачественные решения и глубоким пониманием рыночных тенденций. Хотя эти тенденции меняются от континента к континенту, безопасность приложений является универсальным требованием. Чтобы предоставлять своим заказчикам наилучшие решения, в ITWorx приняли стратегическое решение изначально встроить безопасность в процессы разработки ПО. Это поможет создавать продукты, которые выдерживают постоянно меняющиеся угрозы безопасности.

Создание более 300 приложений в год
Аутсорсинг разработки приложений - включая веб-приложения - часто является логичным выбором для компаний, которые хотят сэкономить время и деньги. Создавая более 300 приложений в год, ITWorx позволяет своим заказчикам сосредоточиться на своем основном бизнесе и не отвлекаться на разработку ПО. Но чтобы защитить свою репутацию и оставаться конкурентоспособной на глобальном рынке, компании ITWorx нужна уверенность в том, что разработанные приложения не содержат уязвимости системы безопасности, которые потенциально могут раскрыть конфиденциальные и закрытые данные заказчиков. Учитывая общее количество и разнообразие заказчиков, компания ITWorx нуждалась в упрощении тестирования безопасности приложений.

После тщательной оценки целого ряда продуктов для сканирования системы безопасности веб-приложений, существовавших на рынке, компания ITWorx решила внедрить ПО AppScan. Оно используется для автоматизации тестирования безопасности сотен веб-приложений, которые компания разрабатывает и развертывает каждый год. Компания выбрала AppScan из-за прочного лидерского положения этого ПО и его способности автоматизировать многие задачи, которые в ITWorx ранее выполнялись вручную."Мое решение выбрать AppScan было основано на многих факторах, - говорит доктор Тарек Набхан (Tarek Nabhan), менеджер по продукции, ITWorx. - Мы выяснили, что AppScan обнаруживает больше уязвимостей, чем любой другой продукт, а его настраиваемые возможности были самыми удобными в использовании для наших собственных разработчиков и специалистов по обеспечению качества".

Повышенная гибкость приводит к росту производительности труда
Раньше инженеры в ITWorx теряли драгоценные часы рабочего времени из-за негибкости предыдущего решения для сканирования. Однако ПО AppScan позволяет специалистам из ITWorx выполнять многочисленные тесты и сканирования по их собственному графику, и даже останавливать и запускать сканирование в середине процесса. "Мы сочли AppScan самым гибким из всех продуктов на рынке", - заявил доктор Набхан.

Функции создания отчетов в AppScan можно настраивать. Их могут использовать руководители, разработчики, специалисты по контролю качества, системные администраторы и другие профессионалы ITWorx, работающие в области безопасности. В число возможностей приложения для создания отчетов входят упрощенные отчеты на базе URL-адресов. Также поддерживаются такие отраслевые стандарты отчетов, как Open Web Application Security Project (OWASP), SysAdmin, Audit, Network, Security (SANS) Institute Top 20 и Web Application Security Consortium (WASC). Кроме того, с помощью специального фильтра пользователи могут выбирать между проблемами, связанными с приложением, и проблемами, относящимися к инфраструктуре. Можно также выбрать сразу оба этих типа проблем.

В дополнение к общим возможностям для обеспечения безопасности AppScan предлагает компании ITWorx широкий набор возможностей, связанных с обеспечением соответствия законодательным требованиям. Сюда входят шаблоны и отчеты, которые нужны для решения проблем, связанных с требованиями различных законов. Это закон Сарбейнса-Оксли, закон о защите личных сведений детей в Интернете (COPPA), закон о хранении и передаче электронных данных (EFTA), закон о биржах и ценных бумагах, федеральный закон об управлении безопасностью информации (FISMA), программа защиты данных на сайтах MasterCard (SDDP), закон о стандартах безопасности данных в отрасли платежных карт, Закон о неприкосновенности частной жизни от 1974 г. и программа информационной безопасности держателей карт Visa (CISP).

Упрощенные процедуры тестирования
Вскоре после установки ПО AppScan в ITWorx смогли значительно упростить свои процессы сканирования системы безопасности. С помощью широких возможностей решения для получения отчетов рабочие группы смогли легко находить возможные уязвимости и решать проблемы на месте. Инженеры компании не должны больше просматривать длинные отчеты, которые переполнены данными. ПО AppScan упрощает нахождение проблем разработчиками. Они могут пользоваться преимуществами лаконичных результатов тестирования, написанных на простом языке. Приложение также дает четкие пояснения к коду, где есть нарушения, а также предоставляет рекомендации по исправлению. До внедрения решения AppScan все приложения нужно было сканировать и анализировать вручную. Теперь коллективы специалистов по обеспечению качества в ITWorx могут сканировать разработанные продукты по мере необходимости. Они чувствуют себя уверенно и полагаются на возможности отчетов, из которых можно быстро почерпнуть информацию.

Из-за большого объема тестирования, которое выполняется в ITWorx, компания пользуется поддержкой со стороны подразделения IBM Rational, которое помогает внедрять лучшие методики работы. "Со стороны профессионалов из IBM нам оказывается большая поддержка. Ответ всегда приходит быстро и содержит точную информацию, - говорит доктор Набхан. - Мы очень довольны решением AppScan и рассматриваем его использование не только как дополнительное конкурентное преимущество, но также как ключевую часть нашего предложения".

Использованные продукты и услуги

В данном внедрении были использованы следующие продукты и услуги IBM.

Программное обеспечение.
IBM Rational AppScan Standard Edition

 

Agentrics проводит стандартизацию на базе ПО IBM Rational AppScan, чтобы создавать безопасные приложения для крупных организаций розничной торговли.

"AppScan - это важная и неотъемлемая часть нашей общей стратегии обеспечения безопасности". Апурв Сингх (Apurv Singh), менеджер по информационной безопасности, Agentrics.

Заказчик:
Agentrics.

Отрасль:
розничная торговля.

Страна развертывания:
Соединенные Штаты.

Обзор характеристик программного продукта

Agentrics служит доверенным представителем для отрасли розничной торговли и потребительских товаров. Эта компания помогает розничным продавцам, производителям и их торговым партнерам оптимизировать совместные бизнес-процессы.

Потребность бизнеса.
Чтобы поддержать свою надежную репутацию, компании Agentrics было нужно внедрить новейшую технологию безопасности для защиты своих веб-технологий и услуг.

Решение.
Для автоматизации тестирования безопасности своих веб-приложений Agentrics эффективно использует ПО IBM Rational® AppScan®.

Преимущества.
Решение AppScan стало частью общей стратегии безопасности и разработки в компании Agentrics. Это привело к повышению надежности и безопасности приложений для крупных клиентов компании из отрасли розничной торговли.

Внедрение

Agentrics служит доверенным представителем для отрасли розничной торговли и потребительских товаров. Эта компания помогает розничным продавцам, производителям и их торговым партнерам оптимизировать совместные бизнес-процессы. Для достижения хороших результатов в бизнесе ее заказчики полагаются на продукты Agentrics, уникальные практические форумы и глубокий опыт работы в отрасли. За последние шесть лет компания Agentrics заработала более 5 млрд. долл. на снижении себестоимости продукции для своих заказчиков. Компания совместно работает с ними над разработкой и эффективным использованием технологий и услуг Agentrics.

В бизнесе скорость и безопасность не всегда идут рука об руку. Часто одно по отношению к другому играет второстепенную роль. Но компания Agentrics преуспела в предоставлении экономичных и безопасных веб-приложений для розничной торговли, которые помогают ускорить процессы в отрасли.

Факты
Agentrics обслуживает 17 из 30 крупнейших розничных продавцов. Это крупная клиентская база, которая включает в себя несколько компаний, напрямую конкурирующих между собой. Agentrics предоставляет им свои решения для совместной работы в цепочках поставок, организации снабжения и управления жизненным циклом продуктов. Поскольку эти решения базируются на общей центральной платформе, которую совместно используют все заказчики компании, необходимо хорошо защищать их конфиденциальную информацию. Поэтому в Agentrics всегда сосредотачивались на предоставлении решений, которые реализуют высочайшие стандарты безопасности. На самом деле, компания Agentrics была в авангарде кривой внедрения безопасности. В компании изначально понимали, что наибольшие угрозы таятся на уровне веб-приложений, а не на сетевом уровне.

"В то время было много информации о том, как защитить сетевые системы. Но мало где объяснялось, как защитить приложение или написать безопасный код", - говорит Апурв Сингх (Apurv Singh), менеджер по информационной безопасности. Agentrics. Сингх и его команда поставили целью лучше понять аспекты безопасности веб-приложений, включая самые опасные и часто встречающиеся типы атак и возникающие из-за них уязвимости приложений. "Сначала мы начали вручную проверять приложения. Но просмотреть миллионы строк кода практически невозможно", - поясняет Сингх.

Принятие правильного решения
И Сингх знал ответ. До того как его компания приобрела Agentrics, он использовал ПО AppScan для автоматизации аудита веб-приложений. Но после слияния Сингх столкнулся с возможностью использовать другой продукт. После анализа обоих продуктов, в Agentrics решили остановиться на AppScan.

Располагая структурированной и многоуровневой стратегией безопасности, в Agentrics ожидали, что разработчики будут создавать надежные приложения и писать безопасный код. Но из-за того, что новые уязвимости и угрозы для веб-приложений возникают еженедельно, ни один код не может быть на 100% безопасным. Поэтому на всем протяжении жизненного цикла разработки компания в значительной степени полагается на возможности ПО AppScan для обеспечения безопасности. "AppScan - это важная и неотъемлемая часть нашей общей стратегии обеспечения безопасности", - рассказывает Сингх. Обеспечение безопасности приложения требует постоянного контроля и работы. Еще до начала разработки приложения Agentrics начинает с использования различных форм моделирования угроз. В процессе создания приложения компания поддерживает обмен информацией между разработчиками и специалистами по безопасности. Новые приложения сканируются с помощью ПО AppScan, а обнаруженные уязвимости передаются обратно в отдел разработки для исправления.

Приложение AppScan снабжено патентованным механизмом сканирования, который помогает снизить рабочую нагрузку на специалистов по безопасности. Это реализуется несколькими способами. Во-первых, решение автоматизирует процесс тестирования безопасности и сканирует уровни кода, которые было бы невозможно просмотреть вручную. Кроме того, понятные рекомендации по исправлению позволяют разработчикам быстро выявлять проблемы и исправлять затронутый код.

Пожинание плодов
Но автоматизация - не единственная часть, которая делает ПО AppScan важным инструментом для Agentrics. Компания также эффективно использует такие возможности, как тестирование повышения (эскалации) привилегий. Один из самых разрушительных видов вторжений - это когда хакер манипулирует кодом, чтобы получить доступ к зоне веб-сайта, на котором он (или она) не авторизован. AppScan обеспечивает сложное тестирование, которое определяет подобные слабые места в коде приложения, а затем предоставляет простые и специализированные способы исправления этих проблем.

В дополнение к своим собственным создаваемым приложениям, Agentrics использует в работе веб-приложения сторонних производителей. Сингх эффективно использует ПО AppScan для обеспечения безопасности и этих приложений тоже. Он настаивает, чтобы приложения сторонних производителей удовлетворяли тем же самым высоким стандартам безопасности, которые его коллектив предъявляет к своим собственным созданным приложениям. "У меня бы не было такой степени уверенности в безопасности моих приложений, которая у меня есть сегодня, если бы мы не использовали AppScan. Это очень важная часть нашего процесса обеспечения безопасности", - замечает Сингх.

Использованные продукты и услуги

В данном внедрении были использованы следующие продукты и услуги IBM.

Программное обеспечение.
Rational AppScan Standard Edition


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=18290