Fortify. Proteggete il vostro portfolio applicativo

Transcript

1 Fortify 360 Proteggete il vostro portfolio applicativo Fortify L approccio di tipo olistico adottato da Fortify alla sicurezza delle applicazioni protegge concretamente la nostra impresa dalle odierne mutevoli minacce alla sicurezza. Craig Schumard, CISO, CIGNA

2 Software Security Assurance (SSA): rimozione del rischio dal software La nostra missione è di assistere i nostri clienti a garantire che il loro intero portfolio software (sia che sia stato sviluppato in-house, appaltato in outsourcing, acquistato presso fornitori o acquisito dalla comunità open source) sia sicuro. Gli attacchi al software sferrati da parte di hacker, criminali e insider possono causare interruzioni dell attività, danni d immagine, gravi perdite finanziarie e ripercussioni sulle persone. Gli obiettivi di questi attacchi sono le vulnerabilità che si celano all interno delle applicazioni software. Conseguenza delle pratiche di programmazione incuranti della sicurezza, queste vulnerabilità si sono accumulate nel software e sono in attesa di essere sfruttate. A peggiorare le cose, nuove vulnerabilità vengono continuamente introdotte nelle organizzazioni dagli stessi team di sviluppo software, nonché, attraverso gli appalti, da fornitori, aziende di outsourcing e progetti open-source. Allarmati dalla potenziale diffusione dei danni sia a livello sociale che commerciale, i governi e gli organismi di regolamentazione del settore hanno rafforzato le normative che riguardano le sicurezza delle applicazioni. Molte organizzazioni sono oggi tenute a neutralizzare il rischio creato dalle loro applicazioni e a dimostrare la loro conformità. Software Security Assurance (SSA) è un approccio sistematico mirato a eliminare i rischi di sicurezza contenuti nel software e a garantire la conformità con le normative del governo e del settore. Mentre il controllo qualità del software garantisce che il software funzioni nel modo richiesto, SSA garantisce che il software non possa essere utilizzato in modo tale da danneggiare l organizzazione. SSA affronta la sfida immediata di eliminare le vulnerabilità dalle applicazioni utilizzate, ma anche la sfida sistemica continua della produzione e dell approvvigionamento di software sicuro. Con una combinazione di prodotti e servizi da leader del mercato, Fortify ha assistito più di 500 organizzazioni di tutto il mondo a ottenere riduzioni misurabili del rischio mediante un programma SSA efficace. Fortify produce Fortify 360, la suite leader di prodotti per SSA. L organizzazione Global Services di Fortify offre consulenza e know-how sull implementazione di SSA, mentre il Security Research Group di Fortify assicura che le capacità SSA del cliente siano sufficienti a soddisfare la dinamica in continua evoluzione delle minacce. L unico grande passo che devono fare le aziende per ridurre il rischio da subito è quello di imporre miglioramenti al software e alle applicazioni progettati male e non sicuri. John Pescatore, Analista senior, Gartner

3 Fortify 360 La suite leader nel mercato delle soluzioni per il contenimento, la rimozione e la prevenzione delle vulnerabilità del software Fortify 360 fornisce le competenze cruciali in fatto di analisi, correzione e gestione necessarie per la corretta implementazione di un programma SSA di classe enterprise. Identificazione Identificazione completa delle cause fondamentali per oltre 400 categorie di vulnerabilità di sicurezza in 17 linguaggi di sviluppo Correzione Riunisce sicurezza, sviluppo e gestione per neutralizzare le vulnerabilità software esistenti Governance Effettua il monitoraggio delle prestazioni del programma SSA in tutta l organizzazione, impedendo l introduzione di nuove vulnerabilità da sviluppo interno, committenti e fornitori attraverso l automazione dei processi legati al Secure Development Lifecycle (SDL, ciclo di vita protetto dei processi) Difesa delle applicazioni Neutralizza velocemente le vulnerabilità esistenti in modo da non consentirne lo sfruttamento Conformità Permette di dimostrare in modo semplice la conformità alle normative governative e di settore, nonché ai criteri specifici dell azienda. Auditor CISO Sviluppatore Risk Officer 3

4 Identificazione e correzione delle vulnerabilità Massima riduzione del rischio già alla fonte Fortify 360 individua l origine delle vulnerabilità di sicurezza del software sia nel codice sorgente che nelle applicazioni in esecuzione, rilevando più di 400 tipi di vulnerabilità in 17 diversi linguaggi di sviluppo e in API a livello di componente. Le vulnerabilità possono essere analizzate durante la fase di sviluppo o di controllo qualità di un progetto, o anche dopo la messa in produzione dell applicazione, riducendo al minimo il rischio che un problema critico passi inosservato. Per garantire che i problemi più gravi vengano affrontati per primi, Fortify 360 correla e assegna varie priorità ai risultati, al fine di stilare un elenco accurato e ordinato in base al rischio legato alle problematiche riscontrate. Armonizzazione del know-how e correzione di una maggiore quantità di codice Fortify 360 offre una serie completa di funzionalità di collaborazione per una rapida valutazione dell urgenza e la risoluzione delle vulnerabilità individuate dai tre analizzatori. I responsabili della sicurezza delle applicazioni, gli sviluppatori e i loro manager possono collaborare nel modo a loro più congeniale utilizzando interfacce specifiche per ogni ruolo. Progettato appositamente per i responsabili della sicurezza delle applicazioni, Fortify 360 Audit Workbench fornisce gli strumenti con cui analizzare le singole vulnerabilità, delegarne la risoluzione e tenere traccia delle attività fino al loro completamento. Il modulo Collaboration di Fortify 360, Fortify 360 presenta risultati integrati forniti dagli analizzatori statici e dinamici basato su un interfaccia web, fornisce uno spazio di lavoro e un archivio condivisi che consentono ai responsabili della sicurezza delle applicazioni, agli sviluppatori ed ai manager di collaborare sulle revisioni del codice e sulle attività di risoluzione dei problemi. Gli sviluppatori hanno la possibilità di esaminare i problemi nel loro ambiente di sviluppo preferito, collaborando con il team di sicurezza mediante i plug-in per Eclipse e Microsoft Visual Studio. Con Fortify 360, gli sviluppatori acquisiscono informazioni sulle pratiche di programmazione sicura mentre al contempo risolvono le vulnerabilità. Per ogni vulnerabilità, Fortify 360 fornisce informazioni di riferimento per gli sviluppatori; tali informazioni descrivono il problema e le relative modalità di risoluzione nel linguaggio di programmazione specifico dello sviluppatore. Per l individuazione delle vulnerabilità presenti sia nel codice sorgente che nelle applicazioni in esecuzione, Fortify 360 dispone dei seguenti analizzatori statici e dinamici: Analyzer Tipo Descrizione Uso Source Code Analyzer (SCA) Analisi statica Il componente SCA di Fortify 360 esamina il codice sorgente di un applicazione alla ricerca di vulnerabilità sfruttabili. Utilizzati durante la fase di sviluppo per l individuazione delle vulnerabilità già nei primi stadi del ciclo di sviluppo, quando risulta meno costoso risolverle. Program Trace Analyzer (PTA) Analisi dinamica PTA individua le vulnerabilità che è possibile rilevare soltanto quando l applicazione è in esecuzione e permette di verificare e definire ulteriormente le priorità dei risultati ottenuti mediante l uso di SCA. Durante la fase del controllo qualità, per l individuazione delle vulnerabilità come parte del normale processo di verifica. Real-Time Analyzer (RTA) Analisi dinamica RTA effettua il monitoraggio delle applicazioni implementate, permettendo di identificare la modalità dell attacco a cui è sottoposta l applicazione, oltre alla provenienza e ai tempi dell attacco. Fornisce informazioni dettagliate sui componenti interni dell applicazione, che permettono di individuare le vulnerabilità che vengono sfruttate. Mentre l applicazione è in produzione, per la scoperta di nuove vulnerabilità sfruttabili o di vulnerabilità non rilevate durante la fase di sviluppo. 4

5 Fortify 360 SSA Governance Il modulo SSA Governance di Fortify 360 fornisce la visibilità e il controllo dei programmi SSA per l intera organizzazione SSA Governance Gestione della Software Security Assurance I programmi SSA aventi come perimetro intere organizzazioni presentano diverse sfide per il team di sicurezza. Con l aumentare del numero di progetti SSA, il team di sicurezza potrebbe riscontrare difficoltà nel soddisfare le esigenze del team di sviluppo, dei revisori e del management. La creazione e l implementazione di processi ripetibili, come Secure Development Lifecycle (SDL), sono un primo passo essenziale nel percorso che permette di avere la situazione sotto controllo. Tuttavia, senza efficaci automazione, implementazione e monitoraggio delle attività di sicurezza definite in un SDL, le organizzazioni potrebbero comunque trovarsi in una situazione onerosa da gestire. Per stare al passo dei programmi SSA multi-progetto è disponibile il modulo SSA Governance di Fortify 360. Esso fornisce un singolo system of record comprendente informazioni su progetti, attività e risultati relativi all intera iniziativa SSA dell organizzazione. Per i singoli progetti, il modulo SSA Governance fornisce un comodo portale web in cui è possibile registrare e comunicare gli artefatti e le attività di mitigazione del rischio. Per ogni progetto dell organizzazione, il modulo SSA Governance di Fortify 360 assegna automaticamente le attività corrette sulla base del profilo di rischio specifico del progetto. Il team di sicurezza è quindi in grado di tenere traccia delle attività del progetto e di ricevere avvisi in base al completamento o meno degli obiettivi intermedi. Grazie a queste funzionalità, il team di sicurezza può procedere verso un approccio alla SSA che prevede una gestione basata sulle eccezioni e che permette di rendere disponibile tempo prezioso da dedicare ad altre attività. Le funzionalità avanzate di reporting e visualizzazione forniscono strumenti con cui consolidare rapidamente i risultati di tutti i progetti, creare relazioni di elevata qualità e individuare le aree di possibile miglioramento. Per le organizzazioni che sono alla ricerca di un implementazione rapida di Secure Development Lifecycle, sono disponibili modelli e artefatti SDL basati sulle best practice individuate da Fortify. Questi modelli permettono di realizzare un SDL efficace che può essere implementato immediatamente. Ciò permette di eliminare gli investimenti in risorse e know-how necessari allo sviluppo di un SDL. Le applicazioni non sicure danneggiano le aziende L 80% delle imprese segnala una perdita di clienti a causa di violazioni dei dati. Le imprese rischiano di perdere più di mille miliardi a causa della perdita o del furto di dati e di altre forme di criminalità informatica. 5

6 Threat intelligence Application Defense Per anticipare le minacce in continua evoluzione I cyber-criminali cercano incessantemente nuovi modi di violare il software. Fornendo una serie di aggiornamenti regolari a Fortify 360, Fortify assicura che l investimento del cliente sia in grado di rispondere a queste nuove minacce. Questi aggiornamenti sono forniti dal Security Research Group di Fortify. Questo team interno di esperti di sicurezza è impegnato costantemente ad analizzare le più recenti vulnerabilità e tecniche di hacking allo scopo di trasformarle in conoscenza in materia di sicurezza utilizzabile all interno di Fortify 360. Il team rappresenta la prima linea di sicurezza di Fortify Software; le ricerche effettuate dai componenti del team sulle debolezze mostrate dai sistemi software in situazioni reali permette di individuare le soluzioni più efficaci con cui neutralizzare le minacce che i clienti di Fortify devono affrontare. Difesa attiva per applicazioni Java e.net Il modulo Application Defense di Fortify 360 protegge dagli attacchi le applicazioni Java e.net ad alto rischio. L approccio del modulo Application Defense, implementato all interno dell applicazione stessa, protegge accuratamente l applicazione dagli attacchi senza necessità di regolazioni. Gli utenti possono vedere quali specifiche vulnerabilità gli hacker stanno cercando di sfruttare e creare risposte personalizzate agli attacchi. Vengono inoltre fornite informazioni critiche sul tipo e sulla frequenza di tutti gli attacchi portati contro un applicazione. I dati generati da questo componente possono essere trasmessi a Fortify 360 per lo sviluppo di un quadro più completo della sicurezza dell applicazione. Il Security Research Group pubblica aggiornamenti trimestrali dei database di Fortify Secure Coding Rulepacks che sono alla base degli strumenti di analisi di Fortify 360. Tali aggiornamenti racchiudono le ultime tendenze nelle tecniche di programmazione e sicurezza del software e consentono ai clienti di Fortify di proteggersi da hacker, crimine organizzato, stati canaglia e altre minacce. In totale, la ricerca in materia di sicurezza del Security Research Group ha individuato più di 400 categorie di vulnerabilità in 17 linguaggi di programmazione e ha analizzato più di Application Programming Interface (API). Le recenti ricerche effettuate dal Security Research Group di Fortify hanno portato alla scoperta di due categorie di vulnerabilità completamente nuove (JavaScript Hijacking e Cross-Build Injection), nonché a risultati pionieristici nel campo della Service- Oriented Architecture e del rilevamento di backdoor nei sistemi. Una violazione di record potrebbe avere un costo compreso tra 10 e 30 milioni di dollari. Forrester 6

7 Conformità L infrastruttura di sicurezza implementata qui alla Financial Engines è estremamente importante per la nostra attività, in quanto la protezione dei dati finanziari sensibili dei nostri clienti rappresenta un elemento mission-critical. Fortify 360 ci consente di integrare l analisi del codice sorgente, i test dinamici e il monitoraggio in tempo reale in un solo pacchetto completo che riveste un ruolo fondamentale nel nostro approccio generale alla sicurezza delle applicazioni. Gary Hallee, Vicepresidente esecutivo, Technology, Financial Engines Gli attacchi sono in aumento La criminalità informatica è cresciuta del 53% nel Il numero di programmi dannosi in circolazione su Internet è triplicato nel Superamento delle normative di conformità in materia di sicurezza delle applicazioni Fortify 360 permette alle società di soddisfare le principali normative sulla conformità, quali PCI, FISMA, HIPAA, SOX, NERC e molte altre. Conformità PCI Fortify 360 è configurato per soddisfare pienamente le esigenze associate alle parti relative alla sicurezza delle applicazioni dei progetti di conformità PCI (punti 3, 6 e 11). Tutte le vulnerabilità possono essere classificate in base alla loro pertinenza PCI. Il modulo Application Defense di Fortify 360 fornisce un opzione difensiva di precisione per supportare la fornitura di web-application firewall (WAF). Il modulo SSA Governance di Fortify 360 fornisce un processo di conformità PCI di implementazione immediata completo di report PCI di livello auditor. Conformità FISMA Gli enti governativi devono soddisfare requisiti severi in materia di sicurezza delle applicazioni. Fortify 360 individua i problemi di sicurezza delle applicazioni e guida l utente attraverso il processo di risoluzione dei problemi e la creazione di report sui progressi compiuti. SOX, NERC, HIPAA e altre Fortify 360 ha assistito numerose organizzazioni nell adeguamento alle normative di conformità in una vasta gamma di settori, tra cui: commercio, sanità, energia, finanza, governo, ecc. 7

8 Nel febbraio 2009, Gartner ha inserito Fortify nel Leaders Quadrant del Magic Quadrant for Static Application Security Testing (SAST). La relazione è disponibile all indirizzo Informazioni su Fortify Le soluzioni Software Security Assurance di Fortify tutelano le aziende e le organizzazioni da ciò che attualmente costituisce il più grande rischio per la sicurezza: il software che gestisce le loro attività. Fortify riduce il rischio di catastrofiche perdite finanziarie e di danni alla reputazione, garantendo al contempo la tempestiva conformità con le normative governative e di settore. Tra i clienti di Fortify figurano agenzie governative e leader Global 2000 dei seguenti settori: servizi finanziari, assistenza sanitaria, e-commerce, telecomunicazioni, editoria, assicurazioni, system integration e information technology. Per ulteriori informazioni, visitare il sito web Fortify Software Inc. Ulteriori informazioni sono disponibili all indirizzo Bridgepointe Pkwy. Tel: (650) Suite 400 Fax: (650) San Mateo, California contact@fortify.com