|
Эффективный контроль безопасности Web-ресурсов с использованием IBM Rational AppScan
Наши решения и услуги
→
Решения для обеспечения корпоративной безопасности
Риски потерять значащую информацию для компании или потерять значительную часть средств организации и ее клиентов в нынешнее время высоких технологий очень высоки. На сегодняшний день на рынке защиты корпоративной информации немного инструментов, которые помогли бы контролировать и поддерживать достойный уровень Web-приложений. Лидером из этих инструментов является IBM Rational AppScan. Компания «СМ-Консалт» предлагает свои услуги по поставке, внедрению и интеграции инструмента IBM Rational AppScan в процесс разработки.
Содержание
Иллюзия безопасности
Стремительное развитие IT-технологий с каждым днем дает все больше и больше возможностей для ведения современных видов бизнеса. Все больше организаций переводит часть своего бизнеса в Интернет. Всемирная паутина уже давно перешагнула за границы обычного источника информации и места для обмена сообщениями и стала привычным местом обитания. Современный Интернет – это большая развитая инфраструктура спроса и предложений. Это то место, где любая компания может заявить о себе, о своих услугах, купить или продать необходимую продукцию. В тоже самое время это место, в котором на сегодняшний день происходит наибольше количество преступлений, взломов, краж конфиденциальной информации и хищений денежных средств. Статистика бескомпромиссна:
- По статистике (Gartner) 75% всех атак направлено на уровень Web-приложений (порталов).
- 70% всех Web-приложений уязвимы.
Компаниями тратится немало средств для обеспечения безопасности информации и нормального функционирование сервисов: закупается дорогое сетевое оборудование, современные мощные сервера, улучшаются методы защиты корпоративных сетей и методы хранения и восстановления корпоративной информации и т.д… Но этого явно недостаточно!
Какой ущерб может быть нанесен Вашей компании?
- Кража конфиденциальной информации Вашей компании. Кража логинов, паролей для доступа к административным ресурсам Web-портала может обеспечить злоумышленникам доступ ко многой Вашей внутренней информации, документации и т.д.
- В 2008 году хакер Александр Доброжко украл конфиденциальную информацию американской фармацевтической компании «IMS Health» и воспользовался ими в законных целях. Он проник на закрытую часть сервера, где ему удалось получить финансовый отчет компании за несколько часов до его официальной публикации. Далее молодой человек разместил на торговой площадке опцион на продажу акций, вложив 41 671 доллар собственных средств, через три дня опцион должен был бы истечь, если акции бы не упали. Однако спустя пару часов после опциона «IMS Health» опубликовала данные, которые оказались неудовлетворительными, и курс ценных бумаг резко снизился, а сам Александр наторговал на этой операции на 295 456 долларов. http://www.securitylab.ru/news/313408.php
- Кража конфиденциальной информации Ваших клиентов. Использование страниц Вашего Web-сайта для обмана доверчивых пользователей откроет доступ взломщикам к информации о счетах Ваших клиентов, номерах и кодах кредитных карт.
- Кардинг – одно из последних направлений в сообществе хакеров, связанное с похищением информации о кредитных картах банковских вкладчиков. В период 2000-х годов было организовано самое крупное сообщество хакеров, которое объединяло США, Канаду, Великобританию и Европу, а ядро сообщества находилось в Украине. Десятки миллионов долларов были похищены с кредитных карт пользователей банковских услуг, была организована большая торговая сеть продажи личной информации банковских вкладчиков. Виновных до сих пор не могут наказать. http://www.xakep.ru/magazine/xa/114/068/1.asp
- Ущерб имиджу компании. Если Ваш сайт появится в рейтингах команд взломщиков, то это явно не добавит доверия к Вашей компании со стороны клиентов и деловых партнеров. Использование же администраторских прав позволит хакерам не только получать доступ к информации Вашей организации, но и полностью «забрать под себя» управление Вашим Web-порталом.
- Дефейсинг – казалось бы, ничего страшного, ну поменяли стартовую страницу у компании и ничего вроде не крали. А если поместить туда большую нецензурную картинку – клиенты долго не смогут прийти в себя от такого приветствия от их родной компании. В начале 2009-го года группа киберпреступников, связанных с «Китайским хакерским союзом» – Chinese Hacking Union, произвели дефейсинг сайта Российского консульства – замену его стартовой страницы сообщением на китайском языке, суть которого сводится к следующему: Россия – агрессор – и должна быть наказана за это. http://www.wheretogo.ru/techzone/2009/02/25_n_2948985.shtml
В большинстве случаев компании стараются не афишировать факт взлома своих систем, но то, что попадает в СМИ заставляет задуматься о безопасности.
Вот лишь наиболее известные случаи взлома
- 2005 г. – компьютерным хакерам удалось вскрыть базу данных компании MasterCard International, за которой стоят 14 миллионов держателей пластиковых карт MasterCard. Кроме этого база содержит информацию о 22 миллионах пользователей карты Visa, а также American Express и Discover Financial.
- 2007 г. – неизвестным злоумышленникам удалось взломать сайт британского представительства корпорации Microsoft. После дефейса на страницах Microsoft.co.uk отображались различные фотографии, в том числе снимок мальчика, размахивающего флагом Саудовской Аравии.
- 2008 г. – хакеры взломали сеть банкоматов Citibank. Атака принесла ворам миллионы долларов. Но что еще важнее для клиентов, выяснилось, что мошенники смогли получить доступ к PIN-кодам – числовым паролям, которые теоретически являются наиболее защищенными элементами банковских транзакций – организовав атаку на серверные компьютеры, ответственные за одобрение снятия наличных.
- 2009 г. - хакерам удалось взломать систему защиты документации по проекту американского истребителя-бомбардировщика пятого поколения F-35 Lightning II. Взломщикам удалось скопировать несколько терабайт информации с чертежами и моделями. Joint Strike Fighter - это самый дорогостоящий проект американского военного ведомства; его общая стоимость составляет 300 млрд долларов.
- 2009 г. – взломан сайт Ассоциации индийских банков (IBA). На нем было размещено фальшивое сообщение, призывающее людей ввести детальную информацию о своих банковских картах, перейдя по указанной ссылке на поддельную страницу, представляющую собой точную копию домашней страницы сайта IBA.
Почему и как ломается?
Как бы мы не старались защитить свою корпоративную сеть, все равно остается один «путь» к нашей информации – это интернет-обозреватель. Связано это с тем, что содержание на Web-страницах, которые видят наши посетители и клиенты, загружается непосредственно с Web-серверов, которые находятся во внутренней корпоративной сети компании. Т.е. все что хочет увидеть пользователь Web-сайта, он формирует в виде специальных запросов для Web-сервера. А нынешние технологии дают не только удобные и эффективные инструменты для создания Web-порталов, но и позволяют их использовать для деструктивных действий, а значит, запросы к Web-серверу могут быть поставлены так, что они вернут не только безобидную информацию о предоставляемых услугах, но и достаточно важную конфиденциальную информацию. Методы, которыми пользуются взломщики, очень разнообразны и постоянно совершенствуются. Вот самые известные из них:
- SQL-инъекции – один из самых распространенных методов взлома Web-сайтов, которые используют сервера баз данных. Метод основывается на возможности создания SQL-запросов напрямую к серверу баз данных, который находится в корпоративной сети, через интернет-обозреватель.
- Межсайтовый скриптинг – использует уязвимости Web-портала для выполнения атакующими собственных сценариев на стороне клиента и хищения персональной информации клиентов.
- Кардинг – кража информации о кредитных картах пользователей банковских услуг с целью изъятия финансовых средств через банкоматы.
- Дефейсинг – подмена стартовой страницы Web-портала на произвольную Web-страницу, возможно и на стильную «попу».
- И т.д.
Откуда берутся уязвимости на Web-порталах? Т.к. Web-приложения создаются разработчикам, то и уязвимости создаются ими же. Но не стоит их в этом винить. Их основная задача – это создание продукта, который поможет Вам реализовать Ваши потребности. И конечно они не могут знать о всех методах, которыми пользуются взломщики, ведь они формируются группами людей, которые могут работать как со спортивным интересом, так и по заказу сторонних лиц заинтересованных в получении конфиденциальной информации.
Решение проблемы – выбор IBM Rational AppScan
Как можно предупредить появление уязвимостей на Вашем Web-портале? Различные компании решают эту проблему по-своему. Некоторые выкладывают свои решения в Интернет и объявляют, что первому, кто взломает Web-сайт, будет вручен приз. Такой подход интересен и может быть действенен, но не особо эффективен, т.к. взломщики в этом случае хоть и пытаются применить свой арсенал, но отследить все методы, которые «прошли», скорее всего не получится. А уважающие себя «креативные» взломщики на такое предложение не пойдут. Некоторые компании надеются на своих разработчиков, но эти надежды напрасны. Тот образ мышления, которым обладают разработчики, направлен на создание в первую очередь удобных, эффективных и высокопроизводительных решений для Вашего бизнеса. А нанимать и держать в своем штате десятки хакеров для контроля безопасности своего решения – на этот шаг редко кто идет.
В этом случае все эти проблемы поможет решить IBM Rational AppScan:
- IBM Rational AppScan – это инструмент автоматического сканирования Вашего продукта, который использует не одну тысячу возможных вариаций атак по отношению к Вашему Web-порталу, при этом испытанию подвергается КАЖДЫЙ компонент Вашего решения.
- IBM Rational AppScan использует огромную базу методов взлома, с помощью которой можно имитировать «работу» большого количества хакеров с Вашим приложением.
- Все обнаруженные ошибки в безопасности Web-портала организовываются в отчет, который содержит подробную информацию, о том по какой причине эта ошибка могла появиться, на что она может повлиять и как ее можно исправить.
- Так же как и хакеры, которые только совершенствуются в своем ремесле взлома, так и IBM Rational AppScan постоянно отслеживает новшества в сообществах взломщиков и позволяет автоматически добавлять их в свою базу.
- IBM Rational AppScan позволяет полностью внедриться в процесс разработки и выявить все недочеты и уязвимости еще на стадии проектирования Вашего решения и пресечь поставку продукта на рынок или в промышленное использование с изъянами в безопасности.
- IBM Rational AppScan может использоваться как постоянный «часовой» Вашего Web-портала, который в online режиме проверяет весь новый материал, поступающий на Web-портала.
- Для использования этого продукта не нужно специализированных навыков сотрудников по безопасности. Продукт самодостаточен и для его работы достаточно указать адрес сайта и нажать кнопку «Пуск».
Услуги СМ-Консалт
Компания «СМ-Консалт» создана в 2004 году. Основные направления деятельности нашей компании - консалтинг в области управления проектами, обучение технологиям конфигурационного управления, поддержка и внедрение технологий и инструментария IBM Rational. Мы не просто внедряем программное обеспечение. Мы, продвигая в России самые прогрессивные информационные технологии, содействуем повышению эффективности деятельности наших партнеров и заказчиков. Наше обучение имеет неоспоримое преимущество, ведь проводят его консультанты-практики, которые тесно сотрудничают с ведущими учебными центрами России. Наша компания является бизнес-партнером IBM и Microsoft, имеет статус Advanced IBM Partner и Microsoft Inner Circle.
Мы поможем Вам:
- Мы не просто привезем Вам IBM Rational AppScan, но и выполним полноценное внедрение инструмента, обучение специалистов компании новому продукту и интеграцию IBM Rational AppScan с процессом разработки и тестирования ПО.
- Если Вы являетесь поставщиком Web-продукции, то наши услуги помогут Вам организовать выпуск безопасного Web-продукта для Ваших клиентов. Внедрение IBM Rational AppScan в процесс разработки позволит Вам полностью быть уверенным, что Ваш продукт соответствует всем требованиям безопасности и Ваши клиенты будут полностью удовлетворены качеством Ваших работ.
- Если Вы используете чужие разработки, мы обеспечим прием только тех Web-решений, которые соответствуют всем современным требованиям по безопасности Web-технологий.
- Если Вы используете Web-портал как лицо своей организации, каталог своих услуг, предоставляете своим клиентам последние новости с интерактивными элементами, то мы поможем Вам контролировать все изменения, которые происходят на Вашем Web-сайте вплоть до сообщений на форуме.
Варианты поставок IBM Rational AppScan
Таблица 1. Версии IBM Rational AppScan
| Продукт \ Размер компании |
Небольшая |
Средняя |
Большая |
| IBM Rational AppScan Express Edition |
+ |
+ |
+ |
| IBM Rational AppScan Developer Edition |
+ |
+ |
+ |
| IBM Rational AppScan Tester Edition |
+ |
+ |
+ |
| IBM Rational AppScan Build Edition |
- |
+ |
+ |
| IBM Rational AppScan Standard Edition |
- |
+ |
+ |
| IBM Rational AppScan Enterprise Edition |
- |
- |
+ |
| IBM Rational AppScan Reporting Console |
- |
- |
+ |
Описание версий IBM Rational AppScan:
- IBM Rational AppScan Express Edition – решение для сканирования безопасности Web-ресурсов для небольших организаций разработки Web-порталов.
- IBM Rational AppScan Developer Edition – это автоматизация тестирования безопасности для разработчиков, не являющихся специалистами по безопасности. Продукт позволяет разработчику получить доступ к функциям Rational AppScan непосредственно из среды проектирования Web-приложений и проверять исходный код на наличие уязвимостей безопасности.
- IBM Rational AppScan Tester Edition – это продукт безболезненно интегрируется в процесс тестирования, со средствами управления тестированием и отслеживания дефектов, который позволяет командам тестирования Web-приложений обнаружить возможные уязвимости безопасности еще на стадии проектирования Web-приложения.
- IBM Rational AppScan Build Edition встраивается в процесс управления сборкой для автоматизации процесса тестирования безопасности. С помощью этой версии можно выполнять автоматизацию тестирования безопасности при построении приложений с генерированием полноценных рекомендаций об исправлениях для обнаруженных уязвимостей.
- IBM Rational AppScan Standard Edition – это инструмент автоматизации сканирования безопасности, который проверяет общие уязвимости Web-приложений. включай межсайтовый скриптинг, SQL-инъекции, переполнение буфера и т.д.
- IBM Rational AppScan Enterprise Edition – это многопользовательское Web-ориентированное решение сканирования уязвимостей и построения отчетов. Это решение идеально подходит командам, которые хотят выполнять централизованное тестирование безопасности и иметь полную интеграцию с процессом разработки.
- IBM Rational AppScan Reporting Console –обеспечивает централизованный сбор отчетной информации о всех тестируемых Web-сайтах со всех экземпляров Rational AppScan Standart Edition.
18.08.2009
Новости и пресс-релизы СМ-Консалт
21.02.2012 12:42:20
Новая статья: IT и психология. Человеческий фактор в парном программировании: почему многие не получают желаемого от его внедрения?
 Статья, находящаяся перед вами, открывает цикл статей о человеческом
факторе, Agile-практиках и других полезных приемах, используемых при
управлении командами в ИТ. Объединяет рассматриваемые практики и приемы
одно – они позволяют проявиться положительным эффектам, связанным с
человеческим фактором. И мы объясняем, почему с точки зрения психологии,
это происходит. Так сказать, подводим теоретическую и экспериментальную
базу под то, что себя уже давно зарекомендовало и работает. Или под то,
что работает не у всех, и потому является предметом оживленных споров и
дискуссий. И начинаем мы наши исследования с рассмотрения эффекта
парного программирования через призму экспериментов социальной
психологии.
Отдельную благодарность за рецензию и время, потраченное на прочтение
первого варианта статьи, выражаем Асхату Уразбаеву,
ценные замечания которого позволили не только улучшить данную статью,
но и позволили убедиться в необходимости и востребованности именно цикла
статей!
Читать -->
27.12.2011 16:15:27
Компания "СМ-Консалт" получила отзыв о работах в Федеральной Налоговой Службе (ГНИВЦ ФНС)
 Специалистами ООО «СМ-Консалт» в 2010-2011г. был выполнен проект
по настройке и внедрению системы управления жизненным циклом разработки
программных систем в части управления изменениями и конфигурациями на
основе Microsoft Visual Studio Team Foundation Server 2010 для
Филиала Федерального государственного унитарного предприятия «Главный
научно-исследовательский вычислительный центр Федеральной налоговой
службы» в Приволжском Федеральном округе (Филиал ФГУП ГНИВЦ ФНС России в
ПФО). 28.11.2011 15:05:11
Новая статья: "Всегда ли «Да» – это «Да»? Или как нас вынуждают принимать решения"
 Мы предлагаем вашему вниманию цикл статей, в основу которых положены
психологические практики и приемы, позволяющие влиять на решения,
принимаемые людьми. Эта идея была логическим продолжением ряда
выступлений с докладами о коммуникациях в проектах разработки и
внедрения ПО. Давайте, не откладывая в долгий ящик, начнем с самого
простого приема убеждения, с которым сталкиваемся ежедневно в магазинах,
в транспорте, в разговорах с коллегами… да мало ли где еще!
Авторы: Новичков Александр и Карабанова Галина.
Читать -->
10.10.2011 11:16:06
Компания «СМ-Консалт» открывает новое направление продаж - ПО Adobe Connect
 Программное обеспечение Adobe Connect является гибкой системой
web-коммуникации с высоким уровнем информационной безопасности. Adobe
Connect предоставляет такие важнейшие функции корпоративного
взаимодействия, как деловое общение и совместная работа сотрудников на
уровне предприятий, дистанционное обучение, организация широкомасштабных
сетевых семинаров и презентаций. Система Adobe Connect базируется на
технологии Adobe Flash, а также Air, и поэтому позволяет подключать
сотрудников к единому пространству взаимодействия через web-браузер с
любых устройств. 17.09.2011 21:40:22
Новая статья: "Разработка прикладного программного обеспечения с использованием Rational Unified Process на Иркутском Авиационном заводе"
На сайте СМ-Консалт открыт новый раздел Статьи наших заказчиков об успешных внедрениях IBM Rational и Microsoft. Статьи для данного раздела пишутся нашими заказчиками и рассказывают о сути проектов внедрения технологий IBM и Microsoft. Первая статья, представленная вашему вниманию написана сотрудниками Иркутского Авиационного Завода (ИАЗ).
Иркутский авиазавод имеет длительный опыт разработки программного
обеспечения для информационной поддержки ключевых бизнес-процессов
предприятия. Однако, в связи с увеличивающейся сложностью и повышением
требований к разрабатываемому программному обеспечению, возникла
настоятельная необходимость усовершенствовать процесс разработки:
повысить качество разрабатываемых программных продуктов,
стандартизировать процесс с увеличением его эффективности.
С целью повышения качества программного обеспечения собственной
разработки и сокращения сроков разработки руководство Управления
информационных технологий (УИТ) Иркутского Авиационного Завода в 2006г. приняло решение о внедрении технологии разработки ПО на базе методологии Rational Unified Process и с использованием инструментов автоматизации IBM Rational.
13.09.2011 12:07:29
Новый тренинг «Коммуникации и психология межличностных отношений в ИТ-проектах»
Компания «СМ-Консалт» представляет новый тренинг, организуемый совместно с компанией «КарьерKаб» - «Коммуникации
и психология межличностных отношений в ИТ-проектах.
Тренинг позволит понять, насколько коммуникации в проектах важнее инструментов, что люди и их взаимоотношения зачастую оказываются решающим фактором, определяющим успех проекта. Если более пятидесяти процентов рабочего времени вы тратите на взаимодействие с заказчиком, если вам небезразлична судьба вашей команды и вы хотите, чтобы ваша команда работала как часы, реализуя проекты точно, вовремя и без перерасхода ресурсов - наш тренинг поможет в этом.
01.08.2011 17:44:25
Наша компания получила отзыв о сотрудничестве с ОАО «Нордеа Банк»
В 2010-2011 гг. наши специалисты провели в Нордеа Банке проект по предварительному обследованию, развертыванию инструментальных средств и ряд тренингов по обучению методологии и работе с продуктами IBM Rational: «Методология разработки программных систем IBM Rational Unified Process», «Управление требованиями с использованием IBM Rational RequisitePro», «Управление изменениями в IBM Rational ClearQuest».
24.06.2011 01:27:57
Бесплатный семинар-вебинар «Повышение эффективности IT подразделений и качества разрабатываемого ПО с использованием современных методологий и технологий»
 Компании СМ-Консалт , Legal SoftWaveTM и DNA приглашают Вас посетить бесплатный семинар-вебинар, посвященный обзору технологий и методологий, которые позволяют повысить эффективность ИТ подразделений. На семинаре рассматриваются технологии IBM Rational, Microsoft TFS, а также системы аналитической обработки информации (Business Intelligence) (IBM SPSS, Deductor, QlikView и другие).
Планируемая продолжительность семинара - 8 академических часов.
Место проведения: Санкт-Петербург (очно) и Интернет (для всех желающих: приходите сами и приглашайте друзей!).
Дата и время: 14 июля 2011 в 9 00.
ВНИМАНИЕ: если вы не сможете очно приехать на семинар - это не страшно, так как семинар будет транслироваться через интернет в формате вебинара и к нему, после регистрации, смогут присоединиться все желающие. Трансляция будет осуществляться посредством технологии Adobe Connect Pro , это позволит Вам присоединяться к конференции без установки дополнительного ПО - только интернет браузер.
Смотреть программу -->
07.06.2011 13:02:44
Компания "СМ-Консалт" провела серию успешных семинаров для ГНИВЦ ФНС России
Проведенные семинары были посвящены средствам разработки и тестирования программного обеспечения компании Майкрософт для сотрудников ГНИВЦ ФНС России. Слушатели семинаров отметили высокую квалификацию тренеров компании "СМ-Консалт" по организации учебного процесса и повышению квалификации специалистов, прошедших обучение.
Индивидуальный подход при решении любых вопросов, возникающих в процессе обучения, оперативность принятия решений, гарантированное выполнение взятых на себя обязательств и профессионализм позволили провести обучение на самом высоком уровне.
07.12.2010 12:28:15
Мы идем в Твиттер!
Наша компания открыла аккаунт в системе микроблоггинга Twiter.Теперь все официальные и неофициальные новости будут появляться в нашей ленте в Twitter.
Там же возможно будет задать прямые вопросы специалистам СМ-Консалт, по всем вопросам, связанным как с деятельностью компании, так и с техническими аспектов продуктов IBM и собственных решений СМ-Консалт.
Следуйте за нами!
https://twitter.com/cmconscom
11.11.2010 14:14:14
Осенний марафон Microsoft ALM Road Show
 Компания СМ-Консалт совместно с образовательным центром Careerlab провели серию семинаров в рамках мероприятий ALM Roadshow 2.0 в крупнейших городах, расположенных на Волге, – крупных научных центрах, в которых ИТ технологии находятся на высоком уровне. Семинары прошли в Самаре, Нижнем Новгороде и Казани. Cеминары были посвящены использованию новых инструментов MS Visual Studio Team System в проектах разработки ПО.
В семинарах принимали участие представители различных ролей процесса разработки ПО: от разработчиков до руководителей предприятий различного уровня. Темы, обсуждаемые в ходе семинара, вызвали большой интерес аудитории и немалое количество вопросов, на которые были предоставлены исчерпывающие ответы. В процессе семинара также было показано большое количество примеров, которые дают представление о возможностях инструментов MS Team System. Средняя оценка за семинар составила 4,6 балла по пятибальной шкале
08.09.2010 18:37:52
Скидки до 30% на программное обеспечение IBM Rational
Компания СМ-Консалт предлагает для всех желающих на льготных условиях приобрести программное обеспечение IBM Rational. Снижение цен связано с тем, что мы стараемся быть как можно ближе к нашим клиентам, многие из которых постепенно начали преодолевать последствия финансового кризиса.Наше предложение поможет с минимальными издержками приобрести ПО IBM Rational, что является хорошим капиталовложением.
Скидки до 1 декабря 2010 года:
- 20% скидки при покупке IBM Rational ClearCase, ClearQuest, CearCase LT, при приобретении пяти и более лицензий*;
- 30% скидки при покупке пяти любых продуктов IBM Rational + решение или тренинг СМ-Консалт*.
Для получения деталей обязательно свяжитесь с нашими менеджерами
|
Консалтинг в области разработки ПО
