Fortify 360 Proteggete il vostro portfolio applicativo
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Fortify 360
Fortify
®
Proteggete il vostro portfolio applicativo
“L’approccio di tipo olistico adottato da Fortify alla sicurezza delle
applicazioni protegge concretamente la nostra impresa dalle odierne
mutevoli minacce alla sicurezza.”
— Craig Schumard, CISO, CIGNASoftware Security Assurance (SSA): rimozione del rischio dal software
La nostra missione è di assistere i nostri clienti a garantire che il loro
intero portfolio software (sia che sia stato sviluppato in-house, appaltato
in outsourcing, acquistato presso fornitori o acquisito dalla comunità open
source) sia sicuro.
Gli attacchi al software sferrati da parte di hacker, criminali e insider
possono causare interruzioni dell’attività, danni d’immagine, gravi perdite
finanziarie e ripercussioni sulle persone. Gli obiettivi di questi attacchi
sono le vulnerabilità che si celano all’interno delle applicazioni software.
Conseguenza delle pratiche di programmazione incuranti della sicurezza,
queste vulnerabilità si sono accumulate nel software e sono in attesa
di essere sfruttate. A peggiorare le cose, nuove vulnerabilità vengono
continuamente introdotte nelle organizzazioni dagli stessi team di sviluppo
software, nonché, attraverso gli appalti, da fornitori, aziende di outsourcing
e progetti open-source.
Allarmati dalla potenziale diffusione dei danni sia a livello sociale che
commerciale, i governi e gli organismi di regolamentazione del settore
hanno rafforzato le normative che riguardano le sicurezza delle applicazioni.
Molte organizzazioni sono oggi tenute a neutralizzare il rischio creato dalle
loro applicazioni e a dimostrare la loro conformità.
Software Security Assurance (SSA) è un approccio sistematico mirato
a eliminare i rischi di sicurezza contenuti nel software e a garantire la
conformità con le normative del governo e del settore. Mentre il controllo
qualità del software garantisce che il software funzioni nel modo richiesto,
SSA garantisce che il software non possa essere utilizzato in modo tale da
danneggiare l’organizzazione. SSA affronta la sfida immediata di eliminare
le vulnerabilità dalle applicazioni utilizzate, ma anche la sfida sistemica
continua della produzione e dell’approvvigionamento di software sicuro.
Con una combinazione di prodotti e servizi da leader del mercato, Fortify
ha assistito più di 500 organizzazioni di tutto il mondo a ottenere riduzioni
misurabili del rischio mediante un programma SSA efficace. Fortify produce
Fortify 360, la suite leader di prodotti per SSA. L’organizzazione Global
Services di Fortify offre consulenza e know-how sull’implementazione di
SSA, mentre il Security Research Group di Fortify assicura che le capacità
SSA del cliente siano sufficienti a soddisfare la dinamica in continua
evoluzione delle minacce.
“L’unico grande passo che devono fare le aziende per ridurre il rischio da
subito è quello di imporre miglioramenti al software e alle applicazioni
progettati male e non sicuri.”
— John Pescatore, Analista senior, GartnerFortify 360
®
La suite leader nel mercato delle soluzioni per il contenimento, la rimozione e la prevenzione
delle vulnerabilità del software
Fortify 360 fornisce le competenze cruciali in fatto di analisi, correzione e gestione necessarie per
la corretta implementazione di un programma SSA di classe enterprise.
• Identificazione Identificazione completa delle cause fondamentali per oltre 400 categorie
di vulnerabilità di sicurezza in 17 linguaggi di sviluppo
• orrezione Riunisce sicurezza, sviluppo e gestione per neutralizzare le vulnerabilità
C
software esistenti
• overnance Effettua il monitoraggio delle prestazioni del programma SSA in tutta l’organizzazione,
G
impedendo l’introduzione di nuove vulnerabilità da sviluppo interno, committenti e fornitori
attraverso l’automazione dei processi legati al Secure Development Lifecycle (SDL, ciclo di vita
protetto dei processi)
• ifesa delle applicazioni Neutralizza velocemente le vulnerabilità esistenti in modo da non
D
consentirne lo sfruttamento
• onformità Permette di dimostrare in modo semplice la conformità alle normative governative e
C
di settore, nonché ai criteri specifici dell’azienda.
Auditor CISO
Sviluppatore Risk Officer
3 WWW.FORTIFY.COMIdentificazione e correzione delle vulnerabilità
Massima riduzione del rischio già alla fonte
Fortify 360 individua l’origine delle vulnerabilità di sicurezza
del software sia nel codice sorgente che nelle applicazioni in
esecuzione, rilevando più di 400 tipi di vulnerabilità in 17 diversi
linguaggi di sviluppo e in 600.000 API a livello di componente.
Le vulnerabilità possono essere analizzate durante la fase di
sviluppo o di controllo qualità di un progetto, o anche dopo la
messa in produzione dell’applicazione, riducendo al minimo il
rischio che un problema critico passi inosservato. Per garantire
che i problemi più gravi vengano affrontati per primi, Fortify Fortify 360 presenta risultati integrati forniti
360 correla e assegna varie priorità ai risultati, al fine di stilare dagli analizzatori statici e dinamici
un elenco accurato e ordinato in base al rischio legato alle
problematiche riscontrate. basato su un’interfaccia web, fornisce uno spazio di lavoro
e un archivio condivisi che consentono ai responsabili della
Armonizzazione del know-how e correzione di una sicurezza delle applicazioni, agli sviluppatori ed ai manager
maggiore quantità di codice di collaborare sulle revisioni del codice e sulle attività di
Fortify 360 offre una serie completa di funzionalità di risoluzione dei problemi. Gli sviluppatori hanno la possibilità di
collaborazione per una rapida valutazione dell’urgenza e la esaminare i problemi nel loro ambiente di sviluppo preferito,
risoluzione delle vulnerabilità individuate dai tre analizzatori. I collaborando con il team di sicurezza mediante i plug-in per
responsabili della sicurezza delle applicazioni, gli sviluppatori Eclipse e Microsoft Visual Studio.
e i loro manager possono collaborare nel modo a loro più Con Fortify 360, gli sviluppatori acquisiscono informazioni
congeniale utilizzando interfacce specifiche per ogni ruolo. sulle pratiche di programmazione sicura mentre al contempo
Progettato appositamente per i responsabili della sicurezza risolvono le vulnerabilità. Per ogni vulnerabilità, Fortify 360
delle applicazioni, Fortify 360 Audit Workbench fornisce fornisce informazioni di riferimento per gli sviluppatori; tali
gli strumenti con cui analizzare le singole vulnerabilità, informazioni descrivono il problema e le relative modalità di
delegarne la risoluzione e tenere traccia delle attività fino al risoluzione nel linguaggio di programmazione specifico dello
loro completamento. Il modulo Collaboration di Fortify 360, sviluppatore.
Per l’individuazione delle vulnerabilità presenti sia nel codice sorgente che nelle applicazioni in esecuzione,
Fortify 360 dispone dei seguenti analizzatori statici e dinamici:
Analyzer Tipo Descrizione Uso
Utilizzati durante la fase di sviluppo
Source Code Analisi statica Il componente SCA di Fortify 360
esamina il codice sorgente di per l’individuazione delle vulnerabilità
Analyzer (SCA) un’applicazione alla ricerca di già nei primi stadi del ciclo di
vulnerabilità sfruttabili. sviluppo, quando risulta meno
costoso risolverle.
PTA individua le vulnerabilità che è
Program Trace Analisi dinamica possibile rilevare soltanto quando Durante la fase del controllo qualità,
l’applicazione è in esecuzione e permette per l’individuazione delle vulnerabilità
Analyzer (PTA) di verificare e definire ulteriormente le come parte del normale processo di
priorità dei risultati ottenuti mediante verifica.
l’uso di SCA.
RTA effettua il monitoraggio delle
Real-Time Analisi dinamica applicazioni implementate, permettendo
di identificare la modalità dell’attacco
Analyzer (RTA) a cui è sottoposta l’applicazione, oltre
Mentre l’applicazione è in produzione,
per la scoperta di nuove vulnerabilità
alla provenienza e ai tempi dell’attacco. sfruttabili o di vulnerabilità non
Fornisce informazioni dettagliate sui rilevate durante la fase di sviluppo.
componenti interni dell’applicazione, che
permettono di individuare le vulnerabilità
che vengono sfruttate.
WWW.FORTIFY.COM 4Fortify 360 SSA Governance
Il modulo SSA Governance di Fortify
360 fornisce la visibilità e il controllo dei
programmi SSA per l’intera organizzazione
SSA Governance
Gestione della Software Security Assurance gestione basata sulle eccezioni e che permette di rendere
disponibile tempo prezioso da dedicare ad altre attività. Le
I programmi SSA aventi come perimetro intere organizzazioni
funzionalità avanzate di reporting e visualizzazione forniscono
presentano diverse sfide per il team di sicurezza. Con
strumenti con cui consolidare rapidamente i risultati di tutti i
l’aumentare del numero di progetti SSA, il team di sicurezza
progetti, creare relazioni di elevata qualità e individuare le aree
potrebbe riscontrare difficoltà nel soddisfare le esigenze
di possibile miglioramento.
del team di sviluppo, dei revisori e del management.
Per le organizzazioni che sono alla ricerca di
La creazione e l’implementazione di processi ripetibili, come
un’implementazione rapida di Secure Development Lifecycle,
Secure Development Lifecycle (SDL), sono un primo passo
sono disponibili modelli e artefatti SDL basati sulle best
essenziale nel percorso che permette di avere la situazione
practice individuate da Fortify. Questi modelli permettono
sotto controllo. Tuttavia, senza efficaci automazione,
di realizzare un SDL efficace che può essere implementato
implementazione e monitoraggio delle attività di sicurezza
immediatamente. Ciò permette di eliminare gli investimenti in
definite in un SDL, le organizzazioni potrebbero comunque
risorse e know-how necessari allo sviluppo di un SDL.
trovarsi in una situazione onerosa da gestire.
Per stare al passo dei programmi SSA multi-progetto
è disponibile il modulo SSA Governance di Fortify 360.
Esso fornisce un singolo “system of record” comprendente
informazioni su progetti, attività e risultati relativi all’intera Le applicazioni non sicure
iniziativa SSA dell’organizzazione. Per i singoli progetti, danneggiano le aziende
il modulo SSA Governance fornisce un comodo portale
L’80% delle imprese segnala
web in cui è possibile registrare e comunicare gli artefatti
una perdita di clienti a causa di
e le attività di mitigazione del rischio. Per ogni progetto violazioni dei dati.
dell’organizzazione, il modulo SSA Governance di Fortify 360
assegna automaticamente le attività corrette sulla base del e imprese rischiano di perdere più
L
profilo di rischio specifico del progetto. Il team di sicurezza è di mille miliardi a causa della perdita
o del furto di dati e di altre forme di
quindi in grado di tenere traccia delle attività del progetto e di
criminalità informatica.
ricevere avvisi in base al completamento o meno degli obiettivi
intermedi. Grazie a queste funzionalità, il team di sicurezza
può procedere verso un approccio alla SSA che prevede una
5 WWW.FORTIFY.COMThreat intelligence Application Defense
Per anticipare le minacce in continua evoluzione Difesa attiva per applicazioni Java e .Net
I cyber-criminali cercano incessantemente nuovi modi di violare il Il modulo Application Defense di Fortify 360 protegge dagli
software. Fornendo una serie di aggiornamenti regolari a Fortify attacchi le applicazioni Java e .NET ad alto rischio. L’approccio
360, Fortify assicura che l’investimento del cliente sia in grado di del modulo Application Defense, implementato all’interno
rispondere a queste nuove minacce. Questi aggiornamenti sono dell’applicazione stessa, protegge accuratamente l’applicazione
forniti dal Security Research Group di Fortify. Questo team interno dagli attacchi senza necessità di regolazioni. Gli utenti possono
di esperti di sicurezza è impegnato costantemente ad analizzare vedere quali specifiche vulnerabilità gli hacker stanno cercando di
le più recenti vulnerabilità e tecniche di hacking allo scopo di sfruttare e creare risposte personalizzate agli attacchi. Vengono
trasformarle in conoscenza in materia di sicurezza utilizzabile inoltre fornite informazioni critiche sul tipo e sulla frequenza di
all’interno di Fortify 360. Il team rappresenta la prima linea di tutti gli attacchi portati contro un’applicazione. I dati generati da
sicurezza di Fortify Software; le ricerche effettuate dai componenti questo componente possono essere trasmessi a Fortify 360
del team sulle debolezze mostrate dai sistemi software in situazioni per lo sviluppo di un quadro più completo della sicurezza
reali permette di individuare le soluzioni più efficaci con cui dell’applicazione.
neutralizzare le minacce che i clienti di Fortify devono affrontare.
Il Security Research Group pubblica aggiornamenti trimestrali
dei database di Fortify Secure Coding Rulepacks che sono alla
base degli strumenti di analisi di Fortify 360. Tali aggiornamenti
racchiudono le ultime tendenze nelle tecniche di programmazione
e sicurezza del software e consentono ai clienti di Fortify di
proteggersi da hacker, crimine organizzato, stati canaglia e
altre minacce. In totale, la ricerca in materia di sicurezza del
Security Research Group ha individuato più di 400 categorie di
vulnerabilità in 17 linguaggi di programmazione e ha analizzato
più di 600.000 Application Programming Interface (API). Le
recenti ricerche effettuate dal Security Research Group di Fortify
hanno portato alla scoperta di due categorie di vulnerabilità
completamente nuove (JavaScript Hijacking e Cross-Build
Injection), nonché a risultati pionieristici nel campo della Service-
Oriented Architecture e del rilevamento di backdoor nei sistemi.
Una violazione
di 100.000 record
potrebbe avere
un costo compreso
tra 10 e 30 milioni
di dollari.
— Forrester
WWW.FORTIFY.COM 6Conformità
“L’infrastruttura di sicurezza implementata qui alla Financial
Engines è estremamente importante per la nostra attività, Superamento delle normative di
in quanto la protezione dei dati finanziari sensibili dei nostri conformità in materia di sicurezza
clienti rappresenta un elemento mission-critical. Fortify delle applicazioni
360 ci consente di integrare l’analisi del codice sorgente, Fortify 360 permette alle società di soddisfare le
principali normative sulla conformità, quali PCI,
i test dinamici e il monitoraggio in tempo reale in un solo
FISMA, HIPAA, SOX, NERC e molte altre.
pacchetto completo che riveste un ruolo fondamentale nel
nostro approccio generale alla sicurezza delle applicazioni.” Conformità PCI
— Gary Hallee, Vicepresidente esecutivo, Technology, Fortify 360 è configurato per soddisfare pienamente
Financial Engines le esigenze associate alle parti relative alla sicurezza
delle applicazioni dei progetti di conformità PCI
(punti 3, 6 e 11). Tutte le vulnerabilità possono
essere classificate in base alla loro pertinenza PCI.
Il modulo Application Defense di Fortify 360 fornisce
un’opzione difensiva di precisione per supportare la
Gli attacchi sono in aumento fornitura di web-application firewall (WAF). Il modulo
SSA Governance di Fortify 360 fornisce un processo
La criminalità informatica è
di conformità PCI di implementazione immediata
cresciuta del 53% nel 2008.
completo di report PCI di livello auditor.
Il numero di programmi dannosi
in circolazione su Internet è Conformità FISMA
triplicato nel 2008. Gli enti governativi devono soddisfare requisiti severi
in materia di sicurezza delle applicazioni. Fortify 360
individua i problemi di sicurezza delle applicazioni
e guida l’utente attraverso il processo di risoluzione
dei problemi e la creazione di report sui progressi
compiuti.
SOX, NERC, HIPAA e altre
Fortify 360 ha assistito numerose organizzazioni
nell’adeguamento alle normative di conformità in una
vasta gamma di settori, tra cui: commercio, sanità,
energia, finanza, governo, ecc.
7 WWW.FORTIFY.COMNel febbraio 2009, Gartner ha inserito Fortify nel Leaders Quadrant del “Magic Quadrant for Static Application
Security Testing (SAST).” La relazione è disponibile all’indirizzo http://www.fortify.com/magicquadrant.
Informazioni su Fortify
Le soluzioni Software Security Assurance di Fortify tutelano le aziende e le organizzazioni
da ciò che attualmente costituisce il più grande rischio per la sicurezza: il software
che gestisce le loro attività. Fortify riduce il rischio di catastrofiche perdite finanziarie
e di danni alla reputazione, garantendo al contempo la tempestiva conformità con le
normative governative e di settore. Tra i clienti di Fortify figurano agenzie governative
e leader Global 2000 dei seguenti settori: servizi finanziari, assistenza sanitaria,
e-commerce, telecomunicazioni, editoria, assicurazioni, system integration e information
technology. Per ulteriori informazioni, visitare il sito web www.fortify.com.
Fortify Software Inc. Ulteriori informazioni sono disponibili all’indirizzo wWw.fortify.com
2215 Bridgepointe Pkwy. Tel: (650) 358-5600
Suite 400 Fax: (650) 358-4600
San Mateo, California 94404 E-mail: contact@fortify.com
WWW.FORTIFY.COMPuoi anche leggere
