Продукты

HPE Fortify

Сегодня программное обеспечение стало доступным, как никогда прежде. Даже к привычным офисным приложениям теперь можно получить доступ из Интернета, в «облачной» среде или с мобильного устройства. Современные приложения могут находиться вне зоны действия самых лучших систем защиты. Как следствие, они вместе с конфиденциальной информацией вашего предприятия стали совершенно незащищенными.

Хакеры, организованные преступные группировки и недобросовестные чиновники значительно преуспели в использовании уязвимостей программного обеспечения, чтобы:
• похищать информацию, идентификационные данные клиентов, интеллектуальную собственность и деньги;
• нарушать ход деловых операций;
• наносить ущерб имиджу бренда;
• подвергать риску сотрудников, клиентов и общество.

7,2 млн долларов США — средний ущерб от нарушений в системах безопасности (США).
    — Исследование института Понемона, март 2011 г.
93 % — рост количества интернет-атак за период с 2009 по 2010 гг.
    — Отчет Symantec об угрозах безопасности в Интернете, апрель 2011 г.
250 % — рост количества вредоносных программ для мобильных устройств за период с 2009 по 2010 гг.
    — Исследование Juniper Networks, май 2011 г.

Риски

Рис. 1. Риски повсюду
Вне зависимости от методов создания и развертывания программного обеспечения в нем могут быть уязвимости.

Software Security Assurance: системный подход к предотвращению рисков, связанных с программным обеспечением

Все большее число ведущих предприятий и организаций приходит к мнению, что наиболее эффективный способ защиты ПО сегодня заключается во внедрении проактивного подхода, известного как обеспечение безопасности приложений (Software Security Assurance, SSA). Это комплексная дисциплина, предлагающая системный метод предотвращения рисков, связанных с ПО. SSA базируется на весьма разумном принципе, который заключается в следующем: значительно эффективнее и экономичнее защищать приложения во время их разработки, а не после их развертывания. Соответственно, ключевые цели SSA – не только определение и устранение рисков в существующих приложениях, но и, что более важно, содействие безопасной разработке во время создания и на протяжении всего жизненного цикла приложения.

HPE Fortify Software Security center

HPE Fortify Software Security Center позволяет организации любого масштаба автоматизировать все или любой аспект программы SSA. Являясь частью семейства HPE Enterprise Security, HPE Fortify Software Security Center состоит из передовых продуктов, решений и функций, полностью удовлетворяющих ваши потребности в области защиты приложений.

HPE Fortify Software Security Center поможет вам:
• решить проблемы, связанные с безопасностью уже развернутого ПО;
• снизить системные риски для программного обеспечения, как разрабатываемого самостоятельно, так и получаемого от поставщиков;
• обеспечить соответствие внешним и внутренним требованиям к безопасности.

Основные преимущества:
• сокращение времени на поиск и устранение уязвимостей в программном обеспечении;
• снижение затрат на разработку, корректирующие меры и обеспечение соответствия нормативным требованиям;
• повышение производительности благодаря автоматизированным процедурам защиты приложений;
• ускорение вывода ПО на рынок благодаря предотвращению задержек, вызванных проблемами с безопасностью.

Комплексная защита корпоративных приложений

HPE Fortify Software Security Center уменьшит нагрузку на ваших специалистов и расходы на обеспечение безопасности практически любого бизнес-критичного приложения, вне зависимости от технологий разработки. Эта комплексная система помогает предотвратить уязвимости при развертывании ПО в любой среде, будь то традиционные сети, «облачная» или мобильная инфраструктура. Решение, разработанное для максимально эффективной защиты программного обеспечения, предоставляет непревзойденные возможности в двух основных областях:
• Тестирование ПО – обнаружение уязвимостей за меньшее время и с меньшими усилиями независимо от того, где было разработано приложение.
• Безопасный жизненный цикл разработки – сотрудничество с разработчиками и поставщиками для быстрого устранения уязвимостей в развернутом ПО и гарантии безопасности будущих приложений с самого начала их разработки.

Рис. 2. Информационная панель Software Security Center
HPE Fortify Software Security Center позволяет устранять риски в существующих приложениях и создавать безопасные новые приложения.

Тестирование программного обеспечения с помощью HPE Fortify Software Security center

Тестирование безопасности с помощью HPE Fortify Software Security Center помогает быстро получить точное представление о рисках в ваших приложениях – как разработанных собственными силами, так и полученных от поставщиков. Вы получаете широчайшие возможности тестирования, в числе которых:
• Статический анализ, также известный как статическое тестирование безопасности приложений (SAST), доступное в HPE Fortify Static Code Analyzer (SCA).
    — Определяет большее число типов потенциальных уязвимостей, чем любой другой метод, выявляет причины
      уязвимостей непосредственно на уровне кода.
    — Помогает идентифицировать критические проблемы еще в процессе разработки, когда устранить их легче и дешевле.
• Динамический анализ, также известный как динамическое тестирование безопасности приложений (DAST), доступное в HPE WebInspect. (см. рис. 3).
    — Обнаруживает уязвимости в запущенных веб-приложениях и веб-сервисах путем моделирования полноценных
      сценариев атак.
    — Проверяет, можно ли на практике использовать конкретную уязвимость.
    — Ускоряет реализацию корректирующих мер, позволяя понять, какие проблемы необходимо решить в первую очередь
      и почему.

Рис. 3. Информационная панель WebInspect Scan
Информационная панель обеспечивает визуализацию в режиме реального времени и интерактивную работу с результатами тестирования.

Максимальная эффективность

HPE Fortify Software Security Center является первым в отрасли решением, значительно повышающим точность и масштаб динамического и статического тестирования с помощью гибридного анализа в режиме реального времени. Уникальная технология HPE Fortify SecurityScope объединяет проверку уязвимостей HPE WebInspect с превосходным охватом приложений и анализом на уровне кода HPE Fortify SCA. В итоге повышается релевантность результатов, что позволяет вам выявлять больше наиболее актуальных проблем и решать их быстрее, поскольку вы точно знаете их причину и местонахождение в исходном коде.

Анализ угроз

Киберпреступники ежедневно занимаются поиском новых уязвимостей в программном обеспечении. Чтобы противостоять их изобретательности, требуется постоянный глубокий анализ проблем и рисков, связанных с безопасностью приложений. Все средства тестирования HPE Fortify Software Security Center используют новейшую систему анализа угроз, которую поддерживает HPE Fortify Security Research Group (SRG), крупнейшая в мире команда специалистов по изучению уязвимостей бизнес-систем.

Обеспечение безопасного жизненного цикла разработки с помощью HPE Fortify Software Security center

Систематичное устранение рисков в программном обеспечении предприятия

Решение HPE Fortify Software Security Center предлагает универсальные компоненты безопасного жизненного цикла разработки, обеспечивающие все необходимое для того, чтобы команды разработчиков и сторонние поставщики могли эффективно устранять риски во всех ваших приложениях, как уже развернутых, так и находящихся в стадиях разработки или планирования.

Управление корректирующими мерами

Благодаря HPE Fortify Software Security Center различные группы специалистов по безопасности и разработке могут работать как единое целое, осуществляя приоритизацию, устранение, отслеживание, проверку и управление уязвимостями в развернутом ПО. Наборы инструментов для совместной работы и аудита позволяют ключевым сотрудникам применять воспроизводимые, автоматизированные процессы для более быстрого и экономически эффективного решения проблем. Более того, скорость реализации корректирующих мер возрастает, поскольку эти инструменты интегрируются с широко используемыми интегрированными средами разработки (IDE), средствами контроля качества (QA) и системами отслеживания ошибок.

Проактивное управление безопасностью программного обеспечения

Решение HPE Fortify Software Security Center дает вам возможность обеспечить безопасность всех связанных с программным обеспечением процессов. Его централизованные инструменты и предварительно определяемые шаблоны помогают автоматизировать и организовывать различные действия, необходимые для реализации политик обеспечения безопасности приложений и лучших методик уже на самых ранних стадиях разработки новых программ и на каждом этапе их жизненного цикла. Кроме того, он ведет записи обо всех действиях, связанных с безопасностью ПО, помогая создать систему ознакомления с аспектами безопасности в масштабах всей вашей организации.

Рис. 4. Информационная панель для руководителей
Информационная панель для руководителей в HPE Fortify on Demand демонстрирует все ключевые результаты ваших проектов по тестированию приложений на одном экране.