Hãng sản xuất: Micro Focus
Các loại giải pháp an ninh cho hệ thống công nghệ thông tin bao gồm: hệ thống quản ký truy cập & định dang (Indentity & Access Management), các giải pháp bảo vệ an ninh tại lớp mạng (Network Security), giải pháp bảo vệ tại các máy tính (Host Security), giải pháp theo dõi và giám sát an ninh tập trung (Security information and Event Management (SIEM)), giải pháp an ninh cho ứng dụng (Application Security).
Trước đây các tổ chức đầu tư để bảo vệ cho các hệ thống như: mạng (network) và máy chủ (server) bởi vì đây là những thực thể mà tổ chức có thể nhìn thấy được, làm việc và có thể kiểm soát được. Đối với các nhân viên trong đội ngũ an ninh (Security Team), phần mềm thực sự là một vấn đề, chính xác họ không biết bên trong nó (code level) như thế nào, đơn giản chỉ là vận hành ứng dụng đó. Như vậy làm sao để có thể bảo vệ được các ứng dụng? Các tổ chức tin rằng việc thực hiện bảo vệ ở các lớp mạng (network) và máy chủ (server) là có thể bảo vệ được các ứng dụng. Tuy nhiên các lớp bảo vệ này không thể thực hiện được. Ngày nay các ứng dụng/phần mềm là một đối tượng mới cần được bảo vệ.
Vì sao? Vì ứng dụng dễ dàng bị khai thác/tấn công và bị lờ đi trong thời gian dài. Ngoài ra các tấn công thẳng vào ứng dụng sẽ cho phép Hacker thực hiện các truy cập đến dữ liệu cá nhân/các thông tin của người dùng, đây là các thông tin vô cùng nhạy cảm. Các giải pháp bảo an ninh bảo vệ ở mức mạng và ở mức nền tảng hệ thống IT không còn hiệu quả đối với các đe dọa ngày nay. Do vậy cần thiết phải thực hiện việc kiểm soát và bảo vệ các ứng dụng/phần mềm.
Giải pháp an ninh toàn diện cho ứng dụng Web cho phép thực hiện đánh giá, kiểm soát và bảo vệ các ứng dụng, phần mềm theo dạng Blackbox. Bằng cách thực hiện việc dò quét, nhận diện các điểm yếu tồn tại trong ứng dụng, đồng thời cung cấp các hướng dẫn chi tiết để khắc phục điểm yếu…
Đặc tính kỹ thuật cơ bản:
- Cho phép đánh giá điểm yếu của ứng dụng Web, Web services.
- Cho phép thực hiện nhiều dò quét đồng thời.
- Cho phép thay đổi, tùy chỉnh chính sách dò quét để phù hợp với yêu cầu của tổ chức.
- Cho phép thực hiện so sánh báo cáo giữ 2 lần dò quét để so sánh sự khác nhau giữa 2 lần đánh giá.
- Cung cấp tính năng duy trì danh sách điểm yếu False Positive
- Cho phép cung cấp chi tiết các điểm yếu trong khi dò quét vào Web Application Firewall hoặc IPS để ngăn chặn các tấn công khai thác
- Cho phép tạo báo cáo theo các chuẩn như: Payment Card Industry Data Security Standard (PCI DSS), OWASP Top 10, ISO 17799, ISO 27001, Health Insurance Portability and Accountability Act (HIPAA).
- Cung cấp bộ các công cụ chuẩn đoán và kiểm thử như:
- Audit Inputs Editor
- Compliance Manager
- Encoders/Decoders
- HTTP Editor
- License Wizard
- Log Viewer
- Policy Manager
- Regular Expression Editor
- Server Analyzer
- SQL Injector
- Support Tool
- SWFScan
- Traffic Tool
- Web Discovery
- Web Form Editor
- Web Macro Recorder (Unified)
- Web Proxy
- Web Services Test Designer
- Cho phép thực hiện kiểm tra các điểm yếu như:
- Reflected cross-site scripting (XSS)
- Persistent XSS
- DOM-based XSS
- Cross-site request forgery
- SQL injection
- Blind SQL injection
- Buffer overflows
- Integer overflows
- Remote File Include (RFI) injection
- Server Side Include (SSI) injection
- Operating system command injection
- Local File Include (LFI)
- Parameter Redirection
- Auditing of Redirect Chains
- Session strength
- Authentication attacks
- Insufficient authentication
- Session fixation
- HTML5 analysis
- Ajax auditing
- Flash analysis
- HTTP header auditing
- Detection of Client-side technologies
- Secure Sockets Layer (SSL) certificate issues
- SSL protocols supported
- SSL ciphers supported
- Server misconfiguration
- Directory indexing and enumeration
- Denial of service
- HTTP response splitting
- Windows® 8.3 file name
- DOS device handle DoS
- Canonicalization attacks
- URL redirection attacks
- Password auto complete
- Cookie security
- Custom fuzzing
- Path manipulation—traversal
- Path truncation
- WebDAV auditing
- Web services auditing
- File enumeration
- REST full services auditing
- Information disclosure
- Directory and path traversal
- Spam gateway detection
- Brute force authentication attacks
- Known application and platform vulnerabilities
Mô hình triển khai
Việc triển khai phần mềm quản lý điểm yếu ứng dụng Web đơn giản. Chỉ cần sử dụng một máy chủ có sẵn hoặc một máy trạm của người quản trị để cài đặt phần mềm. Thông thường hệ thống này được bố trị tại vùng mạng quản trị.
Lợi ích của giải pháp
- Cho phép phát hiện và có phương án xử lý đối với các điểm yếu đang tồn tại trong ứng dụng Web, bao gồm các ứng dụng Web đang hoạt động hay đang trong quá trình phát triển.
- Hạn chế và chủ động ngăn chặn được các rủi ro xuất phát từ các điểm yếu trên ứng dụng Web.
- Nâng cao khả năng bảo mật cho hệ thống thông qua việc tích hợp giải pháp này với các giải pháp như: IPS, SIEM, WAF.
- Tích hợp giữa SCA (Static Testing) và Webinspect (Dynamic Testing).
Đôi nét về Micro Focus:
Micro Focus là một công ty hàng đầu thế giới chuyên cung cấp các giải pháp phân tích bảo mật cho các sản phẩm công nghệ thông tin và phần mềm được thành lập năm 1976 có trụ sở tại Newbury, Berkshire, Anh. Hiện nay công ty là một phần của OpenText – một công ty công nghệ đến từ Canada sau thương vụ mua lại vào tháng 1 năm 2023.
Giải pháp Microfocus Fortify – Software Security Testing của công ty đã 10 năm liên tiếp trong nhóm Top Leader Gartner, được hầu hết các tổ chức lớn trên thế giới (Foutune 500) ở các lĩnh vực lựa chọn sử dụng:
Mọi thông tin chi tiết Quý khách vui lòng liên hệ:
Công Ty Cổ Phần Công Nghệ Speed-X Việt Nam
Địa chỉ: Tầng 5 tòa nhà An Phú, số 24 đường Hoàng Quốc Việt, Phường Nghĩa Đô, Quận Cầu Giấy, Thành phố Hà Nội, Việt Nam
Điện thoại: 0243.8585.111; Email: sales@speed-x.vn; Website: www.SPEED-X.vn
