www.it-cube.de iT-CUBE SYSTEMS AG

Application Security: HPE Fortify

Data Sheet

Volle Kontrolle und Flexibilität über Ihren Application-Security-Testing-Prozess

Bereits heute nutzen mehr als 50% aller Cyber- Attacken unsichere An-wendungen als Ziel. So-mit stellen Anwendungen bzw. Software das größ-

te Risiko für Cyber-Attacken auf Unternehmen dar. Trotzdem investieren die meisten Unternehmen nach wie vor den Großteil ihres Budgets in die Absicherung ihrer Netzwerke und Netzübergänge. Weniger als 10% aller Firmen haben ihre geschäftskritischen Anwendungen auf Schwachstellen überprüft (vgl. SANS). Worin liegt die Ursache für dieses Investitionsverhalten? Wird die Gefahr unterschätzt? Gibt es zu wenig Expertise in Applikationssicherheit?Eine Überprüfung auf Schwachstellen mit Hilfe eines Scans wäre ein erster Schritt Angriffsvektoren in den Anwendun-gen zu erkennen. Anwendungen sicher zu machen be-deutet aber mehr. Grundsätzlich gilt es den kompletten Lebenszyklus der Anwendungen zu betrachten. Beginnend beim Design über Entwicklung und Test bis hin zum Betrieb und nicht zu vergessen dem Abschalten einer Anwendung, spielt IT-Security eine Rolle. Betrachtet man die Kosten zur Behebung von Schwachstellen, so liegen diese in der Be-triebsphase um den Faktor 30(!) höher als zu Beginn der Designphase.Ziel muss also sein, einen Secure Software Developement Lifecycle (SDLC) einzuführen, der das Thema IT-Security von Beginn an berücksichtigt. Unterstützt wird der SDLC-Prozess durch sogenanntes „White-Box-Testing“ in Form von Source Code Reviews, statischer Code-Analysen und klassischen Software-Tests. Der Vorteil der statischen Code-Analyse (SAST: Static Application Security Testing) ist de-ren weitgehende Automatisierung und damit verbundene Zeitersparnis sowie der Möglichkeit zur direkten Integra-tion in die jeweiligen Software-Entwicklungsumgebungen. So machen Sie es dem Entwickler leicht, sichere Software zu entwickeln. Wer Software im Auftrag entwickeln lässt, sollte darüber nachdenken seine Entwicklungspartner einer Zertifizierung zu unterziehen um auch dort die Nutzung ei-nes sicheren Entwicklungsprozess einzufordern oder besser: bereits während der Entwicklung mittels statischer Analyse die Einhaltung der Unternehmens-Policy sicherzustellen.Ist die Anwendung bereits in Betrieb, kann mittels „Black-Box-Testing“ ein möglicher Angriff auf die Anwendung simu-liert werden. Die Dynamische Analyse (DAST: Dynamic Ap-plication Security Testing) stellt hierbei ein automatisiertes

Verfahren zur Verfügung, um Anwendungen von außen mit allen damit verbundenen Schichten wie Datenbank, Server und Infrastruktur auf Schwachstellen zu testen. Dies ist eine optimale Ergänzung zu den Tests in der Entwicklungspha-se, kann aber auch ein Einstiegspunkt sein, wenn eine be-reits bestehende Anwendungslandschaft analysiert werden soll. Hier empfiehlt es sich, vorher einen Discovery-Scan der Anwendungslandschaft eines Unternehmens vorzunehmen.Ein weiterer Aspekt der Anwendungssicherheit gilt dem Security Monitoring zur Laufzeit der Anwendung. Zusätz-liche Komponenten in der Anwendung sorgen dafür, dass sämtliche Aktivitäten der Anwendung protokolliert und da-mit transparent werden. In Verbindung mit Logmanagement oder SIEM-Systemen können so Anomalien im Anwendungs-verhalten oder Angriffe erkannt werden. Sind solche Angriffe erst einmal erkannt, können aktive Reaktionen (Intrusion Re-sponse) eingeleitet und präventive Schutzmaßnahmen ein-geführt werden, z. B. Threat Intelligence Systeme, Malware-Detection-Systeme oder Web Application Firewalls (WAF) – Innovative Lösungen, die die Anwendungen lokal überwa-chen (Real-time application self protection – RASP)

HPE bietet eine Lösung für diese drei Bereiche: SAST, DAST und RASP:• SAST – HPE Fortify SCA (Software Code Analyzer), um den Quellcode einer Anwendung zu scannen• DAST – HPE Webinspect, um automatisierte oder manuelle dynamische Analysen durchzuführen• RASP – Application Defender und Application View, um auf Anomalien innerhalb der Anwendung schnell zu reagierenHPE bietet einen umfassenden und anpassbaren Überblick über Ihren Stand der Anwendungssicherheit und hilft dabei, ihn zu verbessern.

Abbildung 1: Vorteile von Fortify-on-Demand

Datasheet

www.it-cube.de iT-CUBE SYSTEMS AG

FunktionsweiseDie Lösung von HPE ist modular und fügt die Ergebnis-se verschiedener Tests zusammen, um einen einheitlichen Überblick über eine Anwendung zu haben.HPE Fortify und Webinspect können vor Ort installiert und selbst betrieben oder auch als Dienstleistung in der Cloud (Fortify-on-Demand (FoD)) angeboten werden. Keine andere Lösung bietet diese Möglichkeiten von so einer hohen Qualität.FoD ist eine bequeme und schnelle Alternative, den Quell-code hochzuladen, scannen zu lassen und die leicht lesba-ren Ergebnisse im Browser zu sehen. Dabei kann der Kunde unterschiedliche Werte auf die dynamische und statische Analyse legen, um präzisere Ergebnisse zu erhalten.Vorteile der FoD:• Entwickler können einfach den Quellcode hochladen und scannen lassen oder die URL eingeben (für Webanwendungen)• schnelle Ergebnisse vorhanden, die nur für den Kunden verfügbar sind• keine Hardware erforderlich. Es wird lediglich die Software benötigt.• externe Anwendungen, Komponenten und mobile Anwendungen werden ebenfalls unterstützt• Unterstützung der Kunden durch den Technical Account ManagerWeitere Highlights sind:• Berechtigungskonzepte; Rollen können z. B. Grup- pen in LDAP zugeordnet werden.• Kollaborationsplattform für Entwickler, IT Security, Auditoren und Management• zentrales Management des Workflows• 24 Programmiersprachen, mehr als 827.000 APIs und Hunderte von Schwachstellenkategorien• intuitive Oberfläche, um eigene Regeln zu erstellen• Integration mit vielen EntwicklertoolsFortify-on-premise besteht aus diesen optionalen Kompo-nenten, auf die weiter unten eingegangen wird:• HPE Fortify SCA • HPE Fortify Audit Workbench• HPE Fortify IDE Plugins (Visual Studio, Eclipse, JDeveloper)• HPE Fortify SSC Server• HPE Webinspect• HPE Webinspect Agent

Abbildung 2: Bewertung der Ergebnisse in der Oberfläche

Abbildung 3: HPE Webinspect – Scan-Ergebnisse

Abbildung 4: HPE Fortify SSC bei einer Review

HPE Fortify-on-premise ist eine Gruppe von Tools, die man vor Ort einsetzen und flexibel konfigurieren kann. Der anpass-bare Scan erfolgt im Hintergrund und kann automatisch oder manuell gestartet werden. Die Ergebnisse werden in einer Datei gespeichert und können in einem Browser, oder direkt in der Software bewertet werden. Weil man die volle Kontrol-le über den Scan hat, kann man genauer definieren, wonach gesucht werden sollte und sogar eigene Regeln definieren.HPE Fortify wird unter anderem, für seinen Umfang im Bereich von DAST, SAST, IAST Testing und RASP (Real-Time Applica-tion Selfprotection) hochgeschätzt.

Datasheet

www.it-cube.de iT-CUBE SYSTEMS AG

Architektur Modell:Fortify-on-premise lässt sich flexibel in der bestehenden Um-gebung integrieren.Einige Beispiele:• Integration mit Visual Studio 2013 als auch mit Visual Studio Online• Out-of-the-box-Integration mit IDEs: JDeveloper, Visual Studio, Eclipse, Android Studio, IntelliJ• Build Server: Microsoft TFS, Hudson, Jenkins• Build Management: Maven, Ant• Bugtrackers: JIRA, Bugzilla, TFS• Integration mit Software Composition Analysis wie Sonata Software• Integration mit Software Quality Tools wie Sonar Qube

Scans können parallel laufen und je nach Bedarf skaliert werden.Die vollständige Umgebung besteht aus diesen Bausteinen:• HPE Fortify SCA, um den Quellcode zu scannen;• HPE Fortify Audit Workbench, um die Ergebnisse zu sehen und zu bewerten;• HPE Fortify IDE Plugins, um die Schwachstellen zu beheben;• HPE Webinspect, um die dynamischen Scans durchzuführen;• HPE Webinspect Agent, um die Events der dynamischen Scans aus der Anwendungssicht besser zu interpretieren;• HPE Fortify SSC, um Projekte zu erstellen, Ergebnisse zu teilen und die Umgebung zu verwalten;• HPE Application Defender, um vor Attacken auf JAVA- und .NET-Anwendungen in Echtzeit zu schützenFür die statische und dynamische Analyse wird empfohlen, performante Server einzusetzen. Virtuelle Maschinen sind jedoch auch denkbar.

Die zentrale Komponente HP Fortify SSC benötigt eine Datenbank, wo die Ergebnisse und Einstellungen gespei-chert werden und den Applikationsserver, in dem die Soft-ware als Webkomponente läuft.Eine Integration in den Security-Testing-Prozess könnte wie folgt aussehen:

PreismodellDas Lizenzierungsmodell ist für Fortify-on-Premise und Fortify-on-Demand vorhanden.Fortify-on-Premise:• Fortify SCA + Fortify SSC (optional) + Audit Work- bench für SAST. Mögliche Kriterien sind Anzahl der Projekte und die Anzahl der Scan-Benutzer (Analyzers)• Webinspect + Webinspect Agent (kostenfrei). Mögliche Kriterien sind Anzahl der Projekte und die Anzahl der Benutzer.• Es können beliebig viele Endnutzer definiert und beliebig viele Scans gemacht werden.Fortify-on-Demand:Es werden statische und dynamische Scans angeboten, wobei der dynamische Scan abgestuft ist, je nachdem wie tiefgehend der er ist:• Express, Standard, Baseline oder Premium• jeder Scan beinhaltet eine manuelle Review• je kritischer die Anwendung ist, desto tiefer wird der Stufengrad empfohlen• dies gilt für mobile und Web-AnwendungenDas Kriterium für die Lizenz ist die Anzahl der Anwendun-gen oder URLs und der Scans. Re-Scans sind bereits im Preis inbegriffen.

Abbildung 5: Architektur-Modell

Abbildung 6: Statischer Scan im Prozess

Datasheet

Paul-Gerhardt-Allee 2481245 München, Germany

T: +49 89 2000 148 00 F: +49 89 2000 148 29

info@it-cube.de www.it-cube.de

iT-CUBE SYSTEMS AG

Unsere Experten sind für Sie da, wir helfen Ihnen gern weiter. Kontaktieren Sie uns jederzeit, unverbindlich!

LeistungenDie Consultants von iT-CUBE SYSTEMS stehen bereits bei der Konzepterstellung zur Verfügung und helfen, den opti-malen Ansatz zu evaluieren, um die besten Möglichkeiten vorzustellen.In Zusammenarbeit mit dem Hersteller können zusätzliche Leistungen implementiert werden, sollte die Integration nicht out-of-the-box verfügbar sein.Unsere Leistungen zu HPE Fortify / HPE Webinspect:• Konzepterstellung• Proof-of-Concept• Implementatierung und Konfiguration• Integration• Unterstützung bei den Scans• Unterstützung bei Remediation• Schulung für Mitarbeiter (Infrastruktur, Entwickler)

Warum iT-CUBE?Die Experten von iT-CUBE beraten Sie wie Anwendung von Anfang (Development) bis zu Release (Protect) getes-tet, verbessert und abgesichert werden können – auch mit anderen Themen wie Vulnerability Assessment, Web Application Firwall oder Realtime Protection. Wir liefern Ihnen ein Security-Konzept und Beratung aus einer Hand. Darüberhinaus beschäftigt iT-CUBE eigene Entwickler, die ein SAP®-Security-Produkt entwickeln – agileSI™. Wir sind keine Theoretiker! Unser Team setzt sich aus Leuten mit ver-schiedenenSicherheitshintergründen zusammen: Entwickler, Ethical-Hackers, Administratoren und Auditoren.Ebenso wichtig zu betrachten ist der Return on Security- Investment – je früher man testet, desto günstiger ist es, die Fehler in der Software zu beheben, wie das Diagramm darstellt:

Am besten ist es, noch in der Designphase die Sicherheits-anforderungen zu bedenken, denn nach dem Einsatz in der Produktionsumgebung steigen die Kosten um das15-fache!

Nutzen des ProduktsAnwendungen und deren Umgebung werden oft in IT-Sicherheitsaudits von Externen geprüft. Das Scannen der Anwendungen, die die Organisation tätigt stellt, sicher, dass die Sicherheitslücken noch vor den Augen Dritter ent-deckt werden. Anwendungsfehler werden nach der Kritika-lität behoben und eine Roadmap kann erstellt werden. Die Lösung bietet ein klares und maßgeschneidertes Konzept mit verschiedenen Möglichkeiten, was das Service-Level betrifft. Zusätzlich wirkt sich das Produkt positiv auf ande-re IT-Tätigkeiten aus. Es wird ein Testing-Prozess entwickelt, der die bestehenden Abhängigkeiten und die Umgebung reflektiert. Rollen (Auditoren, Compliance, Entwickler, Ma-nagement, Endbenutzer) werden klar verteilt. Darüber hi-naus ermöglicht HPE Fortify die Integration des statischen Scans in die Entwicklungsumgebung inklusive Remediation und in den Build-Prozess mit Continuous Integration. Dank der Lösung bekommt man editierbare Berichte mit nach-weisbaren Ergebnissen. Zudem wird die Kollaboration mit anderen Teams durch ein zentrales Repository vereinfacht.ProjekteEvaluierungsprojekt bei einer deutschen Behörde• SAST• JAVA Landschaft • Integration mit JDeveloper, Eclipse, Hudson Build Server, SonarQube, JIRA• PräsentationProjekt bei einer internationalen Organisation in Österreich• SAST• .NET Umgebung• erfolgreiche Tests mit Visual Studio• Implementierung von HPE Fortify SCA und HPE Fortify SSC• Integration mit TFS, Visual Studio 2015 Online, Visual Studio 2013, Eclipse, Active Directory• Schulung für >20 Mitarbeiter bezüglich Installation und Verwendung der SuiteEvaluierungsprojekt bei einer Fluggesellschaft in Deutschland• SAST• JAVA Umgebung• erfolgreiches Testen von Java Anwendungen, Erklärung der Ergebnisse• Management Präsentation

Die iT-CUBE SYSTEMS AG ist zertifizierter Silber HPE Fortify Partner und beschäftigt Mitarbeiter mit den Zer-tifizierungen HPE Accredited Technical Professional Fortify Security V1 und HPE Technical Sales Fortify Security Solutions.

Abbildung 8: Behebungskosten in SDLC (Quelle: NIST)