Na aplikacích je založen byznys většiny firem digitální ekonomiky. Zdaleka přitom nejde jen o nástroje pro kontakt se zákazníky na front-endu, s aplikacemi stojí i padá i provoz back-endu, který koncoví uživatelé na první pohled nevidí. Neobejdou se bez nich zaměstnanci, ale ani desítky podnikových systémů. Jsou tak logicky i nejčastějším terčem útoků a aplikační bezpečnost proto představuje klíčovou část ochrany firmy. Jeden z nejkomplexnějších přístupů k aplikační bezpečnosti přináší řešení Fortify od společnosti OpenText Cybersecurity.
Shift-Everywhere – testování v každé fázi vývojového cyklu
Aplikační bezpečnost se soustavně vyvíjí. Mnoho firem si její důležitost uvědomuje a aktivně aplikuje „Shift-Left“ princip, tedy zařazení testování aplikací již do rané fáze jejich vývojového cyklu. Díky „Shift-Left“ principu se vývoj aplikací výrazně zefektivnil. Moderní vývoj aplikací se vyznačuje významně vyšším využíváním API, open source, kontejnerů a cloudu. To s sebou ovšem přináší nové zranitelnosti, na něž se hackeři zaměřují. Jejich eliminace v segmentu bezpečnosti aplikací vyžaduje změnu, kterou dnes nazýváme „Shift-Everywhere“. Jde o koncept, kdy je třeba zabezpečit a otestovat všechny aplikace v každé fázi jejich vývojového cyklu a zároveň zajistit optimální rovnováhu mezi požadavky na rychlý vývoj, bezpečnost a práci bezpečnostních a vývojových týmů.
Poskládejte si bezpečnost podle svých potřeb
Fortify představuje komplexní a škálovatelné softwarové řešení pro end-to-end aplikační bezpečnost. Jeho předností je bezproblémová integrace s většinou vývojových nástrojů a firemních procesů. Samotná implementace Fortify může být on-premise, jako služba (security as a service) nebo jako hybridní model (SaaS).
Fortify přitom zahrnuje sadu vzájemně provázaných nástrojů/komponent, které lze nasazovat a využívat dle aktuálních požadavků společnosti.
- Fortify SAST: Static Code Analyzer (SCA) implementuje bezpečnost už do fáze vývojového procesu. Analyzuje programový kód a identifikuje možná místa zranitelnosti. Provádí jejich prioritizaci a zároveň poskytuje best-practice doporučení na jejich eliminaci, aby vyvíjený kód byl bezpečný. Fortify pokrývá více než 30 programových jazyků a frameworků.
- Fortify DAST: WebInspect identifikuje a validuje bezpečnostní rizika u běžících aplikací. Používá přitom simulované externí útoky na běžící aplikace. Zjištěným zranitelnostem přiřazuje priority pro následnou analýzu, jejímž cílem je najít jejich příčiny.
- Fortify SCA: Software Composition Analysis integruje bezpečnostní mechanismy pro používaný open source nebo jiné softwary třetích stran. Provádí analýzu jejich zranitelnosti včetně možných dopadů na vyvíjené aplikace. Součástí je i analýza licenční compliance používaného open source.
- Fortify Platform: Software Security Center poskytuje společnou platformu pro práci bezpečnostních a vývojových týmů. Jedná se o jednotnou management repository umožňující vhled na bezpečnostní incidenty napříč celým bezpečnostním programem.
- Fortify Insight agreguje data z mnoha zdrojů (SAST, DAST, PEN TESTING, OPEN SOURCES, kontejnerů, …) a poskytuje možnosti jejich analýzy a reportingu.
- Fortify Audit Assistant s využitím strojového učení dokáže efektivně identifikovat a především prioritizovat detekované hrozby. Významně redukuje množství incidentů, u kterých je nutná manuální lidská kontrola a analýza.
Pětkrát plus pro Fortify
Vysoká poptávka a potřeba na trhu: Digitalizace firemních procesů přináší i nové bezpečnostní hrozby. Ty se stále rychleji přesouvají na aplikační vrstvu. Proto se konceptuální přístup k bezpečnosti aplikací stává zcela po právu klíčovou iniciativou.
Fortify je lídr v oblasti aplikační bezpečnosti: Fortify je ověřené řešení, které má za sebou více než dvacetiletou historii. Je kontinuálně označováno za lídra na trhu nejen společnostmi Gartner, Forester, IDC nebo G2, ale především stovkami zákazníků, kterým pomáhá vytvářet a provozovat bezpečné aplikace. Globálně je řešení Fortify úspěšně využíváno 9 z 10 největších IT společností, 9 z 10 největších bank, 4 z 5 největších farmaceutických společností, 5 z 5 největších telekomunikačních společností a 3 ze 3 největších nezávislých softwarových dodavatelů.
Fortify nabízí komplexní „end to end“ řešení: Fortify pokrývá v rámci jednotné platformy celou šíři aplikační bezpečnosti. SAST pro statickou analýzu kódu, Software Composition Analysis pro bezpečnost používaného open source, DAST pro běžící aplikace a také pokrývá oblast bezpečnost mobilních aplikací (MAST).
Fortify poskytuje široké možnosti integrace s nástroji pro IDE, source control platformami, ticket systémy, aplikačními firewally, CI/CD servery nebo testovacími nástroji. Současně jsou komponenty Fortify včleněny do jednotlivých fází vývojového cyklu aplikací.
Flexibilní využití Fortify: Zákazníci mají flexibilní možnosti využívat Fortify ať už jako službu (Fortify on Demand); nebo jako hostované řešení (SaaS); nebo klasické použití Fortify on-premise na infrastruktuře zákazníka.
Co si přečíst i toto?
I zdánlivě dokonalá ochrana firemního perimetru může mít trhlinky. Firewally na vstupu do datacentra pak ani nemusí zaznamenat škodlivý pohyb uvnitř, v east-west provozu mezi jednotlivými součástmi sítě. Nové switche Aruba CX 10000 umožňují pokročilé bezpečnostní řešení rozprostřít skutečně do všech segmentů sítě a bránit vnitřním útokům.
Její kariéra v IT trvá už dvacet let. Což jsou v oblasti informačních technologií vlastně světelné roky. „Náš obor je neskutečně živý. Je pro lidi, kteří mají rádi, když věci odsýpají. Nikde jinde se tak rychle neděje tolik inovací. Budu-li pracovat v potravinářském průmyslu, tak je velmi pravděpodobné, že mě za mou kariéru nečeká velká revoluce.
