SWAT PRODUCT BROCHURE
BEVEILIGING VAN WEB APPLICATIES Het beveiligen van web applicaties is de afgelopen jaren voor veel bedrijven een enorme uitdaging geworden, omdat er op de markt weinig effectieve oplossingen beschikbaar zijn. Voor bedrijven zijn er momenteel een beperkt aantal opties; Een optie is het aanschaffen van een eenvoudige web applicatie scanner. Dergelijke scanners hebben helaas een zeer beperkte capaciteit, dit doordat een automatische web applicatie scanner de menselijke intelligentie mist van een Security Expert. Zeker voor bedrijven met een hoge merkwaarde en die online zeer actief zijn, biedt dit niet het gewenste resultaat. Een andere optie is het aanschaffen van een complexe web scanner, die voor een efficiënte werking van de organisatie de juiste mankracht vereist. De organisatie dient hiervoor de juiste mensen in dienst te hebben die ermee kunnen werken. Het gebruik van een dergelijke scanner kan hierdoor de jaarlijkse operationele kosten van een bedrijf sterk opdrijven, mede door hoge loon- en training kosten. Ook een optie is het inhuren van een IT Security bedrijf die voor de organisatie uitgebreide penetratietesten kan uitvoeren, om zo alle directe bedreigingen op te sporen op de website(s). Web applicatie testen (pen-testen) zijn zeer nauwkeurig, maar zijn helaas een moment opname en slechts een tijdelijke oplossing. Dit omdat er elke dag nieuwe aanvalsmethoden worden geïntroduceerd en de web applicaties vaak voortdurend worden aangepast. SWAT voorziet in deze behoefte en is de ultieme scanoplossing voor web applicaties. DE ULTIEME SCANOPLOSSING VOOR WEB APPLICATIES SWAT (Secure Web Application Tactics) is een totaaloplossing die de allerbeste scanprogramma s combineert met de menselijk intelligentie en ervaring van IT Security experts. SWAT is op dit moment de meest nauwkeurige en betrouwbare totaalscanoplossing voor web applicaties die beschikbaar is op de markt. Door het gebruik van intelligente technologieën is SWAT in staat om nieuwe bedreigingen op te sporen en hiervan te leren. Dit zonder de dagelijkse activiteiten van uw bedrijf te beïnvloeden. SWAT levert resultaten zonder false-positives, vereist geen speciale training en omvat 24 uur /7 dagen per week ondersteuning van zeer ervaren technici. Daarnaast biedt SWAT permanente bewaking en beveiliging van de websites, zelfs wanneer de web applicaties worden aangepast en er nieuwe aanvalsmethoden worden ontwikkeld.
VOORDELEN VAN DEZE OPLOSSING De uitdaging: web applicatiescanners kunnen de logica van een applicatie niet testen De oplossing: een combinatie van de allerbeste scanprogramma s met de menselijke intelligentie en ervaring van onze beveiligingsexperts Het testen op problemen met betrekking tot vertrouwelijkheid, toegangsrestricties of verticale escalatieaanvallen is zeer subjectief en moeilijk te realiseren met een traditioneel scanprogramma. Deze tests zijn volledig afhankelijk van menselijke perceptie van het functioneren van de applicaties. SWAT maakt gebruik van geavanceerde leerfuncties, nauwkeurige interne verwerkings- en verificatiediensten en combineert deze met de ondersteuning van ervaren beveiligingsexperts om zo ook voor deze bedreigingsklasse een volledige dekking te kunnen bieden. De uitdaging: beveiligingsscanners beschadigen regelmatig web applicaties en staan dagelijkse bedrijfsactiviteiten in de weg De oplossing: scannen zonder gevolgen voor de productie Web applicaties hebben een groot aantal verschillende functionaliteiten waarvan de werking tijdens het uitvoeren van een scan mogelijk kan worden aangetast. Ook kan technische input, zoals bepaalde databaseopdrachten, leiden tot het uitvoeren van ongewenste acties. SWAT houdt zich aan de aller strengste richtlijnen voor veilige scanbewerkingen om zo te voorkomen dat de beschikbaarheid of integriteit van gegevens wordt beïnvloed. De uitdaging: technische vulnerabilities zijn vaak moeilijk te begrijpen en vereisen ondersteuning door experts voor verdere uitleg De oplossing: 24/7 ondersteuning door ervaren technici Outpost24 biedt 24/7 ondersteuning door eerste lijn deskundige en zeer ervaren technici. Klanten kunnen ten alle tijden direct in de interface vragen stellen over geïdentificeerde vulnerabilities. Waarop onze beveiligingsexperts zo snel mogelijk zullen reageren. De uitdaging: web applicaties veranderen voortdurend door de introductie van nieuwe functies en nieuwe content De oplossing: permanente bewaking SWAT is een intelligente totaaloplossing die nieuwe bedreigingen kan opsporen en hierop kan reageren door de gedragspatronen aan te passen. SWAT biedt permanente bewaking van web applicaties en detecteert alle veranderingen, zoals bv. nieuwe pagina s of nieuwe content. Tijdens het scannen is de belasting minimaal terwijl er toch een maximale dekking wordt geboden. De uitdaging: onzorgvuldige detecties leveren onjuiste resultaten op en zien vulnerabilities over het hoofd De oplossing: analyse, verificatie, testen en eliminatie van false-positives SWAT levert rapporten met informatie die zijn geverificeerd door onze security experts. Dankzij deze rapporten is er geen sprake meer van false-positives en kunnen klanten hun risico s snel beperken.
TECHNISCHE VERGELIJKING De Open Web Application Security Project Top 10 (OWASP TOP 10) omvat de meest voorkomende en meest gerapporteerde vulnerabilities in web applicaties. De vulnerabilities zijn hierbij onderverdeeld in groepen. Traditionele web scanners pakken in veel gevallen slechts een gedeelte van de verschillende bedreigingsgroepen aan en leveren vaak hoge false-positives op. OWASP top 10 2013 Geautomatiseerde programma s Penetratietests SWAT A1-Injection A2-Broken Authentication and Session Management Geringe ondersteuning A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References Geringe ondersteuning A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Functio Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities Alleen standaardtypen Geringe ondersteuning Lage nauwkeurigheid Lage nauwkeurigheid en dekking A10-Unvalidated Redirects and Forwards
FINDINGS VIEW APPLICATION VIEW De onderstaande tabel Bewaking en dekking toont een beveiligingsbeoordeling van een applicatie en geeft aan of een programma veranderingen in die applicatie kan detecteren of een dynamische applicatie kan begrijpen en hiermee kan werken. Hoewel penetratietesten zeer uitvoerig zijn en een maximale dekking bieden, is het een momentopname en daardoor het beveiligingsniveau hiervan over langere tijd helaas beperkt. Bewaking en dekking Geautomatiseerde programma s Penetratietests SWAT Zero Touch Configuration Maximum links Doorgaans 2000-8000 Op basis van de tijd Onbeperkt Continuous detection Indien geïmplementeerd in het proces Test new deployed content Detect changed credentials Gering Rogue website detection Zelden Zelden Time available for a test Doorgaans 12-24 uur Doorgaans een week Doorlopend Smart form testing
Productieveiligheid heeft te maken met de invloed van een scanner of test op het testobject. Een penetratietest wordt vaak voor de veiligheid niet uitgevoerd op de productie omgeving, zodat de productieprocessen niet worden verstoord. Vaak worden de penetratietesten op speciale testomgeving uitvoert. Productieveiligheid is essentieel voor kritieke applicaties waarbij gegevensintegriteit zeer belangrijk is. Slecht uitgevoerde testen hebben gevolgen voor de veiligheid en voor de ervaring van de eindgebruikers van de applicatie. Productieveiligheid Geautomatiseerde programma s Penetratietests SWAT Production safe testing Normaal Low traffic and database intensity Submit forms only when safe Prevents dangerous link use
VULNERABILITY DISCUSSION VIEW De tabel Verificatie en begeleiding heeft te maken met de mate van expertise die een organisatie vereist om gebruik te kunnen maken en te profiteren van een oplossing. Beveiliging van web applicaties is vaak nog een niche-competentie voor organisaties en een hoge kosten post. Verificatie en begeleiding Geautomatiseerde programma s Penetratietests SWAT False positives removed Proof of exploitability provided Gering Vulnerability rating put in context Context-aware CVSS scoring Soms Unlimited re-testing and verifications Her-tests zijn zelden mogelijk Ask experts for advice on remediation Alleen bij levering Smart vulnerability grouping
OVER OUTPOST24 Outpost24 is een Europees bedrijf opgericht in 2001 dat marktspecialist is op het gebied van Vulnerability Management. Wij bieden geavanceerde oplossingen waarmee gebruikers kwetsbaarheden in hun netwerk kunnen opsporen en verhelpen. Outpost24 biedt real-time meldingen van vulnerabilities en oplossingsgerichte rapporten zodat bedreigingen direct kunnen worden herkend. Met meer dan 40 locaties wereldwijd scant Outpost24 ruim 400 miljoen IP-adressen per week en worden er dagelijks meer dan 12.000 vulnerabilities gedetecteerd. Vandaag de dag vertrouwen reeds meer dan 2.000 bedrijven ter wereld op de expertise van Outpost24 voor het beveiligen van hun interne en externe netwerken. Onze klanten variëren van overheidsorganisaties en financiële instellingen tot wereldwijde retailers en telecommunicatieproviders. Zie voor meer informatie over onze klanten en Outpost24 onze website www.outpost24.com