IBM Rational AppScan
Het IBM Rational AppScan portfolio biedt complete oplossingen voor het analyseren en remediëren van security vulnerabilities in webapplicaties, en het toetsen ervan op compliancy. IBM Rational AppScan is de onbetwiste marktleider volgens tal van rapporten in de industrie.
Waarom?
IBM’s X-Force research meldde dat in 2010 maar liefst 55% van alle gerapporteerde vulnerabilities in software te vinden zijn in webapplicaties. Deze vulnerabilities zorgen ieder jaar weer voor miljoenen records uit databases die op straat komen te liggen. Om uw eigen webapplicaties te beschermen is een firewalls niet genoeg. Deze beschermt de web infrastructuur tegen netwerkaanvallen. En hoewel sommige firewalls een basisprotectie voor webapplicaties bieden, beschermen deze niet tegen applicatiefouten. Het IBM Rational portfolio pakt het probleem bij de bron aan. Zij biedt tools en een structurele methode om fouten (waaronder dergelijke vulnerabilities) op te sporen en op te lossen.
Applicatie vulnerabilties: top 3 risico’s voor zakelijke continuïteit:
- Klant gegevens op straat → reputatie schade
- Downtime
- Niet compliant, certificatie blijft uit of leidt tot boetes
IBM Rational AppScan wordt geadviseerd bij:
- Webapplicaties die via het internet worden aangeboden (b.v. klant portals)
- Webapplicaties die gevoelige data gebruiken (online winkels, banken, gemeenten, gezondheidszorg)
- Webapplicaties die buitenshuis worden ontwikkeld (validatie security)
Edities
IBM Rational AppScan kan op verschillende wijzen worden ingezet. Dat kan als ‘black box’ scantool, waarbij een dynamische analyse wordt gedaan op een bestaande webapplicatie. Maar ook als ‘white box’ scan oplossing, waarbij structurele statische analyse van broncode wordt gedaan, en bij voorkeur in de SDLC wordt geïntegreerd. Combinaties, al dan niet inclusief enterprise ready reporting, is ook mogelijk. U vindt hier het overzicht van de verschillende edities:
| AppScan Edition | Source | Standard | Enterprise | Reporting Console | Build | Tester | Express | OnDemand |
|---|---|---|---|---|---|---|---|---|
| Overview | Source code-level insight into Web application vulnerabilities within the development environment | Desktop solution to automate Web application security testing | Multi-user solution providing simultaneous application security scanning and centralized reporting | Provides centralized reporting on web application vulnerability data | Embeds web application security testing into the build management workflow | Integrates Web application security testing into the quality assurance process | Affordable Web application security for smaller organizations | Identifies and prioritizes Web application security vulnerabilities across the enterprise through an outsourced SaaS model |
| Intended Users | Development teams | Small security teams with several security testers | Large, diverse set of users including security, development and QA professionals | Users who require aggregated scan results and reporting across multiple instances of AppScan Standard, Express Editions and Source Edition. | Development teams | Quality assurance teams looking to integrate security testing into their existing environment and set of test cases | Individual IT security professional | Organizations with little to no security expertise who require a hosted solution with the option to choose an IBM managed solution |
| Deployment | Client/Server | Desktop software | Client/Server | Client/Server | Build Server | Client/Server | Desktop software | SaaS |
| Dynamic Analysis | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
| Static Analysis | ✓ | JSX | ✓ | JSX | ✓ | |||
| Hybrid Analysis | JSX | Correlation Reporting | Correlation Reporting | ✓ | JSX | |||
| Simultaneous Scans | ✓ | ✓ | ||||||
| Web applications scanning | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Web Services scanning | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| Malware Scanning | ✓ | ✓ | ✓ | ✓ | ||||
| Non-Web Application | ✓ | ✓ | ✓ | |||||
| Reporting | Local | Local | Enterprise-wide | Enterprise-wide | Local or via AppScan Enterprise/ Reporting Console | Integrated with Rational Quality Manager Reporting | Local | Enterprise-wide |
PEN-testing
Wilt u éénmalig in kaart brengen hoe goed uw webapplicatie beveiligd is? Of wilt u periodiek inzicht in de status van uw webapplicatie? ON2IT biedt u de mogelijkheid om uw applicatie blackbox te laten analyseren met IBM AppScan Standard. U ontvangt een rapport waarin een specialist van ON2IT de resultaten van het onderzoek duidt en u advies geeft over eventueel te nemen stappen. Daarnaast ontvangt u een digitaal interactief scanrapport, dat gebruikt kan worden om ontwikkelaars inzicht te verschaffen in de security aspecten van uw applicatie, en om de lekken in uw applicatie op te lossen.
