Fortify 360 Proteger toda su cartera de software
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Fortify 360
Fortify
®
Proteger toda su cartera de software
“El enfoque integral con el que Fortify aborda la seguridad de las
aplicaciones permite proteger verdaderamente nuestra empresa de
las cambiantes amenazas para la seguridad de hoy en día.”
— Craig Schumard, CISO, CIGNASoftware Security Assurance (SSA) – Eliminar el riesgo del software
Nuestra misión es ayudar a nuestros clientes a asegurarse de que toda su
cartera de software sea segura (con independencia de si se trata de software
creado internamente, adquirido de fabricantes u obtenido de la comunidad
de código abierto).
Los ataques al software por parte de hackers, delincuentes y usuarios
internos pueden provocar la interrupción del negocio, deterioro de la
imagen de marca, tremendas pérdidas financieras y daños a personas
inocentes. Los objetivos de estos ataques son las vulnerabilidades ocultas
en las aplicaciones de software. Estas vulnerabilidades, que son el resultado
de años de prácticas de programación en las que no se ha tenido en cuenta
la seguridad, están a la espera de ser explotadas. Y para empeorar aún más
las cosas, siguen entrando en las organizaciones nuevas vulnerabilidades
desde sus propios grupos de desarrollo, así como a través de adquisiciones
a fabricantes, proveedores externos y proyectos de código abierto.
Alarmados por este daño potencial a gran escala tanto en el ámbito social
como en el comercial, los organismos públicos y las organizaciones
sectoriales han ido endureciendo las exigencias en materia de seguridad
de las aplicaciones. En la actualidad, muchas organizaciones están
obligadas a resolver el riesgo que entrañan sus aplicaciones y a acreditar el
cumplimiento de la normativa.
Software Security Assurance (control de la seguridad del software), o
SSA, es un enfoque sistemático de la eliminación de riesgos de seguridad
en el software y el cumplimiento de la normativa exigida tanto por la
administración como por las organizaciones sectoriales. Mientras que el
control de calidad del software (Software Quality Assurance) garantiza que
el software funcione de la forma requerida, SSA garantiza que el software
no pueda utilizarse de manera que pueda causar daño a la organización.
SSA atiende la necesidad inmediata de eliminar las vulnerabilidades de las
aplicaciones desplegadas, así como la necesidad sistemática y continuada de
producir y adquirir software seguro.
Fortify, gracias a la combinación de sus productos y servicios líderes del
mercado, ha ayudado a más de 500 organizaciones de todo el mundo a
lograr una reducción cuantificable del riesgo a través de un programa
SSA efectivo. Fortify ofrece Fortify 360, la suite de productos para SSA
líder del mercado. La organización Global Services de Fortify proporciona
asesoramiento y experiencia en la implementación de SSA, mientras que
Security Research Group de Fortify garantiza que las capacidades de SSA
del cliente sean suficientes para responder ante un panorama de amenazas
en constante evolución.
“Hoy en día, el paso más importante que deben dar las empresas para reducir el
riesgo es exigir la implementación de mejoras en el software y las aplicaciones
mal diseñadas e inseguras.”
—John Pescatore, Analista ejecutivo, GartnerFortify 360
®
La suite de soluciones líder del mercado para la contención, eliminación y prevención de
vulnerabilidades en el software
Fortify 360 ofrece las prestaciones analíticas, paliativas y administrativas críticas para que un programa
SSA de clase empresarial tenga éxito.
• Identificación Identificación exhaustiva de la causa raíz de más de 400 categorías de
vulnerabilidades de seguridad en 17 lenguajes de programación
• olución Combina seguridad, desarrollo y administración para resolver las vulnerabilidades de
S
software existentes
• ontrol Monitoriza la implantación del programa SSA en toda la organización y previene contra
C
la introducción de nuevas vulnerabilidades procedentes del desarrollo interno, de proveedores
externos y de fabricantes a través de la automatización de los procesos Secure Development
Lifecycle (ciclo de vida de desarrollo protegido)
• efensa de aplicaciones Contiene rápidamente las vulnerabilidades existentes para que no puedan
D
ser explotadas
• Cumplimiento Acredita fácilmente el cumplimiento de la normativa y de los reglamentos
sectoriales, además de las políticas internas
Auditor CISO
Desarrollador Administrador
de riesgos
3 WWW.FORTIFY.COMDetección y solución de vulnerabilidades
Reducción máxima del riesgo en el código fuente
Fortify 360 identifica la causa raíz de las vulnerabilidades de la
seguridad del software tanto en el código fuente como en las
aplicaciones en ejecución mediante la detección de más de
400 tipos de vulnerabilidades de 17 lenguajes de programación
y 600.000 API de nivel de componentes. Las vulnerabilidades
pueden recabarse durante la fase de desarrollo o la fase de
control de calidad de un proyecto, o incluso después de que
una aplicación haya entrado en producción, lo que minimiza
el riesgo de que no se haya detectado un problema grave. Fortify 360 presenta resultados integrados del
Para garantizar que los problemas más graves se resuelvan en analizador estático y de los analizadores dinámicos
primer lugar, Fortify 360 correlaciona y prioriza los resultados
para que sean resueltas y supervisar las actividades hasta su
de sus analizadores para ofrecer una lista de problemas precisa
finalización. El módulo Collaboration de Fortify 360, basado
y ordenada por nivel de riesgo.
en la Web, proporciona un espacio de trabajo y un depósito
compartidos en el que profesionales de la seguridad de
Armonizar el conocimiento y resolver los
aplicaciones, desarrolladores y jefes pueden colaborar en la
problemas en una mayor cantidad de código
revisión del código y en las actividades de resolución. Los
Fortify 360 ofrece un conjunto completo de prestaciones de desarrolladores pueden resolver los problemas en su entorno
colaboración para efectuar rápidamente el triaje y resolver las de desarrollo preferido mientras colaboran con el equipo de
vulnerabilidades identificadas por sus tres analizadores. Los seguridad empleando complementos para Eclipse y Microsoft
profesionales dedicados a la seguridad de aplicaciones, los Visual Studio.
desarrolladores y sus jefes pueden colaborar de la forma que
Con Fortify 360, los desarrolladores aprenden prácticas de
les resulte más adecuada empleando interfaces específicas
codificación segura mientras resuelven las vulnerabilidades.
para cada rol.
Por cada vulnerabilidad, Fortify 360 proporciona información de
Diseñado específicamente para el profesional de la seguridad referencia al desarrollador en la que se describe el problema
de aplicaciones, Fortify 360 Audit Workbench proporciona los y las formas de resolverlo en el lenguaje de programación
medios para analizar vulnerabilidades individuales, asignarlas específico del desarrollador.
Para identificar vulnerabilidades tanto en el código fuente como en aplicaciones en ejecución,
Fortify 360 ofrece los siguientes analizadores estáticos y dinámicos:
Analizador Tipo Descripción Uso
Se utiliza durante la fase de
Source Code Análisis estático El componente SCA de Fortify desarrollo con el fin de identificar
360 examina el código fuente las vulnerabilidades en una fase
Analyzer (SCA) de una aplicación en busca de temprana del ciclo de desarrollo,
vulnerabilidades potencialmente cuando resulta menos costoso
explotables. atajarlas.
PTA identifica aquellas vulnerabilidades
Program Trace Análisis dinámico que sólo pueden detectarse cuando una
Durante la fase de control
de calidad para detectar
Analyzer (PTA) aplicación está en ejecución, además vulnerabilidades como parte del
de verificar y priorizar aun más los proceso normal de comprobación.
resultados obtenidos mediante SCA.
RTA monitoriza las aplicaciones
Real-Time Análisis dinámico desplegadas para identificar cómo, Mientras la aplicación se
Analyzer (RTA) cuándo y por quién está siendo encuentra en producción para
atacada la aplicación. Proporciona detectar nuevas vulnerabilidades
información detallada “desde explotables o aquellas que no
dentro de la aplicación” en la que se se hayan detectado durante el
identifica aquellas vulnerabilidades desarrollo.
que están siendo explotadas.
WWW.FORTIFY.COM 4SSA Governance de Fortify 360
El módulo SSA Governance de Fortify 360
proporciona visibilidad y control de los
programas SSA aplicados al conjunto de
la organización
Control de SSA
Administrar las tareas de Software Security de más tiempo para la realización de otras actividades.
Assurance Las prestaciones avanzadas de generación de informes
y visualización proporcionan los medios necesarios para
Los programas SSA aplicados al conjunto de la organización
consolidar rápidamente los resultados obtenidos de todos los
pueden plantear numerosos retos al equipo de seguridad.
proyectos, producir informes específicamente diseñados para
Conforme aumenta el número de proyectos de SSA, el
ejecutivos e identificar aquellas áreas en las que es posible
equipo de seguridad puede tener dificultades para atender
mejorar.
las peticiones realizadas por equipos de desarrollo, auditores
y directores. La creación e implementación de procesos Para aquellas organizaciones que desean comenzar a utilizar
reproducibles, como es Secure Development Lifecycle (SDL), Secure Development Lifecycle de la forma más rápida
es el primer paso ineludible para tomar el control de situación. posible, se proporcionan plantillas de SDL y otros elementos
Sin embargo, sin una automatización efectiva, el desarrollo y basados en las mejores prácticas de Fortify. Estas plantillas
la supervisión de las actividades de seguridad definidas en un ofrecen un SDL efectivo que puede implementarse tal y como
SDL pueden seguir siendo tareas difíciles de gestionar para las se suministra. Esto permite eliminar la investigación y el
organizaciones. conocimiento que exige la creación de un SDL.
El módulo SSA Governance de Fortify 360 está pensado
para mantener el control de programas SSA integrados
por múltiples proyectos. Proporciona un sistema de
registro único con vistas de los activos, las actividades y
los resultados relacionados con el esfuerzo global de SSA Las aplicaciones inseguras dañan
realizado por la organización. Para proyectos individuales, a las empresas
el módulo SSA Governance proporciona un cómodo portal
Web en el que pueden registrarse y comunicarse las El 80% de las empresas sufren
actividades y los dispositivos relacionados con la mitigación pérdidas de clientes debido a las
de riesgos. El módulo SSA Governance de Fortify 360 asigna brechas en la seguridad de los datos.
automáticamente a cada proyecto de la organización las
as empresas se arriesgan a perder
L
actividades correctas en función del perfil de riesgo específico
más de un billón de dólares por la
del proyecto. El equipo de seguridad de aplicaciones puede
pérdida o el robo de datos y otros
posteriormente supervisar las tareas del proyecto y recibir
delitos cibernéticos.
alertas basadas en hitos completados o no completados.
Una vez que se dispone de estas prestaciones, el equipo de
seguridad puede comenzar a avanzar hacia un enfoque de SSA
de administración por excepciones, lo que permite disponer
5 WWW.FORTIFY.COMInteligencia contra amenazas Application Defense
Permanezca un paso por delante de las amenazas en Defensa activa para aplicaciones Java y .Net
constante evolución El módulo Application Defense de Fortify 360 protege las
La ciberdelincuencia continúa buscando nuevas formas de aplicaciones Java y .NET de alto riesgo de posibles ataques.
explotar el software. Fortify garantiza que la inversión de un cliente El enfoque de defensa de las aplicaciones desde dentro de éstas
permita atajar estas nuevas amenazas proporcionando diversas que utiliza el módulo Application Defense permite proteger con
actualizaciones regulares de Fortify 360. Estas actualizaciones precisión a una aplicación de posibles ataques sin necesidad de
se proporcionan a través de la organización Security Research realizar ajustes. Los usuarios pueden comprobar cuáles son las
Group de Fortify. La misión de este equipo interno integrado por vulnerabilidades específicas que los hackers están intentando
expertos en seguridad es aprovechar la investigación especializada explotar y crear respuestas personalizadas a los ataques. También
en las técnicas más recientes empleadas por los hackers y en las se proporciona un conocimiento preciso del tipo y la frecuencia de
tendencias de vulnerabilidad para incorporar este conocimiento de los ataques que sufre una aplicación. Los datos que genera este
seguridad en Fortify 360. Constituyen la primera línea de seguridad componente pueden enviarse a Fortity 360 con el fin de elaborar
de Fortify Software y sus investigaciones de cómo fallan los una visión más completa de la seguridad de la aplicación.
sistemas en el mundo real les permite identificar las soluciones
más efectivas para atajar las amenazas a las que se enfrentan los
clientes de Fortify.
Security Research Group publica trimestralmente actualizaciones
de Fortify Secure Coding Rulepacks (paquetes de reglas de
codificación segura de Fortify), que constituyen el núcleo
de Fortify 360 Analyzers. Estas actualizaciones integran las
últimas tendencias en seguridad de software y en técnicas de
programación y mantienen a los clientes de Fortify un paso por
delante de hackers, crackers y ciberdelincuentes. En conjunto,
Security Research Group ha identificado más de 400 categorías de
vulnerabilidades en 17 lenguajes de programación y han explorado
más de 600.000 interfaces de programación de aplicaciones
(API). Un estudio reciente realizado por Security Research Group
de Fortify ha dado como resultado la detección de dos nuevas
categorías de vulnerabilidades completamente nuevas (JavaScript
Hijacking y Cross-Build Injection), además de proporcionar un
trabajo pionero en el terreno de la arquitectura orientada a los
servicios y en la detección de la "puerta trasera" de los sistemas.
Una brecha en la
seguridad que afecte
a 100.000 registros de
datos podría costar
entre 10 y 30 millones
de dólares.
— Forrester
WWW.FORTIFY.COM 6Cumplimiento
“La infraestructura de seguridad que hemos implementado
en Financial Engines es de vital importancia para nuestro
Cumplir la normativa en materia de
negocio, ya que proteger los datos financieros de carácter seguridad de las aplicaciones
sensible de nuestros clientes es una misión crítica para Fortify 360 permite a las empresas cumplir exigencias
nosotros. Fortify 360 nos permite integrar un análisis de normativas clave, como PCI, FISMA, HIPAA, SOX y
código fuente, pruebas dinámicas y monitorización en NERC, entre otras muchas.
tiempo real en un único y amplio paquete que desempeña
Superar los requisitos de
un papel clave en nuestro enfoque global de la seguridad de cumplimiento PCI
aplicaciones.” Fortify 360 se suministra plenamente configurado
—Gary Hallee, EVP Technology, Financial Engines para cumplir las exigencias relativas a seguridad de
las aplicaciones de los proyectos de cumplimiento de
PCI (secciones 3, 6, y 11). Todas las vulnerabilidades
pueden clasificarse por orden de importancia en lo
que a PCI se refiere. El módulo Application Defense
de Fortify 360 proporciona una opción defensiva
Los ataques van en aumento de alta precisión que da apoyo a la prestación de
firewall de aplicaciones Web (WAF). El módulo SSA
Los delitos cibernéticos
Governance de Fortify 360 proporciona un proceso
aumentaron un 53% en 2008.
de cumplimiento de PCI listo para ser utilizado que
El número de programas incluye informes PCI específicamente pensados para
malintencionados en circulación en auditores.
Internet se triplicó en 2008.
Superar los requisitos de
cumplimiento FISMA
Los organismos públicos deben superar requisitos
muy estrictos de seguridad de las aplicaciones.
Fortify 360 identifica los problemas de seguridad de
las aplicaciones y guía al usuario a través del proceso
de solución de problemas y la generación de informes
sobre el progreso.
SOX, NERC y HIPAA, entre otros
Fortify 360 ha ayudado a numerosas organizaciones
a superar requisitos de cumplimiento para muy
diversos sectores, como los de comercio, salud,
energía, finanzas y sector público, entre otros.
7 WWW.FORTIFY.COMEn Febrero de 2009, Gartner situó a Fortify en el cuadrante de líderes del informe “Magic Quadrant for Static
Application Security Testing (SAST).” El informe está disponible en http://www.fortify.com/magicquadrant.
Acerca de Fortify
Las soluciones Software Security Assurance de Fortify protegen a empresas y
organizaciones del mayor riesgo para la seguridad existente en la actualidad: el
software que ejecutan sus negocios. Fortify reduce la amenaza de pérdidas financieras
catastróficas y de deterioro de la imagen de una empresa, además de garantizar
el cumplimiento puntual de la normativa de la administración y de los organismos
sectoriales. Entre los clientes de Fortify figuran organismos oficiales y líderes del
ranking Global 2000 en servicios financieros, sector sanitario, comercio electrónico,
telecomunicaciones, editoriales, seguros, integración de sistemas y tecnología de la
información. Para obtener más información, visítenos en www.fortify.com.
Fortify Software Inc. Más información en wWw.fortify.com
2215 Bridgepointe Pkwy. Tel: (650) 358-5600
Suite 400 Fax: (650) 358-4600
San Mateo, California 94404 E-mail: contact@fortify.com
WWW.FORTIFY.COMTambién puede leer
