【2012年6月15日,北京】IBM公司(NYSE: IBM)近日推出全新軟件,以幫助各類組織設(shè)計(jì)和開發(fā)更為安全的移動(dòng)應(yīng)用。有了該軟件,客戶可以在最初設(shè)計(jì)移動(dòng)應(yīng)用時(shí)就將安全問題考慮在內(nèi),以便在開發(fā)的早期發(fā)現(xiàn)漏洞。新軟件的推出進(jìn)一步拓展了IBM的移動(dòng)平臺(tái)戰(zhàn)略,即為客戶提供一個(gè)涵蓋應(yīng)用開發(fā)、集成、安全和管理的移動(dòng)平臺(tái)。
全世界共有50多億臺(tái)移動(dòng)設(shè)備,而電腦卻只有20億臺(tái)。因此,移動(dòng)設(shè)備正日益迅速地成為連接企業(yè)網(wǎng)絡(luò)的主要形式。而保障這些設(shè)備的安全則逐漸成為企業(yè)安全主管和首席信息官(CIO)的頭等大事。隨著企業(yè)紛紛順應(yīng)“自帶設(shè)備”(Bring Your Own Device, BYOD)的發(fā)展潮流,維護(hù)移動(dòng)設(shè)備應(yīng)用的安全也變得愈加重要。根據(jù)《2011年X-Force安全趨勢(shì)和風(fēng)險(xiǎn)報(bào)告》(2011 IBM X-Force Trend and Risk Report),移動(dòng)設(shè)備漏洞攻擊在2011年增加了19%。此外,近期來自IBM應(yīng)用洞察中心(IBM Center for Applied Insights)的研究顯示,55%的受訪者都認(rèn)為移動(dòng)安全是未來兩年技術(shù)行業(yè)的頭等大事。由于移動(dòng)終端、應(yīng)用和服務(wù)的快速消費(fèi)化,員工移動(dòng)設(shè)備上企業(yè)應(yīng)用的安全維護(hù)已成為燃眉之需。IBM最新推出的Security AppScan產(chǎn)品線提供了一套強(qiáng)大的應(yīng)用開發(fā)安全解決方案,能讓客戶在應(yīng)用開發(fā)的整個(gè)生命周期內(nèi)集成移動(dòng)應(yīng)用安全測(cè)試。
Cigital公司銷售與營(yíng)銷副總裁Stuart Dross先生表示:“我們發(fā)現(xiàn)很多公司都迫切希望將其企業(yè)應(yīng)用拓展到移動(dòng)設(shè)備上。對(duì)于保護(hù)敏感數(shù)據(jù)和降低安全風(fēng)險(xiǎn)而言,能夠掃描檢測(cè)本地和混合移動(dòng)應(yīng)用中的安全漏洞是一項(xiàng)重大進(jìn)步。”
移動(dòng)安全成為趨勢(shì)
與網(wǎng)站應(yīng)用的漏洞相比,移動(dòng)應(yīng)用受到攻擊的風(fēng)險(xiǎn)更大,因此,移動(dòng)應(yīng)用無疑是一個(gè)新的攻擊目標(biāo)。由于很多企業(yè)并未意識(shí)到最基礎(chǔ)的移動(dòng)應(yīng)用也會(huì)帶來安全風(fēng)險(xiǎn),移動(dòng)應(yīng)用日益成為了攻擊者的重點(diǎn)攻擊對(duì)象。舉例來說,除了傳統(tǒng)的攻擊外,黑客還可能對(duì)應(yīng)用發(fā)起SQL注入(SQL injection)攻擊或腳本攻擊。移動(dòng)應(yīng)用也會(huì)受到惡意軟件和網(wǎng)絡(luò)釣魚的攻擊,或在掃描帶有惡意腳本的QR碼時(shí)受到攻擊。此外,移動(dòng)應(yīng)用還會(huì)帶來移動(dòng)設(shè)備特有的安全漏洞,因?yàn)檫@些應(yīng)用會(huì)保存一些可能泄露給惡意應(yīng)用的敏感數(shù)據(jù)。一旦存儲(chǔ)在本地,此類數(shù)據(jù)通常就無法受到企業(yè)安全項(xiàng)目的保護(hù)。新的AppScan分析軟件能發(fā)現(xiàn)這些漏洞,以幫助開發(fā)人員創(chuàng)建更安全的移動(dòng)應(yīng)用。
IBM安全系統(tǒng)部戰(zhàn)略與產(chǎn)品管理副總裁Marc van Zadelhoff先生表示:“IBM移動(dòng)戰(zhàn)略的下一步舉措就是讓客戶有能力掃描移動(dòng)應(yīng)用中的安全漏洞,包括公司自己開發(fā)的應(yīng)用和外包開發(fā)的應(yīng)用。使用移動(dòng)設(shè)備訪問IBM網(wǎng)絡(luò)的IBM員工超過了12萬,我們必須竭盡全力去開發(fā)一種安全可靠的員工工作方式。”
員工移動(dòng)化步步為營(yíng)
隨著新軟件的發(fā)布,IBM將其市場(chǎng)領(lǐng)先的靜態(tài)應(yīng)用安全測(cè)試進(jìn)一步拓展到了本地Android應(yīng)用上,使客戶能夠自己進(jìn)行移動(dòng)應(yīng)用測(cè)試。過去,如果想對(duì)移動(dòng)應(yīng)用進(jìn)行安全測(cè)試,客戶必須將其應(yīng)用和軟件IP發(fā)給外部供應(yīng)商以測(cè)試漏洞。由于移動(dòng)應(yīng)用要經(jīng)歷不斷的修正與更新,這種做法不具備可擴(kuò)展性,而且反應(yīng)時(shí)間太長(zhǎng)。企業(yè)需要的是在軟件開發(fā)生命周期的早期就在內(nèi)部完成移動(dòng)應(yīng)用的安全測(cè)試。
在采用了Security AppScan后,除了移動(dòng)應(yīng)用測(cè)試能力外,客戶還能獲得以下重要能力:
·與IBM的QRadar安全智能平臺(tái)進(jìn)行集成,提高應(yīng)用投產(chǎn)時(shí)的安全智能。通過將已知的應(yīng)用漏洞與用戶和網(wǎng)絡(luò)活動(dòng)相關(guān)聯(lián),QRadar能夠自動(dòng)提高或降低安全事件的優(yōu)先級(jí)得分。
·新的跨站腳本攻擊(Cross Site Scripting,XSS)分析器利用一種學(xué)習(xí)模式從不到20項(xiàng)核心測(cè)試中快速評(píng)估數(shù)百萬項(xiàng)潛在測(cè)試。相比之前的各版AppScan,該分析器能以更快的速度發(fā)現(xiàn)更多的XSS漏洞。
·新的靜態(tài)分析能力能夠幫助企業(yè)采納廣泛的安全實(shí)踐,通過簡(jiǎn)化的應(yīng)用加載過程以及為非安全專家賦權(quán)的方式達(dá)到比先前版本更快的測(cè)試速度。
·預(yù)先定義的可定制模板能讓開發(fā)團(tuán)隊(duì)迅速將重點(diǎn)放在已由安全團(tuán)隊(duì)排定優(yōu)先級(jí)的規(guī)則集上,這樣企業(yè)就能夠?qū)⒆⒁饬械浇M織內(nèi)的重要問題上。
除了與QRadar集成,AppScan還提供了IBM Security Network IPS和IBM Security SiteProtector的集成點(diǎn),并作為常規(guī)性補(bǔ)充產(chǎn)品隨IBM Guardium及IBM Security Access Management解決方案發(fā)售,以保證端到端的應(yīng)用安全。這種做法的目的是在開發(fā)與生產(chǎn)生命周期內(nèi)為應(yīng)用提供一個(gè)綜合的集成式安全框架。
IBM擁有廣泛的移動(dòng)安全解決方案產(chǎn)品線,從保護(hù)設(shè)備數(shù)據(jù)到運(yùn)行更安全的移動(dòng)應(yīng)用,各種用途不一而足。十多年來,IBM通過有機(jī)增長(zhǎng)和對(duì)外收購兩種方式穩(wěn)步投資移動(dòng)領(lǐng)域,由此建立了完整全面的軟件和服務(wù)產(chǎn)品線,進(jìn)而為客戶提供企業(yè)級(jí)移動(dòng)能力。
IBM Security AppScan將于2012年第二季度全面上市。