|
- Alexander Meisel von art of defence stellt den Best Practice Guide der deutschen OWASP-Sektion zum Einsatz von Web Application Firewalls vor.
- Europäische OWASP-Konferenz vom 19. bis 22. Mai 2008 in Gent, Belgien
Regensburg, 15. Mai 2008 ---- Der Schutz von Web-Applikationen vor Angriffen aus dem Internet steht im Fokus der europäischen OWASP(Open Web Application Security Project)-AppSec-Konferenz 2008. Alexander Meisel, CTO und Gründungsgesellschafter der Regensburger art of defence, stellt bei dem europäischen Expertentreffen stellvertretend für die deutsche OWASP-Sektion den kürzlich erschienenen Best Practice Guide „Einsatz von Web Application Firewalls“ vor. Weitere Vorträge der deutschen OWASP-Sektion beschäftigen sich unter anderem mit Applikationssicherheit bei HTML5 und PHP.
Veranstalter der Konferenz ist die international aktive Initiative OWASP. Vom 19. bis 22. Mai 2008 treffen sich IT-Security-Verantwortliche, Entwickler und Vertreter von Unternehmen aus dem IT-Sicherheitsumfeld im belgischen Gent. Wie schon beim Jahrestreffen im November 2007 im kalifornischen San José setzt die OWASP auch beim europäischen Expertentreffen auf einen Veranstaltungsmix: Für Entwickler finden bereits im Vorfeld Fortbildungen zum Thema Web-Applikationssicherheit statt; an den beiden Konferenztagen stehen erstklassige Vorträge im Mittelpunkt.
OWASP entwickelt Tools und Best Practices, um Entwickler, Projektleiter und Security-Tester bei der Entwicklung und beim Betrieb sicherer Webanwendungen zu unterstützen. So befasst sich beispielsweise der Best Practice Guide der deutschen Sektion zum Einsatz von Web Application Firewalls, kurz WAFs, mit speziellen Schutzsystemen, die besonders gut für die Absicherung bereits produktiver Webanwendungen geeignet sind. Er wurde im März 2008 veröffentlich, Alexander Meisel von art of defence gehört zum Autorenkreis. Zielgruppe des 22-seitigen Guides sind vor allem technische Entscheider – speziell Betriebsverantwortliche, Sicherheitsverantwortliche und Applikationseigner, die den Einsatz einer WAF im Unternehmen evaluieren. Spezielles Augenmerk wurde auf die Darstellung von Aufwandsabschätzungen im Vergleich zu möglichen Alternativen, beispielsweise Anpassungen im Sourcecode, gelegt. Weitere Schwerpunkte sind Best Practices für die organisatorischen Abläufe bei Installation und Betrieb einer WAF sowie – gerade für größere Unternehmen relevant – eine Erweiterung der Prozess-Organisation um die Rolle eines „Anwendungsverantwortlichen WAF“.
Weitere Informationen:
Unsere gemeinsame Pressemitteilung |
|
|
Neuer Web Source Code Analyzer als Appliance-Lösung mit webbasierter Oberfläche Regensburg, 6. Mai 2008 ---- art of defence, der europaweit einzige Anbieter von Sicherheitsprodukten für den gesamten Applikationslebenszyklus, stellt seinen neuen Web Source Code Analyzer vor: hypersource prüft Quellcodes von Web-Anwendungen bereits im laufenden Entwicklungsprozess. Dabei unterstützt der Web Source Code Analyzer zum einen Entwickler durch die übersichtliche Anzeige der Fehler direkt im Code bei der Beseitigung von Schwachstellen. Zum anderen stellt hypersource IT-Managern oder Teamleitern umfangreiche Analysewerkzeuge zur Verfügung, die den Sicherheitsstatus von Web-Anwendungen anzeigen. Darüber hinaus eignet sich hypersource als Werkzeug bei der Qualitätssicherung, um Web-Applikationen im Rahmen eines bestehenden Abnahmeprozesses automatisiert auf mögliche sicherheitskritische Schwachstellen zu überprüfen.
Der Web Source Code Analyzer von art of defence ist das erste automatisierte statische Quellcode-Analyse-Tool mit webbasierter Oberfläche. Die Appliance wird in die bestehende Infrastruktur eingegliedert, die Nutzer greifen über ihren Browser auf hypersource zu. Dadurch bleibt der Einrichtungsaufwand im Unternehmen gering. Zusätzlich können Entwickler eine hypersource-Workbench in ihre Entwicklungsumgebung integrieren, die sie bei der Behebung von gefundenen Schwachstellen unterstützt. Durch die Kombination verschiedener Dataflow-Verfahren liefert der Web Source Code Analyzer weniger sogenannte „false positives“ als vergleichbare Tools.
Bei der Analyse verfolgt hypersource Abhängigkeiten zwischen einzelnen Variablen im Code. So identifiziert das Programm zum einen die Wurzeln von Schwachstellen und zeigt zum anderen weitere Folgefehler auf. Zudem prüft der Web Source Code Analyzer Schweregrad, Tiefe und Umfang der gefundenen Fehler und stellt den Sicherheitszustand von Web-Anwendungen grafisch dar, Projektleiter können den Sicherheitsstatus einzelner Web-Applikationen jederzeit nachvollziehen. In den Reports dokumentiert hypersource außerdem, welche Schwachstellen beseitigt wurden, und sichert die Qualität im Entwicklungsprozess.
Mit hypersource können IT-Entscheider komplette Projekte und Teams mit rollenspezifischen Statusberichten managen und sehr große Mengen von Code analysieren. Für Unternehmen mit eigener Entwicklungsabteilung ist hypersource eine zeitsparende und damit kostengünstige Alternative zur heute üblichen manuellen Überprüfung der Web-Applikationen auf Sicherheitslücken durch interne oder externe Tester. Denn durch den routinemäßigen Einsatz von hypersource bereits während der Applikationsentwicklung werden Schwachstellen frühzeitig entdecktund rasch und kostengünstig beseitigt. Aber auch Unternehmen ohne eigene Entwicklungsabteilung profitieren vom Einsatz des Web Source Code Analyzer: Zugelieferter Code, beispielsweise bei Outsourcing-Projekten, oder verwendete Open-Source-Software muss nicht mehr kostenintensiv manuell überprüft werden, externe Penetration-Tests sind so seltener notwendig oder können ganz entfallen.
Weitere Informationen:
Unsere gemeinsame Pressemitteilung |
|
|
inotronic erweitert Produktportfolio und Services mit Web Source Code Analyzer hypersource von art of defence Regensburg, 1. April 2008 ---- Der ISP und IT-Security-Spezialist inotronic setzt für die Sicherheit von Web-Anwendungen auf hypersource von art of defence, dem europaweit einzigen Anbieter von Sicherheitsprodukten für den gesamten Applikationslebenszyklus: Ab sofort verwendet inotronic den Source Code Analyzer hypersource in der eigenen Entwicklung und überprüft auf Wunsch die Web-Anwendungen seiner Kunden. Zusätzlich vertreibt der Münchner IT-Sicherheitsspezialist den Source Code Analyzer als Produkt. hypersource ist besonders interessant für Unternehmen mit eigener Entwicklungsabteilung, kann aber auch zur automatisierten Qualitätssicherung vor Inbetriebnahme einer Web-Applikation eingesetzt werden.
Der Web Source Code Analyzer hypersource untersucht den Quellcode von Web-Anwendungen auf bestehende Sicherheitslücken, die im Betrieb von Hackern für Angriffe ausgenutzt werden können. hypersource arbeitet auf der Grundlage von verschiedenen Dataflow-Verfahren, die die Abhängigkeiten zwischen Variablen verfolgen. Ist eine Schwachstelle identifiziert, wird dem Entwickler Schritt für Schritt die Wurzel des Fehlers aufgezeigt, der oft tief im Code versteckt und meist Ursache mehrerer Schwachstellen nach außen ist.
Als ISP entwickelt inotronic selbst verschiedene Werkzeuge zum Betrieb und der Administration des eigenen Hosting-Angebots. Darüber hinaus leistet inotronic auch kundenindividuelle Entwicklungsarbeit, zum Beispiel kundenspezifische Anti-Spam-Lösungen. Diese intern entwickelten Web-Applikationen werden ab sofort regelmäßig – auch bei der Weiterentwicklung – mit hypersource auf potenzielle Schwachstellen analysiert, sodass nur noch geprüfte Web-Anwendungen in Betrieb genommen werden.
Zudem bietet der Security-Spezialist einen weiteren Service an: Dabei untersucht inotronic bereits bestehende Web-Applikationen mit dem Web Source Code Analyzer.
Als Reseller empfiehlt inotronic hypersource vor allem Unternehmen mit eigener Entwicklungsmannschaft. Durch den routinemäßigen Einsatz von hypersource bereits während der Applikationsentwicklung können Schwachstellen schnell entdeckt und beseitigt werden – denn je früher Schwachstellen entdeckt werden, desto einfacher und kostengünstiger ist ihre Behebung.
Als IT-Sicherheitsspezialist hat inotronic bereits seit über einem Jahr hyperguard, die Enterprise Web Application Firewall (WAF) von art of defence, im Portfolio und schützt damit auch die eigene Website. Mit ihr definieren Security-Verantwortliche das Verhalten von Web-Applikationen nach außen und können so Manipulationen und unberechtigte Zugriffe auf die hinter den Web-Anwendungen liegenden Datenbanken und operativen Systeme verhindern.
Oliver Still, Geschäftsführer von inotronic Computers: "Die Quellcodeanalyse mit hypersource als neuer Service ist bei unseren Bestandskunden auf großes Interesse gestoßen und zieht bereits eine beachtliche Zahl an Interessenten und Neukunden an. hypersource ist als Appliance-Lösung, ohne client-seitige Installation, einfach in bestehende Abläufe integrierbar – der Anwender braucht nur einen Web-Browser. Durch dieses Angebot können wir uns gegenüber dem Wettbewerb klar abgrenzen. Wir werden hypersource außerdem in Kürze auch als Web-basierten Service anbieten – ideal für Interessenten, um Quellcodeanalyse erstmals kennenzulernen, für Unternehmen, die eher selten Web-Anwendungen analysieren müssen, oder auch für Konzerne, die den Outsourcing-Gedanken verinnerlicht haben."
Dr. Georg Hess, Geschäftsführer von art of defence: "Ich freue mich sehr, dass inotronic nach unserer Web Application Firewall hyperguard nun auch hypersource in sein IT-Security-Portfolio aufgenommen hat. Kunden von inotronic werden von der Flexibilität von hypersource profitieren – entweder als Serviceleistung von inotronic oder mit Unterstützung von inotronic beim Einsatz in der eigenen Applikationsentwicklung."
Weitere Informationen:
Unsere gemeinsame Pressemitteilung |
|
- Kostenlose Code-Analyse von Web-Anwendungen inklusive Auswertung zum Mitnehmen
- art of defence in Halle 6, Stand E12 und Stand G46
Regensburg, 22. Februar 2008 ---- Anwendungsentwickler können am CeBIT-Stand von art of defence kostenlos den Quell-Code einer Web-Anwendung auf potenzielle Sicherheitsschwachstellen testen lassen. Der Regensburger Anbieter von Software-Produkten für Web-Anwendungssicherheit scannt Programmpakete in PHP, Java und .NET mit hypersource, seinem neuen Tool für die Quell-Code-Analyse. Web-Anwendungsentwickler bringen dazu den Code ihrer Anwendung auf einem USB-Stick mit an die CeBIT-Stände E12 oder G46 in Halle 6. Die hypersource-Auswertung bekommen sie als pdf-Datei auf einem gratis USB-Stick. art of defence bringt seine neue Lösung pünktlich zur CeBIT auf den Markt. Das Regensburger Unternehmen ist europaweit der einzige Anbieter von Security-Produkten für den gesamten Lebenszyklus von Web-Anwendungen.
hypersource ist ein Source Code Analyzer für Web-Anwendungen. Die art of defence-Software erkennt bereits während der Anwendungsentwicklung potenzielle Schwachstellen im Code mit Hilfe der so genannten statischen Quellcode-Analyse (Static Source Code Analysis). hypersource arbeitet auf der Grundlage eines Dataflow-Verfahrens, das die Abhängigkeiten zwischen Variablen verfolgt. Dadurch gelangt der Entwickler Schritt für Schritt zum ursprünglichen Fehler, der oft tief im Code versteckt ist und verschiedene Folgefehler verursachen kann. Wird hypersource im regulären Entwicklungsprozess eingesetzt, hilft es, Programmierfehler in Web-Anwendungen frühzeitig und damit kostengünstig zu beheben.
Für den Schutz bereits produktiver Web-Anwendungen sorgt die Enterprise Web Application Firewall (WAF) hyperguard. Mit ihr definiert der Security-Verantwortliche das Verhalten von Web-Applikationen nach außen und kann so Manipulationen und unberechtigte Zugriffe auf die hinter den Web-Anwendungen liegenden Datenbanken und operativen Systeme verhindern.
Weitere Informationen:
Unsere gemeinsame Pressemitteilung |
|
|
Integration von hyperguard in ZXTM bringt flexibles Sicherheitskonzept zum Schutz von Web-Anwendungen
Regensburg, 7. Februar 2008 ---- art of defence, Regensburger Software-Hersteller für Web-Anwendungssicherheit, und Zeus Technology, ein führender Anbieter von Software für den Bereich Application Traffic Management, gehen ab sofort gemeinsam gegen Sicherheitsattacken auf Web-Applikationen vor: Künftig wird der Zeus Extensible Traffic Manager (ZXTM) von Zeus Technology zusammen mit der Web-Application-Security-Software hyperguard von art of defence angeboten.
ZXTM und hyperguard verfolgen unterschiedliche Sicherheitskonzepte,
deren Kombination eine äußerst flexible und stabile Lösung ergibt.
hyperguard ist ein Software-basiertes Plug-in, das als Filter für
Web-Anwendungen eingesetzt wird und gegen typische Angriffsarten wie
SQL Injection, Cross Site Scripting oder Session Hijacking schützt.
ZXTM hingegen kann den Netzwerkverkehr intelligent überwachen und
vorgeschriebene Richtlinien umsetzen, indem Requests in beide
Richtungen weitergeleitet oder sogar umgeschrieben werden.
"Durch die Integration von hyperguard in unseren ZXTM entsteht aus
den beiden Produkten eine Lösung, die mehr ist als nur die Summe ihrer
Teile", so Paul Brennan, Vorsitzender von Zeus Technology. "Darüber
hinaus handelt es sich hier um eine rein europäische Lösung, die vor
allem bei privaten und staatlichen beziehungsweise öffentlichen
Unternehmen im EU-Raum großen Anklang finden wird."
"Die Funktionen von hyperguard und ZXTM ergänzen sich ganz
hervorragend", sagt Dr. Georg Hess, Geschäftsführer von art of defence.
"Durch den anwendungsorientierten Ansatz von hyperguard und den
netzwerkorientierten Ansatz von ZXTM kann ein Unternehmen die
Sicherheit seiner Infrastruktur so exakt an seine Anforderungen
anpassen, wie es sonst nicht möglich wäre." Weitere Informationen:
Unsere gemeinsame Pressemitteilung |
|
|
|
Presse 
