|
Systems 2008: art of defence mit neuer Version seiner Web Application Firewall hyperguard
- hyperguard 3.0: Web Application Attack Detection und Protection
- Infinigate-Stand 702 in Halle B3 – Sicherheitsprodukte für den gesamten Applikationslebenszyklus von Web-Anwendungen
Regensburg, 20. Oktober 2008 ---- art of defence, Spezialist für Web-Anwendungs-Sicherheit, stellt auf der Systems mit hyperguard 3.0 die neueste Version seiner Web Application Firewall (WAF) vor. Eine maßgebliche Neuerung in Version 3.0 ist die vereinfachte Cluster-Administration, die ein effizientes und zentrales Software-Update aller Komponenten im hyperguard-Cluster ermöglicht. Dies gewährleistet eine immer konsistente hyperguard-Umgebung bei reduzierten Betriebskosten.
In München wird art of defence als erstes Unternehmen in Europa eine komplette Familie an Sicherheitsprodukten für den gesamten Applikationslebenszyklus von Web-Anwendungen vorstellen. Mit hyperguard, hypersource und hyperscan sichern Unternehmen ihre Web-Anwendungen gegen Angriffe wie SQL-Injection oder Cross Site Scripting. Dies unterstützt Unternehmen dabei, rechtliche Vorschriften oder Industriestandards wie die Sicherheitsrichtlinien der Kreditkartenindustrie (PCI-Compliance) für Web-Shops, Kundenportale oder browserbasierte Unternehmensanwendungen einzuhalten.
hyperguard 3.0 "Web Application Attack Detection und Protection
Das Flaggschiffprodukt hyperguard von art of defence macht Security Monitoring, Alerting und Reporting für Web-Anwendungen noch einfacher: Das Tool wirkt hierzu im Detection Mode – einem Beobachtungsmodus", der aus Request-Details wie Uhrzeit oder Referrer-Informationen eine umfassende Auswertung erstellt. hyperguard analysiert dabei, um welche Art von Angriffen es sich handelt. Die Analyseergebnisse können für verschiedene compliance-konforme Security-Reportings verwendet oder manuell ausgewertet werden.
Web Application Attack Protection: Neben dem Detection Mode bietet hyperguard auch die Möglichkeit Applikationen durch entsprechende Regelwerke vor Angriffen zu schützen. Zum einen können diese manuell erstellt werden, zum anderen hat der Administrator zusätzlich die Möglichkeit, sich von hyperguard Regeln gegen die im Detection Mode erkannten real aufgetretenen Angriffe vorschlagen zu lassen. Diese treten jedoch erst nach einer Bestätigung durch einen Berechtigten in Kraft. Ein solches abgestuftes Schutzsystem bietet sich besonders an, wenn sicherheitskritische Schwachstellen in einer Anwendung erkannt sind, die Anwendung jedoch online bleiben soll, bis die Schwachstelle behoben wird. Außerdem bietet sich diese Methode bei einem Fremdsystem an, dessen Code nicht eigenständig verändert werden kann, oder bei älteren Web-Anwendungen, die nicht vollständig dokumentiert sind oder aus Performance-Gründen nicht mehr verändert werden sollten.
Sicherheitsprodukte für den gesamten Applikationslebenszyklus von Web-Anwendungen
Durch das Zusammenspiel aller drei art of defence-Sicherheitsprodukte können Unternehmen ihre Web-Anwendungen über den gesamten Applikationslebenszyklus absichern und gleichzeitig rechtliche Vorschriften oder Industriestandards einhalten. Mit dem Source Code Analyzer hypersource ist es möglich, im laufenden Entwicklungsprozess den Quellcode von Web-Anwendungen auf Schwachstellen zu überprüfen. Darüber hinaus informiert das Tool Qualitätsmanagementverant¬wortliche, Entwickler und Projektleiter mit statusbezogenen Reports über den Sicherheitsstatus von Web-Applikationen. Im Unterschied dazu prüft der Vulnerability Scan Server hyperscan Web-Anwendungen "von außen", also vergleichbar mit einem Penetrationstest und ohne Vorwissen über die Applikation und ohne Zugriff auf den Quellcode. Für die mit hypersource und hyperscan erkannten Schwachstellen können automatisiert Regelvorschläge für die Web Application Firewall hyperguard erstellt werden, um diese Schwachstellen im"Virtual Patching"-Verfahren ohne Eingriffe in die Applikation kurzfristig nach außen zu schließen.
Dank der Integration dieser drei Tools wird die Sicherheit von Web-Anwendungen über den kompletten Lebenszyklus, von der Entwicklung über das Deployment bis zum Betrieb, abgedeckt. Weitere Informationen:
Unsere Pressemitteilung |
|
|
Systems 2008: art of defence zeigt Sicherheitsprodukte für den gesamten Applikationslebenszyklus von Web-Anwendungen
Regensburger Spezialist für Web-Anwendungssicherheit in der IT-Security-Area am Infinigate-Stand 702 in Halle B3
Regensburg, 17. September 2008 ---- art of defence zeigt seine Sicherheitsprodukte für Web-Anwendungen auf der Systems 2008 am Stand 702, Halle B3: Mit den drei Geschwistern hyperguard, hypersource und hyperscan sichern Unternehmen ihre Web-Anwendungen gegen Angriffe wie SQL-Injection oder Cross Site Scripting. Dies hilft ihnen dabei, rechtliche Vorschriften oder Industriestandards wie die Sicherheitsrichtlinien der Kreditkartenindustrie (PCI-Compliance) für Web-Shops, Kundenportale oder browserbasierte Unternehmensanwendungen einzuhalten. art of defence deckt mit seinen Sicherheitsprodukten als einziger europäischer Anbieter den gesamten Applikationslebenszyklus von Web-Anwendungen ab.
Der Source Code Analyzer hypersource überprüft den Quellcode von Web-Anwendungen auf Schwachstellen und informiert Qualitätsmanagementverantwortliche, Entwickler und Projektleiter mit statusbezogenen Reports. Im Unterschied dazu prüft der Vulnerability Scan Server hyperscan, der jüngste Zuwachs der art of defence-Familie, Web-Applikationen „von außen“, also vergleichbar einem Penetrationstest ohne Vorwissen über die Applikation und ohne Zugriff auf den Quellcode. Die Web-Application Firewall hyperguard schützt sowohl selbst entwickelte Web-Anwendungen als auch Standardsoftware vor solchen Angriffen durch ein umfangreiches Feature-Set.
Das Regensburger Unternehmen zeigt hyperguard, hypersource und hyperscan auf der Systems 2008 in der IT-Security-Area (Halle B3) am Infinigate-Stand 702. Zusammen mit GeNUA (Stand 321, Halle B3) zeigt art of defence sein Web Application Firewall-Modul für die Firewall GeNUScreen, am Stand des art of defence-Partners SSP-Europe (Stand 319, Halle B3) geht es vornehmlich um die Einsatzmöglichkeiten von hypersource. Weitere Informationen:
Unsere Pressemitteilung |
|
|
hyperscan: Web Application Vulnerability Scan Server überprüft Web-Applikationen mit intelligentem Crawl-Mechanismus Regensburg, 2. September 2008 ---- art of defence, europaweit das einzige Unternehmen mit Sicherheitsprodukten für den gesamten Lebenszyklus von Web-Anwendungen, rundet sein Portfolio mit einem Web Application Vulnerability Scan Server ab: hyperscan kann Web-Anwendungen auf Sicherheitslücken wie SQL-Injection oder Cross-Site-Scripting (XSS) von außen überprüfen – ohne Kenntnis des Quellcodes oder der IT-Infrastruktur. Somit ergänzt hyperscan ideal klassische Schwachstellen-Scanner, die nach bekannten Sicherheitslücken in Standardsystemen suchen. Geschäftsführer, CSOs/CIOs sowie Entwicklungsleiter haben dank der rollenbasiert aufbereiteten und automatisch generierten Reports jederzeit Überblick über den Sicherheitszustand ihrer Web-Anwendungen.
Der Web Application Vulnerability Scan Server erfasst den kompletten Aufbau einer Web-Applikation, indem er sich zum einen vom Entry-Point ausgehend mit einem intelligenten Crawl-Mechanismus durch die erreichbaren Links arbeitet. Bei der Prüfung dynamischer Website-Bereiche kann dieser Crawl-Mechanismus zum anderen durch manuelles Browsen ergänzt werden. Dies trägt vor allem bei der Erkennung von Schwachstellen in Web-Applikationen bei, die auf Javascript und Ajax basieren. Um Schwachstellen zu finden und aufzuzeigen, penetriert hyperscan die Anwendung mit verschiedenen Methoden und einer eigenen Datenbank, die Signaturen für bekannte Frameworks, Portale und Anwendungen enthält. Dieser Prozess ist vollständig automatisiert und kann in jeder beliebigen Phase des Applikationslebenszyklus eingeplant werden. hyperscan fügt sich in jeden bestehenden Entwicklungs-, Abnahme- und Auditing-Prozess ein. Außerdem ist paralleles Scannen und Crawlen mehrerer unabhängiger Projekte ohne Performanceeinbußen möglich (Multi-Projekt-Fähigkeit) – für ein projektübergreifendes umfassendes Monitoring im zeitlichen Verlauf. Auch zur Überprüfung von Outsourcing-Leistungen kommt hyperscan zum Einsatz und spart Zeit bei der Abnahme fremd entwickelter Software-Projekte.
Die entdeckten Schwachstellen werden genau beschrieben und automatisch rollenbasiert aufbereitet – beispielsweise in Form von Compliance-Reports, unter anderem nach PCI, ISO 27001, ITIL, Basel II oder OWASP. Geschäftsführer und andere Führungskräfte erhalten einen Kurzüberblick über den aktuellen Sicherheitszustand der Web-Applikation sowie einen chronologischen Ablauf, der wiedergibt, welche Schwachstellen gefunden wurden. Auch CSOs und CIOs haben dank eines kontinuierlichen Monitorings den Sicherheitsstatus der Webanwendungen stets im Blick und erhalten Informationen über Schweregrad und Typ der Verwundbarkeiten. Security-Mitarbeiter sind in der Lage, zu jeder Zeit ihre Anwendungen zu überprüfen und mögliche Schwachstellen an die Entwicklungsleiter zu reporten.
Mit den verschiedenen Möglichkeiten der automatisierten Kommunikation von Schwachstelleninformationen wie Import/Export via XML und AVDL (Application Vulnerability Description Language) passt sich hyperscan zudem sehr gut in umfassendere Web-Application-Security-Konzepte ein, beispielsweise als Ergänzung weiterer Aktivitäten wie Web-Source-Code-Analysen oder dem Einsatz von Web Application Firewalls.
Weitere Informationen:
Unsere Pressemitteilung
|
|
|
art of defence: Einzigartiges Zusammenspiel von hyperguard und hypersource ermöglicht passgenauen Schutz von Web-Applikationen
Ohne Handarbeit: Automatisierte Regelwerksgenerierung für Web Application Firewall hyperguard
Schwachstelleninfos liefert der Web Source Code Analyzer hypersource
Regensburg, 12. August 2008 ---- art of defence optimiert das Zusammenspiel seiner Produkte hyperguard und hypersource: Künftig ist eine einfache Übergabe des hypersource-Schwachstellenreports an den Regelwerksgenerator der Web Application Firewall hyperguard möglich. Die WAF ist in der Lage, die Reportinformation aus hypersource, dem Web Source Code Analyzer, zu übernehmen und daraus automatisiert Regelvorschläge abzuleiten. So wird die applikationsspezifische Konfiguration von hyperguard noch einfacher. hyperguard schützt Web-Anwendungen vor Angriffen aus dem Internet, beispielsweise Cross Site Scripting oder SQL-Injection; der Einsatz ist besonders sinnvoll, wenn eine Schwachstelle in einer Applikation entdeckt wird, die das Unternehmen bis zur Behebung des Fehlers nicht vom Netz nehmen kann – beispielsweise einem Mitarbeiterportal, das über VPN auch von extern angesteuert wird, einem Partnerportal oder einem Webshop. hyperguard sichert Anwendungen je nach gewähltem Modus umfassend mit einem ausführlichen Regelwerk oder gezielt vor Angriffen auf soeben entdeckte Schwachstellen.
Wenn Unternehmen, beispielsweise im Rahmen eines internen Security-Audits, bei einem Scanvorgang mit hypersource sicherheitsrelevante Schwachstellen in einer produktiven Applikation entdecken, können sie diese Information detailliert und automatisiert via XML-Report an hyperguard übergeben. Der Ruleset-Import-Handler der WAF analysiert diese Information und schlägt ein Regelwerk vor, das die Web-Anwendung speziell gegen Angriffe auf diese Schwachstellen nach außen absichert. Die Web-Anwendung ist damit in ihrem externen Verhalten innerhalb kurzer Zeit „virtuell gepatcht“, dabei ist – außer der Freigabe des Regelwerksvorschlags – keine manuelle Bearbeitung notwendig. Der IT-Sicherheitsverantwortliche kann das Regelwerk so lange aktiviert lassen, bis die Entwicklungsabteilung beziehungsweise der externe Anbieter die Schwachstellen im Code behoben hat.
Möglich wird die Kooperation der beiden Produkte durch den neu gestalteten Regelgenerator in hyperguard, der mit dem jetzt verfügbaren Release eingeführt wurde. Die Regelgenerierung mit XML-Reports aus hypersource ergänzt die Regelerstellung mit Hilfe des Lernmodus, die hyperguard bereits seit über einem Jahr beherrscht.
art of defence ist europaweit das einzige Unternehmen mit Sicherheitsprodukten für den gesamten Lebenszyklus von Web-Applikationen:
Die Web Application Firewall hyperguard schützt produktive Web-Anwendungen vor Angriffen, zum Beispiel Command Injection, XSS oder ähnlichen, und stellt weitere sicherheitsrelevante Funktionen wie URL Encryption und ein sicheres Session-Management mit kryptografisch sicheren Session-IDs und eigenem Cookie-Management bereit. Diese umfassende Absicherung kommt zum einem bei Legacy-Web-Applikationen zum Einsatz, die nicht mehr geändert werden können; zum anderen bei extern entwickelten Web-Applikationen, bei denen sicherheitskritische Lecks nicht zeitnah gefixt werden können, weil der Quellcode der Anwendung im Unternehmen nicht vorliegt.
Mit hypersource, dem Web Source Code Analyzer, scannen IT-Auditoren, QA-Manager oder Entwickler Web-Applikationen in den unterschiedlichen Phasen des Produktionsprozesses. So können Schwachstellen bereits in der Entwicklungsphase, also besonders frühzeitig, entdeckt und damit kostengünstig behoben werden. IT-Entscheider können mit hypersource zudem komplette Projekte und Teams mit rollenspezifischen Statusberichten managen und sehr große Mengen von Code analysieren.
Weitere Informationen:
Unsere Pressemitteilung
|
|
|
 SSP Europe setzt für Security Service Providing auf hyperguard und hypersource von art of defence
Regensburg, 15. Juli 2008 ---- art of defence und SSP Europe haben eine enge Kooperation beschlossen: Zukünftig ergänzt der Security-Service-Provider SSP Europe sein Produktportfolio mit der Enterprise Web Application Firewall hyperguard und dem Web Source Code Analyzer hypersource von art of defence. Mit den Produkten adressieren die beiden Unternehmen Kunden, die ihre Web-Anwendungen – beispielsweise Shopsysteme oder Kundenportale – professionell absichern müssen. Bei SSP Europe können Unternehmen die Produkte als Service im Lizenzdienst beziehen. Dabei schützt hyperguard als Modul namens "SSP WebApplicationFirewall" produktive Web-Anwendungen von SSP Europe-Kunden, der Web Source Code Analyzer hypersource prüft den Code von Web-Applikationen und weist Schwachstellen zuverlässig aus. hyperguard und hypersource werden in den kommenden Wochen in die bestehende SSP-Europe-RZ-Infrastruktur eingegliedert.
SSP Europe-Kunden können zukünftig per Webbrowser auf hypersource zugreifen: In den künftigen Anwenderunternehmen profitieren Entwickler, QA(Qualitiy Assurance)-Abteilung und IT-Manager von hypersource als Service. Durch eine übersichtliche Anzeige von Fehlern direkt im Code unterstützt hypersource Entwickler bei der direkten Beseitigung von Schwachstellen. QA- oder Security-Assurance-Beauftragte können das Werkzeug einsetzen, um Web-Applikationen im Rahmen eines bestehenden Abnahmeprozesses automatisiert auf mögliche sicherheitskritische Schwachstellen zu überprüfen. IT-Managern oder Teamleitern stellt hypersource zudem umfangreiche Analysewerkzeuge zur Verfügung, die den Sicherheitsstatus von Web-Anwendungen anzeigen.
hyperguard schützt die von SSP Europe gehosteten Web-Anwendungen mit proaktiven Schutzmaßnahmen. So sind geschäftskritische Informationen und sensible Kundendaten gemäß den gesetzlichen Richtlinien und Industriestandards – beispielsweise dem PCI-Standard der Kreditkartenindustrie – gesichert. Durch technische Funktionen wie Mandanten- und Cluster-Fähigkeit ist hyperguard auch in hoch performanten Infrastrukturen wie bei SSP Europe sehr leistungsfähig.
"SSP Europe bietet mit seinen zentralen Services rund um IT-Sicherheit die ideale Infrastruktur für unsere Sicherheitslösungen", sagt Dr. Georg Hess, Geschäftsführer von art of defence, dem europaweit einzigen Unternehmen, das Sicherheitsprodukte für den gesamten Lebenszyklus von Web-Anwendungen anbietet.
Dieter Steiner, Geschäftsführer der SSP Europe sieht ebenfalls deutliche Synergien: "Mit unserem modularen Portfolio ist das Lösungspaket von art of defence die ideale Ergänzung, um Webserver bis auf Anwendungsebene zu schützen. So können sich unsere beiden Unternehmen auf ihre Kernkompetenzen konzentrieren, wovon unsere Kunden besonders profitieren: ein Ansprechpartner für sämtliche Anforderungen in der IT-Sicherheit zu einem überzeugenden Preis-Leistungsverhältnis."
Sicherheit für Web-Anwendungen über den gesamten Lebenszyklus der Applikation
hyperguard sorgt für ein sicheres Session Management und eine zuverlässige URL-Encryption. Da so der logische Aufbau einer Web-Anwendung von außen nicht sichtbar ist, kann ein Angreifer URLs nicht mehr erraten, sondern nur auf die Seiten zugreifen, die von der Anwendung auch tatsächlich ausgeliefert werden. Zudem schützt hyperguard Web-Anwendungen vor automatisierten Requests an eine Web-Anwendung, die gezielt Schwachstellen suchen, um beispielsweise systematisch Nutzerdaten abzufragen oder ein Kontaktformular für Spam-Attacken zu nutzen. Zusätzlichen Schutz bietet die WAF zudem vor Angriffen aus dem Internet wie Cross Site Scripting oder vor direkter Manipulation der Web-Anwendung, beispielsweise durch Command-Injection-Angriffe.
Der Web Source Code Analyzer hypersource von art of defence ist das erste automatisierte statische Quellcode-Analyse-Tool mit webbasierter Oberfläche. Bei der Analyse verfolgt der Web Source Code Analyzer Abhängigkeiten zwischen einzelnen Variablen im Code. So identifiziert das Programm zum einen die Wurzeln von Schwachstellen und zeigt zum anderen Folgefehler auf. Durch die Kombination verschiedener Dataflow-Verfahren liefert der Web Source Code Analyzer deutlich weniger sogenannte "false positives" als vergleichbare Tools.
Weitere Informationen:
Unsere gemeinsame Pressemitteilung |
|
|
Press