Testing application security

The safety of IT is an important topic for all CIO for many years. The tests are part. Therefore a lot of company provides safety testing and intrusion audits or to know the vulnerabilities of an enterprise in order to « correct ».

But in this little world I know nobody really dealing, effectively and operationally tested for safety applications!

That is why I begin the new articles on the topic so you can benefit. If you have comments or suggestions I am listening to you.

My first article deals with one of my visits to HP or to the presentation of major updates to its software designed to help CIOs to reduce the vulnerability of their Web applications. These new offerings are part of HP Application Security Center, a suite of software and services designed to help companies ensure the security of their Web applications by enabling them to discover, correct and prevent vulnerabilities may be exploited by hackers .

What is HP Application Security Center? It helps developers, quality assurance teams and security professionals to detect and correct quickly and efficiently vulnerabilities and defects throughout the lifecycle of the application. These software products test security provide definitions of common security strategy, safety testing automated, centralized control permissions and web access to security information.

Innovations 2009:

HP Assessment Management Platform 8.0 – helps companies reduce costs and risks through application testing platform for distributed and scalable web application security. In addition, HP Assessment Management Platform 8.0 enables companies to:

• Prioritize security concerns based on business goals. New analytical functions help companies identify assets that need to be secure and classify data according to their importance to the business. Incorporating a business allows data to effectively focus the attention of competent security

• Securing more applications with fewer resources specialist with a shared services model. The latter is provided by comprehensive reporting functions and a new display function allowing teams to remotely monitor security scan.

HP WebInspect 8.0 – helps companies analyze the complex web applications. This new version brings more speed and reliability in testing and remediation capabilities (term used by HP meaning « a cure » – is not in the dictionary french) the security of web applications, including those developed with Web 2.0 technologies.

HP Software-as-a-Service (SaaS) for Project Services Application Security Center enables companies to rapidly implement their initiatives to secure applications via a complete solution maintained and managed by HP.

The new HP offerings enable CIOs to prioritize the threats based on their business goals. This approach can often concentrate limited resources on protecting assets and the most important. For example, an organization can identify applications associated with processing credit card transactions and focus its efforts to improve security in order to comply with the recommendations of the payment card industry (PCI DSS for example).

Thus, experts supervise the whole process of securing the enterprise and help to analyze the results of safety tests. This model helps companies to enhance the security of their information systems by making the test even within existing process development, quality assurance and operations. Because finding and correcting vulnerabilities early in the design process can reduce costs, this model helps companies to enhance the security of their information systems at lower cost, industrialising safety tests through the entire life cycle of applications.

HP WebInspect software 8.0 and HP Assessment Management Platform 8.0 is based on the same infrastructure scanning and reporting. Both help companies:

• Find and fix vulnerabilities in Web 2.0 applications with the functions of static analysis of applications built on the platform Adobe Flash ® platform and dynamic monitoring for applications JavaScript / Ajax.

• Implement automatic scans that could not hitherto be performed manually. This concerns in particular, in-depth monitoring for Java ™ Model View Control • Save time with many automation functions, allowing a more rapid tests, and functions ready to use reporting

• The new HP offers SaaS for Project Services Application Security Center helps companies to quickly start the operation of HP Application Security Center, on demand.

Tests de sécurité applicatifs

La sécurité des SI est un sujet important pour toutes les DSI depuis de nombreuses années déjà. Les tests en font partis. Par conséquent une très grande quantité de société propose des tests de sécurité et d’intrusion ou bien des audits permettant de connaitre les vulnérabilités d’une entreprise afin de les « corriger ».

Mais dans ce petit monde je ne connais personne ne traitant réellement, concrètement et opérationnellement des tests de sécurité applicatifs !

C’est pourquoi j’entame des nouveaux articles sur le sujet afin de vous en faire profiter. Si vous avez de remarques ou des suggestions je suis à votre écoute.

Mon premier article traite d’une de mes visites chez HP où assisté à la présentation des mises à jour majeures de ses logiciels conçus pour aider les DSI à réduire la vulnérabilité de leurs applications Web. Ces nouvelles offres font partis de HP Application Security Center, une suite de logiciels et de services conçue pour aider les entreprises à assurer la sécurité de leurs applications Web en leur permettant de découvrir, corriger et prévenir des vulnérabilités susceptibles d’être exploitées par des pirates.

Qu’est-ce que HP Application Security Center ?

Il aide les développeurs, les équipes d’assurance qualité et professionnels de la sécurité à détecter et corriger rapidement et de façon rentable les vulnérabilités et anomalies tout au long du cycle de vie de l’application. Ces produits logiciels de test de la sécurité fournissent des définitions de stratégie sécuritaire communes, des tests de sécurité automatisée, un contrôle centralisé des autorisations et un accès Web aux informations de sécurité.

Les nouveautés 2009 :

HP Assessment Management Platform 8.0 – aide les entreprises à réduire les coûts et les risques applicatifs via une plateforme de test distribuée et évolutive de sécurisation des applications web.

De plus, HP Assessment Management Platform 8.0 permet aux entreprises de :

• Prioriser les problèmes de sécurité en fonction des objectifs métiers. De nouvelles fonctions analytiques aident les entreprises à identifier les actifs qui ont besoin d’être sécurisés et à classifier les données suivant leur importance pour l’activité de l’entreprise. L’intégration d’un contexte métier aux données permet de concentrer efficacement l’attention des ressources compétentes en sécurité
• Sécuriser plus d’applications avec moins de ressources spécialisées à l’aide d’un modèle des services partagés. Ce dernier est apporté par des fonctions de reporting globales ainsi que par une nouvelle fonction de visualisation permettant à des équipes de superviser à distance un scan de sécurité

HP WebInspect 8.0 – aide les entreprises à analyser en profondeur les applications web complexes. Cette nouvelle version apporte plus de rapidité et de fiabilité dans les tests et les capacités de remédiation (terme employé par HP signifiant « trouver un remède » – n’existe pas dans le dictionnaire français) de la sécurité des applications web, y compris celles développées avec des technologies Web 2.0.

HP Software-as-a-Service (SaaS) Project Services for Application Security Center permet aux entreprises de mettre rapidement en œuvre leurs initiatives de sécurisation des applications via une solution complète, maintenue et administrée par HP.

Les nouvelles offres de HP permettent aux DSI de prioriser les menaces en fonction de leurs objectifs métiers. Cette approche permet de concentrer des ressources souvent limitées sur la protection des actifs et des données les plus importants. Par exemple, une organisation peut identifier les applications associées au traitement de transactions par carte bancaire et y concentrer ses efforts de sécurisation afin de se conformer aux recommandations de l’industrie des cartes de paiement (PCI DSS par exemple).

Ainsi, les experts supervisent l’ensemble des processus de sécurisation de l’entreprise et aident à analyser les résultats de tests de sécurité. Ce modèle aide les entreprises à renforcer la sécurité de leurs systèmes d’information en les mettant à l’épreuve au sein même des processus existant de développement, d’assurance qualité et d’exploitation.

Puisque trouver et corriger les vulnérabilités très tôt dans le processus de conception permet de réduire les coûts, ce modèle aide les entreprises à renforcer la sécurité de leurs systèmes d’information à moindre coût, en industrialisant les tests de sécurité au travers de l’intégralité du cycle de vie des applications.

Les logiciels HP WebInspect 8.0 et HP Assessment Management Platform 8.0 sont basés sur la même infrastructure de scanning et de reporting. Tous deux aident les entreprises à :

• Trouver et corriger les vulnérabilités dans les applications Web 2.0 avec les fonctions d’analyse statique des applications conçues pour la plateforme Adobe® Flash platform et de suivi dynamique pour les applications JavaScript/Ajax.
• Mettre en œuvre des scans automatiques qui ne pouvaient, jusqu’ici, être réalisés que manuellement. Ceci concerne notamment, le suivi en profondeur pour les applications Java™ Model View Control
• Gagner du temps grâce à de nombreuses fonctions d’automatisation, permettant une configuration plus rapide des tests, et à des fonctions prêtes à l’emploi de reporting
• La nouvelle offre HP SaaS Project Services for Application Security Center aide les entreprises à commencer rapidement l’exploitation de HP Application Security Center, à la demande.