Le vulnerabilità del software costituiscono il nuovo punto di ingresso per le attività illecite perché sono semplici da sfruttare e perché le soluzioni di sicurezza network-based sono inefficaci contro questo tipo di minaccia.
Il processo di integrare la sicurezza all’interno del ciclo di sviluppo del software è noto come Software Security Assurance (SSA) e si concretizza attraverso tre approcci complementari:
• l’analisi statica del codice,
• il test dinamico della sicurezza delle applicazioni,
• la predisposizione di tecnologie di Runtime Application Self-Protection (RASP).
Per rispondere puntualmente a ciascuna di queste esigenze e predisporre un modello SSA Micro Focus ha predisposto la famiglia di soluzioni Fortify.
Codice sicuro sin dall’inizio
La gamma Fortify aggruppa una serie di strumenti pensati per favorire uno sviluppo sicuro che elimini alla fonte le possibili vulnerabilità e per predisporre ambienti di test di tipo statico, dinamico e in tempo reale adatti a verificare le caratteristiche di sicurezza del codice.
Il modello di protezione Fortify ruota attorno a tre fasi: assessment, Security Assurance e difesa attiva sfruttando le tecnologie RASP (Runtime Application Self Protection) che rendono le applicazioni resistenti agli attacchi.
Fortify Application Defender
Application Defender è una soluzione di autoprotezione basata sulla tecnologia di runtime Fortify che abilita l’applicazione a catturare i registri dell’attività applicativa e dell’utente. Inoltre, rileva in tempo reale e blocca gli attacchi legati a molti tipi di vulnerabilità (per esempio impedisce exploit delle vulnerabilità software nelle applicazioni Java e .NET) e fornisce indicazioni utili ad accelerare il processo di correzione del codice. Application Defender può essere implementata come soluzione on-premise oppure sottoscritta come servizio; è caratterizzata da un processo di installazione estremamente semplice e richiede solo pochi minuti per diventare operativa.
Fortify Static Code Analyzer e Fortify WebInspect
Fortify Static Code Analyzer (SCA) è la tecnologia che permette di valutare il livello di sicurezza del software e rendere sicuro il codice durante la fase di sviluppo. Questa soluzione analizza ogni percorso che l’esecuzione e i dati possono seguire per identificare ed eliminare le vulnerabilità di sicurezza nel codice sorgente. Fortify SCA prevede opzioni di implementazione flessibili con possibilità di accesso on-premise oppure on-demand.
Fortify WebInspect è uno strumento automatizzato e configurabile che effettua test dinamici sulla sicurezza delle applicazioni Web e test di penetrazione. Imita le tecniche di hacking e gli attacchi, consentendo di analizzare a fondo le applicazioni e i servizi Web per individuare possibili vulnerabilità di sicurezza.
Fortify on Demand
Fortify on Demand (FoD) è il servizio di Testing as a Service (TaaS) per controllare il livello di sicurezza del software senza richiedere l’acquisto di alcun hardware né l’istallazione di alcun software e che supporta applicazioni sia sviluppate internamente sia da terze parti e commerciali.
L’analisi statica di Fortify on Demand permette di valutare il livello di sicurezza del software e di rendere sicuro il codice legacy mentre questo viene sviluppato. L’analisi di sicurezza di tipo dinamico permette di effettuare il test delle applicazioni Web in produzione senza causare interruzioni dell’attività. Fortify on Demand estende i test anche alle applicazioni mobili prendendo in considerazione i tre livelli che costituiscono lo “stack” tecnologico: client, rete e server.
Tramite l’integrabilità con Fortify Application Defender è possibile creare e gestire la protezione dalle vulnerabilità individuate durante la fase di “remediation”.
Fortify Software Security Center
Attraverso Fortify Software Security Center (SSC) Micro Focus mette a disposizione un repository di gestione centralizzata che fornisce visibilità sul livello di sicurezza applicativa in tutta l’azienda, per aiutare a risolvere le vulnerabilità di sicurezza presenti nel portafoglio software.
Di fatto, si tratta di una piattaforma dove gli utenti possono rivedere, controllare, definire priorità e gestire le attività di “remediation”, tenere traccia dei test di sicurezza eseguiti sul software e misurare i miglioramenti tramite un dashboard di gestione e report.