IBM (NYSE: IBM) stellt eine neue Software vor, die Unternehmen dabei unterstützt, Anwendungen für mobile Endgeräte zu entwickeln, die von Anfang an einem erhöhten Sicherheitsstandard entsprechen. Jetzt können Kunden das Thema Sicherheit von Beginn an in den Entwurf ihrer mobilen Anwendungen integrieren, so dass Schwachstellen im Entwicklungsprozess frühzeitig erkannt werden können. Die neue Ankündigung erweitert die Strategie von IBM, Kunden eine mobile Plattform zu bieten, die sich umfassend auf Anwendungsentwicklung, Integration, Sicherheit und Verwaltung erstreckt.
Mit mittlerweile mehr als fünf Milliarden mobilen Endgeräten auf der Welt - und nur zwei Milliarden Computern - nimmt die Verlagerung auf mobile Geräte als die primäre Form der Verbindung zu Firmennetzwerken rasant zu. Die Sicherung dieser Geräte wird zu einer Top-Priorität für Führungskräfte im Sicherheitsbereich und CIOs. In dem Maß, wie Unternehmen den zunehmenden "Bring-Your-Own-Device"-(BYOD-)Trend adaptieren, steigt die Notwendigkeit, Anwendungen, die auf diesen Geräten laufen, zu sichern. Laut IBM X-Force-Trend-und-Risiko-Report-2011 stiegen mobile Exploits im Jahr 2011 um 19 Prozent. Darüber hinaus, so die kürzlich veröffentlichten Daten aus einer IBM Center-for-Applied-Insights-Studie, nannten 55 Prozent der Befragten mobile Sicherheit als primären Technologie-Belang in den nächsten zwei Jahren.
Die schnelle Consumerization mobiler Endgeräte, Anwendungen und Dienstleistungen hat die dringende Notwendigkeit geschaffen, Unternehmensanwendungen auf Geräten von Arbeitnehmern zu sichern. Mit der neuesten Version des IBM Security AppScan-Portfolios bietet IBM nun eine robuste Security-Lösung zur Anwendungsentwicklung, welche es Kunden erlaubt, den Test der Sicherheit mobiler Anwendungen in den gesamten Application-Lifecycle zu integrieren.
"Wir sehen eine steigende Nachfrage von Unternehmen, die ihre Unternehmensanwendungen auf mobile Geräte erweitern möchten", sagte Stuart Dross, Vice President of Sales and Marketing, Cigital, Inc. "Die Möglichkeit, native und hybride mobile Anwendungen auf Sicherheitslücken zu scannen, ist ein wichtiger Schritt nach vorn bei der Sicherung sensibler Daten und der Minimierung von Sicherheitsrisiken. "
Sicherheit "to go"
Mobile Anwendungen sind ein neues Ziel für Bedrohungen, da sie im Vergleich zu Schwachstellen von Webanwendungen ein höheres Risiko eines Angriffs in sich tragen. Angreifer konzentrieren sich verstärkt auf mobile Anwendungen, da viele Unternehmen sich der Sicherheitsrisiken nicht bewusst sind, die durch grundlegende mobilen Anwendungen eröffnet werden. Neben den traditionellen Bedrohungen könnte ein Hacker zum Beispiel eine SQL-Injektion oder Scripting-Attacke auf die Anwendungen durchführen. Auch können mobile Anwendungen von Malware- und Phishing-Angriffen oder durch das Scannen von QR-Codes mit bösartigen Skripten bedroht werden. Darüber hinaus haben Anwendungen auf mobilen Endgeräten spezifische Schwachstellen, weil auf ihnen oft vertrauliche Daten gespeichert sind, die durch bösartige Anwendungen abgefragt werden können. Diese Daten, einmal lokal gespeichert, sind in der Regel außerhalb des Schutzes der Unternehmenssicherheitsprogramme. Die neuen AppScan-Analysefunktionen können solche Schwachstellen finden, um Entwicklern zu helfen, sicherere mobile Anwendungen zu erstellen.
"Kunden mit der Fähigkeit auszustatten, mobile Anwendungen auf Schwachstellen zu untersuchen, egal ob in-house entwickelt oder outgesourced, ist der nächste Schritt unserer mobilen Strategie", erklärt Gerd Rademann, Business Unit Executive,IBM Security Systems Germany. "Mit mehr als 120.000 unserer eigenen Mitarbeitern, die über ihre moblilen Endgeräte auf das IBM Netz zugreifen, war es auch für uns wichtig, einen Weg zu finden, damit unsere Mitarbeiter sicher und geschützt arbeiten können."
Mitarbeiter und Mobilität Mit der jetzigen Ankündigung ist IBM der erste Anbieter, der statisches Application-Security-Testing (SAST) für Android-Anwendungen anbietet. Dies ermöglicht Kunden, ihre eigenen Tests für mobile Anwendungen durchzuführen. In der Vergangenheit mussten Kunden ihre Applikationen und Software-IP (Intellectual Property) an einen externen Anbieter schicken, um diese auf Schwachstellen testen zu lassen. Dieser Ansatz ist nicht beliebig erweiterbar und die Reaktionszeit ist oft zu langsam, da mobile Anwendungen ständige Überarbeitungen und Updates durchlaufen. Unternehmen müssen Mobile-Application-Security-Tests frühzeitig in den Software-Entwicklungszyklus einbeziehen.
Zusätzlich zu den Testmöglichkeiten mobiler Applikationen gibt es signifikante neue Funktionen, von denen Kunden profitieren können:
- Integration mit der IBM QRadar-Security-Intelligence-Platform ermöglicht eine erhöhte Security Intelligence, wenn eine Anwendung in Produktion geht. Durch die Korrelation bekannter Sicherheitslücken von Anwendungen mit Benutzer- und Netzwerk-Aktivität, kann QRadar automatisch die Prioritätseinschätzung von Sicherheitsvorfällen erhöhen oder senken.
- Ein neuer Cross-Site-Scripting-(XSS-)Analysator, der einen Lernmodus verwendet, um Millionen von potentiellen Tests aus weniger als 20 Kerntests schnell auszuwerten. Dieser neue XSS-Analyzer spürt XSS-Schwachstellen schneller auf als jede frühere Version von AppScan.
- Neue statische Analyse-Funktionen helfen Unternehmen bei der Einführung weitreichender Sicherheitsverfahren für Applikationen durch vereinfachtes On-Boarding von Anwendungen und befähigen auch Zuständige ohne Sicherheitsspezialisierung dazu, schneller zu testen als mit früheren Versionen.
- Vordefinierte und anpassbare Vorlagen, die Entwicklungsteams die Möglichkeit bieten, sich schnell auf einen Satz an Regeln zu konzentrieren, der durch ihr Security-Team hinsichtlich Prioritäten aufgestellt wurde.
Neben der Integration von QRadar bietet AppScan Integrationspunkte mit IBM Security-Network-IPS und IBM Security-SiteProtector und ist zusammen mit IBM Guardium und IBM Security-Access-Management-Lösungen eine regelmäßige Ergänzung für End-to-End-Anwendungssicherheit. Ziel ist es, eine umfassendes und integriertes Sicherheitsframework für Anwendungen im Entwicklungs- und Produktionslebenszyklus bereitzustellen.
IBM verfügt über ein breites Portfolio an mobilen Security-Lösungen, angefangen von der Unterstützung dabei, Daten auf Geräten zu schützen, bis hin dazu, mobile Anwendungen sicherer laufen zu lassen. IBM hat seit mehr als einem Jahrzehnt stetig in das Mobility-Segment investiert, sowohl organisch wie auch durch Akquisitionen. Damit existiert ein umfassendes IBM Portfolio an Software und Services, die Enterprise-Ready-Mobilität für Kunden bieten können.
IBM Security AppScan wird voraussichtlich ab diesem Quartal allgemein verfügbar sein.
Mit mittlerweile mehr als fünf Milliarden mobilen Endgeräten auf der Welt - und nur zwei Milliarden Computern - nimmt die Verlagerung auf mobile Geräte als die primäre Form der Verbindung zu Firmennetzwerken rasant zu. Die Sicherung dieser Geräte wird zu einer Top-Priorität für Führungskräfte im Sicherheitsbereich und CIOs. In dem Maß, wie Unternehmen den zunehmenden "Bring-Your-Own-Device"-(BYOD-)Trend adaptieren, steigt die Notwendigkeit, Anwendungen, die auf diesen Geräten laufen, zu sichern. Laut IBM X-Force-Trend-und-Risiko-Report-2011 stiegen mobile Exploits im Jahr 2011 um 19 Prozent. Darüber hinaus, so die kürzlich veröffentlichten Daten aus einer IBM Center-for-Applied-Insights-Studie, nannten 55 Prozent der Befragten mobile Sicherheit als primären Technologie-Belang in den nächsten zwei Jahren.
Die schnelle Consumerization mobiler Endgeräte, Anwendungen und Dienstleistungen hat die dringende Notwendigkeit geschaffen, Unternehmensanwendungen auf Geräten von Arbeitnehmern zu sichern. Mit der neuesten Version des IBM Security AppScan-Portfolios bietet IBM nun eine robuste Security-Lösung zur Anwendungsentwicklung, welche es Kunden erlaubt, den Test der Sicherheit mobiler Anwendungen in den gesamten Application-Lifecycle zu integrieren.
"Wir sehen eine steigende Nachfrage von Unternehmen, die ihre Unternehmensanwendungen auf mobile Geräte erweitern möchten", sagte Stuart Dross, Vice President of Sales and Marketing, Cigital, Inc. "Die Möglichkeit, native und hybride mobile Anwendungen auf Sicherheitslücken zu scannen, ist ein wichtiger Schritt nach vorn bei der Sicherung sensibler Daten und der Minimierung von Sicherheitsrisiken. "
Sicherheit "to go"
Mobile Anwendungen sind ein neues Ziel für Bedrohungen, da sie im Vergleich zu Schwachstellen von Webanwendungen ein höheres Risiko eines Angriffs in sich tragen. Angreifer konzentrieren sich verstärkt auf mobile Anwendungen, da viele Unternehmen sich der Sicherheitsrisiken nicht bewusst sind, die durch grundlegende mobilen Anwendungen eröffnet werden. Neben den traditionellen Bedrohungen könnte ein Hacker zum Beispiel eine SQL-Injektion oder Scripting-Attacke auf die Anwendungen durchführen. Auch können mobile Anwendungen von Malware- und Phishing-Angriffen oder durch das Scannen von QR-Codes mit bösartigen Skripten bedroht werden. Darüber hinaus haben Anwendungen auf mobilen Endgeräten spezifische Schwachstellen, weil auf ihnen oft vertrauliche Daten gespeichert sind, die durch bösartige Anwendungen abgefragt werden können. Diese Daten, einmal lokal gespeichert, sind in der Regel außerhalb des Schutzes der Unternehmenssicherheitsprogramme. Die neuen AppScan-Analysefunktionen können solche Schwachstellen finden, um Entwicklern zu helfen, sicherere mobile Anwendungen zu erstellen.
"Kunden mit der Fähigkeit auszustatten, mobile Anwendungen auf Schwachstellen zu untersuchen, egal ob in-house entwickelt oder outgesourced, ist der nächste Schritt unserer mobilen Strategie", erklärt Gerd Rademann, Business Unit Executive,IBM Security Systems Germany. "Mit mehr als 120.000 unserer eigenen Mitarbeitern, die über ihre moblilen Endgeräte auf das IBM Netz zugreifen, war es auch für uns wichtig, einen Weg zu finden, damit unsere Mitarbeiter sicher und geschützt arbeiten können."
Mitarbeiter und Mobilität Mit der jetzigen Ankündigung ist IBM der erste Anbieter, der statisches Application-Security-Testing (SAST) für Android-Anwendungen anbietet. Dies ermöglicht Kunden, ihre eigenen Tests für mobile Anwendungen durchzuführen. In der Vergangenheit mussten Kunden ihre Applikationen und Software-IP (Intellectual Property) an einen externen Anbieter schicken, um diese auf Schwachstellen testen zu lassen. Dieser Ansatz ist nicht beliebig erweiterbar und die Reaktionszeit ist oft zu langsam, da mobile Anwendungen ständige Überarbeitungen und Updates durchlaufen. Unternehmen müssen Mobile-Application-Security-Tests frühzeitig in den Software-Entwicklungszyklus einbeziehen.
Zusätzlich zu den Testmöglichkeiten mobiler Applikationen gibt es signifikante neue Funktionen, von denen Kunden profitieren können:
- Integration mit der IBM QRadar-Security-Intelligence-Platform ermöglicht eine erhöhte Security Intelligence, wenn eine Anwendung in Produktion geht. Durch die Korrelation bekannter Sicherheitslücken von Anwendungen mit Benutzer- und Netzwerk-Aktivität, kann QRadar automatisch die Prioritätseinschätzung von Sicherheitsvorfällen erhöhen oder senken.
- Ein neuer Cross-Site-Scripting-(XSS-)Analysator, der einen Lernmodus verwendet, um Millionen von potentiellen Tests aus weniger als 20 Kerntests schnell auszuwerten. Dieser neue XSS-Analyzer spürt XSS-Schwachstellen schneller auf als jede frühere Version von AppScan.
- Neue statische Analyse-Funktionen helfen Unternehmen bei der Einführung weitreichender Sicherheitsverfahren für Applikationen durch vereinfachtes On-Boarding von Anwendungen und befähigen auch Zuständige ohne Sicherheitsspezialisierung dazu, schneller zu testen als mit früheren Versionen.
- Vordefinierte und anpassbare Vorlagen, die Entwicklungsteams die Möglichkeit bieten, sich schnell auf einen Satz an Regeln zu konzentrieren, der durch ihr Security-Team hinsichtlich Prioritäten aufgestellt wurde.
Neben der Integration von QRadar bietet AppScan Integrationspunkte mit IBM Security-Network-IPS und IBM Security-SiteProtector und ist zusammen mit IBM Guardium und IBM Security-Access-Management-Lösungen eine regelmäßige Ergänzung für End-to-End-Anwendungssicherheit. Ziel ist es, eine umfassendes und integriertes Sicherheitsframework für Anwendungen im Entwicklungs- und Produktionslebenszyklus bereitzustellen.
IBM verfügt über ein breites Portfolio an mobilen Security-Lösungen, angefangen von der Unterstützung dabei, Daten auf Geräten zu schützen, bis hin dazu, mobile Anwendungen sicherer laufen zu lassen. IBM hat seit mehr als einem Jahrzehnt stetig in das Mobility-Segment investiert, sowohl organisch wie auch durch Akquisitionen. Damit existiert ein umfassendes IBM Portfolio an Software und Services, die Enterprise-Ready-Mobilität für Kunden bieten können.
IBM Security AppScan wird voraussichtlich ab diesem Quartal allgemein verfügbar sein.
