IBMWatchfire简介.pptVIP

AppScan简介 它是什么? WEB应用的安全诊断工具 为什么我们需要它? 为了简化发现和修复WEB应用安全问题的过程 它如何工作? 扫描WEB应用、发现安全漏洞、提出修改建议、形成多种报告 AppScan可以测什么？ AppScan可以在什么时候测？ 可行性修复建议 灵活的报表 与安全标准的依从 技术优势 直观的图形界面 及时的更新 详细的漏洞修复建议 灵活的报表功能 全面覆盖SDLC的工具 IBM Software Group | Rational software ? IBM Software Group ? 2006 IBM Corporation Watchfire简介 IBM 软件部 超过500家公司信赖 Watchfire 10大银行中的9家 10大科技公司中的8家 10大医疗/ 药品公司中的7家 各大政府机关和部门 Security 全球成功案例 * 顾问和调查公司 科技公司 Security 全球成功案例 超过500家公司信赖 Watchfire * Security 国内成功案例 超过500家公司信赖 Watchfire 目前在中国，深圳华为已经是我们的客户。 普适性 安全检测工具 独孤求败式 安全检测工具 人工 安全检测 普适性工具：作为安全防御第一步，用来定期扫描安全隐患 独孤求败式安全检测工具：用来解决安全上的疑难杂症 人工安全检测：用来最后把关，确保应用安全 * * 07.WatchFire –Web应用安全和遵从保证解决方案 目标客户特征 理想的销售对象：CIO、安全审计人员、Penetration testers, QA 和开发人员 典型客户特征：Web应用需要很高的安全性、业务依赖于在线数据安全交易的组织 解决什么问题 确保Web应用的安全和数据传输的安全 定位和修复Web应用的循规问题（compliance violations） 提供WEB应用安全性的可见性和控制能力 解决方案是什么 小团队：Rational AppScan Standard Ed (Floating licenses) ＋Rational产品咨询服务包 做什么 自动的 Web 应用安全测试和安全诊断工具(AppScan) 自动的跨站点脚本执行（XSS）和 SQL 注入 测试（排名前两位的安全隐患，分别占25％和18％） 自动扫描Web应用、分析安全隐患、生成修复意见报告 策略是什么 面向CIO和信息安全审计人员，讨论Web应用程序的安全漏洞和解决方案，以及Web应用程序的循规审计 在那里用过 华为，其它客户见附件 主要竞争对手是谁 HP SPI Dynamics Web Inspect (1/5 marketshare)，Cenzic Hailstorm (1/30 marketshare)，Acunetix (1/50 marketshare)，Whitehat (1/50 marketshare) 主要优势是什么 在应用安全漏洞评估管理的市场份额世界第一 更灵活的架构和更全面的功能，提供全生命周期的安全质量保证 简单易用、容易部署 提供Web应用安全的可见性和实时控制能力 快速解决Web应用的安全性问题和循规要求 收益 Database Operating System Web Server Web Application Web Services 数据库扫描 主机扫描 网络扫描 Web 应用扫描 AppScan Build Developers 软件开发生命周期（SDLC） Developers Developers Coding QA Security Production Application Security Testing Maturity Security Security Security Security 一些客户提出问题 客户认为工具太简单 工具简单易用，是因为我们封装了底层复杂的操作，不代表产品实现逻辑简单。AppScan诊断Web应用几十个甚至是几个安全隐患，往往需要在底层利用成百上千种业界最先进的攻击方法进行分析。 客户认为Scan就是简单扫描一遍 不是简单的对应用扫描一遍，得出结论，而是通过定制一些符合企业自身的策略，用最新的攻击方法库，进行大量尝试后，得出符合业界标准的精确结论。 客户认为可以请咨询公司来作，方便还能省钱 Web应用安全是件需要长期坚持、定期诊断的工作，一次咨询费用也许便宜，但是长期下来，花费会更高，而且没有自主性。 客户没有安全意识 “防”：要预防，不能等到发生事故再补救。 “责任”：没有隐患，万事如意；但是一旦发生问题，就要负很大责任。 * * * 根据客户分类，把合适的图标调上去 * 一些著名的