NUEVO SOFTWARE IBM DE COMPROBACIÓN DE SEGURIDAD PROTEGE DE HACKERS A LAS EMPRESAS
19 de mayo del 2008 | por Andrea Ramírez Riestra
IBM presentó un nuevo software para ayudar a los clientes a proteger sus empresas de los ataques más complejos a la seguridad de aplicaciones web. La primera versión de IBM Rational AppScan, una tecnología de seguridad de aplicaciones web líder del mercado adquirida por IBM a Watchfire en julio de 2007, es un componente clave de la cartera de software de IBM que ayuda a asegurar la provisión de aplicaciones de alta calidad al mercado.
Las aplicaciones web constituyen objetivos de alto valor para los hackers; sin embargo, muchas organizaciones tienen dificultades para abordar la seguridad debido, en parte, a una falta de conocimiento sobre seguridad de aplicaciones, y el tamaño y la complejidad de los sitios web actuales, que incorporan los últimos avances en tecnología Web 2.0. Las empresas necesitan soluciones automatizadas capaces de identificar y proteger a las aplicaciones de estas debilidades. IBM Rational AppScan identifica, valida e informa vulnerabilidades de seguridad de aplicaciones y, con esta nueva versión, introduce nuevas funcionalidades y métodos de reporte para los auditores de seguridad, permitiendo que un conjunto más amplio de roles de TI participen e impulsen las pruebas de seguridad de las aplicaciones web críticas.
Tradicionalmente, los testers, desarrolladores y profesionales de TI no contaban con el conocimiento de seguridad específico para correr comprobaciones eficazmente. Las nuevas capacidades de IBM Rational AppScan, tales como Scan Expert y State Inducer, amplían la disponibilidad de esta función crítica para que el personal de TI, los desarrolladores de software y los testers puedan ejecutar scans exitosos y al mismo tiempo agregar nuevas características para asistir a los profesionales de seguridad.
Scan Expert incluye las mejores prácticas de un experto, tales como el perfilado automático de una aplicación, y la provisión de la mejor configuración de prueba para una comprobación exitosa. Esto permite un scanning más satisfactorio para usuarios con poca experiencia en IBM Rational AppScan o en seguridad de aplicaciones web, y al mismo tiempo mejora la eficiencia para expertos en seguridad con un mayor nivel de conocimiento.
Ampliando su liderazgo en el soporte a tecnologías complejas Web 2.0 que incluye soporte para Ajax y Flash, la nueva característica State Inducer introduce una evaluación precisa de procesos multi-paso dentro de aplicaciones, tales como agregar artículos a un carrito de compras y completar la compra, llenar múltiples formularios al solicitar un préstamo, o hacer una reserva de boleto aéreo. Hasta ahora, los usuarios hubieran tenido que probar manualmente cada una de estas áreas de la aplicación. Con State Inducer, IBM Rational AppScan puede aprender estas secuencias, asegurando que sean evaluadas con precisión por cuestiones de seguridad, permitiendo una mayor automatización, ahorro de tiempo y simplificando el proceso de prueba.
Cross-site forgery consiste en un uso malicioso de un sitio web en el cual un atacante puede falsificar una solicitud a un sitio obteniendo acceso a información sensible. IBM Rational AppScan identifica áreas en un sitio web donde las empresas podrían ser susceptibles a solicitudes del tipo cross-site forgery.
IBM Rational AppScan ahora incluye material educativo para ayudar a los usuarios a construir aplicaciones más seguras. El producto agrega avisos de capacitación basada en web (web-based training/WBT) grabados, que incorporan la primera capacitación de seguridad de aplicaciones de la industria directamente a la solución. WBT es una forma ideal de entrenar a los profesionales que no pertenecen al área de seguridad en las nociones básicas de la seguridad de aplicaciones y mejores prácticas de productos. Con el rápido surgimiento de nueva legislación de cumplimiento normativo, IBM Rational AppScan ayuda a las organizaciones a cumplir con docenas de estándares de industria y ha sido actualizado para incluir 44 informes de cumplimiento estándares líderes, incluso sobre la Ley de Derechos y Privacidad de Educación de Familia (FERPA) y mejores prácticas en aplicaciones de pago (PABP), tal como lo sugiere la industria de las tarjetas de crédito.
“Con IBM Rational AppScan, Standard Chartered Bank está capacitando a sus desarrolladores y personal de TI en la importancia de la seguridad de las aplicaciones web incorporada en todo el ciclo de vida de desarrollo,” comentó John Meakin, líder del grupo de seguridad informática de Standard Chartered Bank. “IBM Rational AppScan nos permite establecer las mejores prácticas en nuestros procesos de codificación y prueba, y de este modo garantizar la seguridad y el cumplimiento de nuestras aplicaciones web. Esto está reduciendo costos, mejorando la seguridad de nuestros productos, y mejorando nuestra productividad de prueba de seguridad.”
Las empresas hoy tienen cientos de aplicaciones críticas que deben ser probadas de manera oportuna. Integrar la seguridad con herramientas de prueba de gestión de calidad simplifica la prueba y remediación de seguridad durante todo el ciclo de vida del software. IBM también ha introducido nuevas mejoras a su cartera de desarrollo de software IBM Rational para facilitar aún más a los clientes la entrega de aplicaciones escalables de mayor calidad.
Por ejemplo, las compañías de telecomunicaciones ahora pueden aprovechar el soporte de IBM Rational Performance Tester para sistemas VoIP, telefonía de Internet y mensajería instantánea a través de SIP (session initiation protocol), un estándar clave en la industria de las telecomunicaciones. Las nuevas capacidades de testeo de palabras clave orientadas a datos de los IBM Rational Manual Testers ahora permiten a los usuarios de negocio y testers manuales automatizar fácilmente y reutilizar los activos de prueba sin incurrir en excesivos costos de automatización e inversiones.
Las soluciones de prueba de seguridad y calidad de primer nivel, integradas por un solo proveedor, permiten a los clientes de IBM incorporar la seguridad eficazmente a su proceso de entrega de aplicaciones.
“Tradicionalmente, la prueba de seguridad de aplicaciones web estaba reservada a los expertos en seguridad, pero eso no basta para mantenerse a tono con los requisitos de procesos dentro de las compañías en la actualidad,” comentó el Dr. Danny Sabbah, gerente general de IBM Rational Software. “El agregado de IBM Rational AppScan ayudará a los usuarios a ahorrar tiempo y dinero incorporando el testeo de aplicaciones web mucho antes en el proceso de ciclo de vida de software.”