Page 1

Fortify

Fortify 360 ®

Proteger toda su cartera de software

“El enfoque integral con el que Fortify aborda la seguridad de las aplicaciones permite proteger verdaderamente nuestra empresa de las cambiantes amenazas para la seguridad de hoy en día.”

— Craig Schumard, CISO, CIGNA


Software Security Assurance (SSA) – Eliminar el riesgo del software

Nuestra misión es ayudar a nuestros clientes a asegurarse de que toda su cartera de software sea segura (con independencia de si se trata de software creado internamente, adquirido de fabricantes u obtenido de la comunidad de código abierto). Los ataques al software por parte de hackers, delincuentes y usuarios internos pueden provocar la interrupción del negocio, deterioro de la imagen de marca, tremendas pérdidas financieras y daños a personas inocentes. Los objetivos de estos ataques son las vulnerabilidades ocultas en las aplicaciones de software. Estas vulnerabilidades, que son el resultado de años de prácticas de programación en las que no se ha tenido en cuenta la seguridad, están a la espera de ser explotadas. Y para empeorar aún más las cosas, siguen entrando en las organizaciones nuevas vulnerabilidades desde sus propios grupos de desarrollo, así como a través de adquisiciones a fabricantes, proveedores externos y proyectos de código abierto. Alarmados por este daño potencial a gran escala tanto en el ámbito social como en el comercial, los organismos públicos y las organizaciones sectoriales han ido endureciendo las exigencias en materia de seguridad de las aplicaciones. En la actualidad, muchas organizaciones están obligadas a resolver el riesgo que entrañan sus aplicaciones y a acreditar el cumplimiento de la normativa. Software Security Assurance (control de la seguridad del software), o SSA, es un enfoque sistemático de la eliminación de riesgos de seguridad en el software y el cumplimiento de la normativa exigida tanto por la administración como por las organizaciones sectoriales. Mientras que el control de calidad del software (Software Quality Assurance) garantiza que el software funcione de la forma requerida, SSA garantiza que el software no pueda utilizarse de manera que pueda causar daño a la organización. SSA atiende la necesidad inmediata de eliminar las vulnerabilidades de las aplicaciones desplegadas, así como la necesidad sistemática y continuada de producir y adquirir software seguro. Fortify, gracias a la combinación de sus productos y servicios líderes del mercado, ha ayudado a más de 500 organizaciones de todo el mundo a lograr una reducción cuantificable del riesgo a través de un programa SSA efectivo. Fortify ofrece Fortify 360, la suite de productos para SSA líder del mercado. La organización Global Services de Fortify proporciona asesoramiento y experiencia en la implementación de SSA, mientras que Security Research Group de Fortify garantiza que las capacidades de SSA del cliente sean suficientes para responder ante un panorama de amenazas en constante evolución.

“Hoy en día, el paso más importante que deben dar las empresas para reducir el riesgo es exigir la implementación de mejoras en el software y las aplicaciones mal diseñadas e inseguras.” —John Pescatore, Analista ejecutivo, Gartner


Fortify  360 ®

La suite de soluciones líder del mercado para la contención, eliminación y prevención de vulnerabilidades en el software

Fortify 360 ofrece las prestaciones analíticas, paliativas y administrativas críticas para que un programa SSA de clase empresarial tenga éxito.

• Identificación Identificación exhaustiva de la causa raíz de más de 400 categorías de vulnerabilidades de seguridad en 17 lenguajes de programación

• S  olución Combina seguridad, desarrollo y administración para resolver las vulnerabilidades de software existentes

• C  ontrol Monitoriza la implantación del programa SSA en toda la organización y previene contra la introducción de nuevas vulnerabilidades procedentes del desarrollo interno, de proveedores externos y de fabricantes a través de la automatización de los procesos Secure Development Lifecycle (ciclo de vida de desarrollo protegido)

• D  efensa de aplicaciones Contiene rápidamente las vulnerabilidades existentes para que no puedan ser explotadas

• Cumplimiento Acredita fácilmente el cumplimiento de la normativa y de los reglamentos sectoriales, además de las políticas internas

Auditor

Desarrollador

3

CISO

Administrador de riesgos

WWW.FORTIFY.COM


Detección y solución de vulnerabilidades Reducción máxima del riesgo en el código fuente Fortify 360 identifica la causa raíz de las vulnerabilidades de la seguridad del software tanto en el código fuente como en las aplicaciones en ejecución mediante la detección de más de 400 tipos de vulnerabilidades de 17 lenguajes de programación y 600.000 API de nivel de componentes. Las vulnerabilidades pueden recabarse durante la fase de desarrollo o la fase de control de calidad de un proyecto, o incluso después de que una aplicación haya entrado en producción, lo que minimiza el riesgo de que no se haya detectado un problema grave. Para garantizar que los problemas más graves se resuelvan en primer lugar, Fortify 360 correlaciona y prioriza los resultados de sus analizadores para ofrecer una lista de problemas precisa y ordenada por nivel de riesgo.

Armonizar el conocimiento y resolver los problemas en una mayor cantidad de código Fortify 360 ofrece un conjunto completo de prestaciones de colaboración para efectuar rápidamente el triaje y resolver las vulnerabilidades identificadas por sus tres analizadores. Los profesionales dedicados a la seguridad de aplicaciones, los desarrolladores y sus jefes pueden colaborar de la forma que les resulte más adecuada empleando interfaces específicas para cada rol. Diseñado específicamente para el profesional de la seguridad de aplicaciones, Fortify 360 Audit Workbench proporciona los medios para analizar vulnerabilidades individuales, asignarlas

Fortify 360 presenta resultados integrados del analizador estático y de los analizadores dinámicos

para que sean resueltas y supervisar las actividades hasta su finalización. El módulo Collaboration de Fortify 360, basado en la Web, proporciona un espacio de trabajo y un depósito compartidos en el que profesionales de la seguridad de aplicaciones, desarrolladores y jefes pueden colaborar en la revisión del código y en las actividades de resolución. Los desarrolladores pueden resolver los problemas en su entorno de desarrollo preferido mientras colaboran con el equipo de seguridad empleando complementos para Eclipse y Microsoft Visual Studio. Con Fortify 360, los desarrolladores aprenden prácticas de codificación segura mientras resuelven las vulnerabilidades. Por cada vulnerabilidad, Fortify 360 proporciona información de referencia al desarrollador en la que se describe el problema y las formas de resolverlo en el lenguaje de programación específico del desarrollador.

Para identificar vulnerabilidades tanto en el código fuente como en aplicaciones en ejecución, Fortify 360 ofrece los siguientes analizadores estáticos y dinámicos: Analizador

Tipo Descripción

Source Code Analyzer (SCA)

Análisis estático

El componente SCA de Fortify 360 examina el código fuente de una aplicación en busca de vulnerabilidades potencialmente explotables.

Se utiliza durante la fase de desarrollo con el fin de identificar las vulnerabilidades en una fase temprana del ciclo de desarrollo, cuando resulta menos costoso atajarlas.

Program Trace Analyzer (PTA)

Análisis dinámico

PTA identifica aquellas vulnerabilidades que sólo pueden detectarse cuando una aplicación está en ejecución, además de verificar y priorizar aun más los resultados obtenidos mediante SCA.

Durante la fase de control de calidad para detectar vulnerabilidades como parte del proceso normal de comprobación.

Real-Time Analyzer (RTA)

Análisis dinámico

RTA monitoriza las aplicaciones desplegadas para identificar cómo, cuándo y por quién está siendo atacada la aplicación. Proporciona información detallada “desde dentro de la aplicación” en la que se identifica aquellas vulnerabilidades que están siendo explotadas.

Mientras la aplicación se encuentra en producción para detectar nuevas vulnerabilidades explotables o aquellas que no se hayan detectado durante el desarrollo.

WWW.FORTIFY.COM

Uso

4


SSA Governance de Fortify 360 El módulo SSA Governance de Fortify 360 proporciona visibilidad y control de los programas SSA aplicados al conjunto de la organización

Control de SSA Administrar las tareas de Software Security Assurance Los programas SSA aplicados al conjunto de la organización pueden plantear numerosos retos al equipo de seguridad. Conforme aumenta el número de proyectos de SSA, el equipo de seguridad puede tener dificultades para atender las peticiones realizadas por equipos de desarrollo, auditores

de más tiempo para la realización de otras actividades. Las prestaciones avanzadas de generación de informes y visualización proporcionan los medios necesarios para consolidar rápidamente los resultados obtenidos de todos los proyectos, producir informes específicamente diseñados para ejecutivos e identificar aquellas áreas en las que es posible mejorar.

y directores. La creación e implementación de procesos

Para aquellas organizaciones que desean comenzar a utilizar

reproducibles, como es Secure Development Lifecycle (SDL),

Secure Development Lifecycle de la forma más rápida

es el primer paso ineludible para tomar el control de situación.

posible, se proporcionan plantillas de SDL y otros elementos

Sin embargo, sin una automatización efectiva, el desarrollo y

basados en las mejores prácticas de Fortify. Estas plantillas

la supervisión de las actividades de seguridad definidas en un

ofrecen un SDL efectivo que puede implementarse tal y como

SDL pueden seguir siendo tareas difíciles de gestionar para las

se suministra. Esto permite eliminar la investigación y el

organizaciones.

conocimiento que exige la creación de un SDL.

El módulo SSA Governance de Fortify 360 está pensado para mantener el control de programas SSA integrados por múltiples proyectos. Proporciona un sistema de registro único con vistas de los activos, las actividades y los resultados relacionados con el esfuerzo global de SSA realizado por la organización. Para proyectos individuales, el módulo SSA Governance proporciona un cómodo portal Web en el que pueden registrarse y comunicarse las actividades y los dispositivos relacionados con la mitigación de riesgos. El módulo SSA Governance de Fortify 360 asigna automáticamente a cada proyecto de la organización las actividades correctas en función del perfil de riesgo específico del proyecto. El equipo de seguridad de aplicaciones puede posteriormente supervisar las tareas del proyecto y recibir alertas basadas en hitos completados o no completados.

Las aplicaciones inseguras dañan a las empresas El 80% de las empresas sufren pérdidas de clientes debido a las brechas en la seguridad de los datos.  as empresas se arriesgan a perder L más de un billón de dólares por la pérdida o el robo de datos y otros delitos cibernéticos.

Una vez que se dispone de estas prestaciones, el equipo de seguridad puede comenzar a avanzar hacia un enfoque de SSA de administración por excepciones, lo que permite disponer

5

WWW.FORTIFY.COM


Inteligencia contra amenazas

Application Defense

Permanezca un paso por delante de las amenazas en constante evolución

Defensa activa para aplicaciones Java y .Net

La ciberdelincuencia continúa buscando nuevas formas de

aplicaciones Java y .NET de alto riesgo de posibles ataques.

explotar el software. Fortify garantiza que la inversión de un cliente

El enfoque de defensa de las aplicaciones desde dentro de éstas

permita atajar estas nuevas amenazas proporcionando diversas

que utiliza el módulo Application Defense permite proteger con

actualizaciones regulares de Fortify 360. Estas actualizaciones

precisión a una aplicación de posibles ataques sin necesidad de

se proporcionan a través de la organización Security Research

realizar ajustes. Los usuarios pueden comprobar cuáles son las

Group de Fortify. La misión de este equipo interno integrado por

vulnerabilidades específicas que los hackers están intentando

expertos en seguridad es aprovechar la investigación especializada

explotar y crear respuestas personalizadas a los ataques. También

en las técnicas más recientes empleadas por los hackers y en las

se proporciona un conocimiento preciso del tipo y la frecuencia de

tendencias de vulnerabilidad para incorporar este conocimiento de

los ataques que sufre una aplicación. Los datos que genera este

seguridad en Fortify 360. Constituyen la primera línea de seguridad

componente pueden enviarse a Fortity 360 con el fin de elaborar

de Fortify Software y sus investigaciones de cómo fallan los

una visión más completa de la seguridad de la aplicación.

El módulo Application Defense de Fortify 360 protege las

sistemas en el mundo real les permite identificar las soluciones más efectivas para atajar las amenazas a las que se enfrentan los clientes de Fortify. Security Research Group publica trimestralmente actualizaciones de Fortify Secure Coding Rulepacks (paquetes de reglas de codificación segura de Fortify), que constituyen el núcleo de Fortify 360 Analyzers. Estas actualizaciones integran las últimas tendencias en seguridad de software y en técnicas de programación y mantienen a los clientes de Fortify un paso por delante de hackers, crackers y ciberdelincuentes. En conjunto, Security Research Group ha identificado más de 400 categorías de vulnerabilidades en 17 lenguajes de programación y han explorado más de 600.000 interfaces de programación de aplicaciones (API). Un estudio reciente realizado por Security Research Group de Fortify ha dado como resultado la detección de dos nuevas categorías de vulnerabilidades completamente nuevas (JavaScript Hijacking y Cross-Build Injection), además de proporcionar un trabajo pionero en el terreno de la arquitectura orientada a los servicios y en la detección de la "puerta trasera" de los sistemas.

Una brecha en la seguridad que afecte a 100.000 registros de datos podría costar entre 10 y 30 millones de dólares. — Forrester

WWW.FORTIFY.COM

6


Cumplimiento “La infraestructura de seguridad que hemos implementado en Financial Engines es de vital importancia para nuestro negocio, ya que proteger los datos financieros de carácter

Cumplir la normativa en materia de seguridad de las aplicaciones

sensible de nuestros clientes es una misión crítica para

Fortify 360 permite a las empresas cumplir exigencias

nosotros. Fortify 360 nos permite integrar un análisis de

normativas clave, como PCI, FISMA, HIPAA, SOX y

código fuente, pruebas dinámicas y monitorización en

NERC, entre otras muchas.

tiempo real en un único y amplio paquete que desempeña un papel clave en nuestro enfoque global de la seguridad de

Superar los requisitos de cumplimiento PCI

aplicaciones.”

Fortify 360 se suministra plenamente configurado

—Gary Hallee, EVP Technology, Financial Engines

para cumplir las exigencias relativas a seguridad de las aplicaciones de los proyectos de cumplimiento de PCI (secciones 3, 6, y 11). Todas las vulnerabilidades pueden clasificarse por orden de importancia en lo que a PCI se refiere. El módulo Application Defense de Fortify 360 proporciona una opción defensiva

Los ataques van en aumento Los delitos cibernéticos aumentaron un 53% en 2008. El número de programas malintencionados en circulación en Internet se triplicó en 2008.

de alta precisión que da apoyo a la prestación de firewall de aplicaciones Web (WAF). El módulo SSA Governance de Fortify 360 proporciona un proceso de cumplimiento de PCI listo para ser utilizado que incluye informes PCI específicamente pensados para auditores.

Superar los requisitos de cumplimiento FISMA Los organismos públicos deben superar requisitos muy estrictos de seguridad de las aplicaciones. Fortify 360 identifica los problemas de seguridad de las aplicaciones y guía al usuario a través del proceso de solución de problemas y la generación de informes sobre el progreso.

SOX, NERC y HIPAA, entre otros Fortify 360 ha ayudado a numerosas organizaciones a superar requisitos de cumplimiento para muy diversos sectores, como los de comercio, salud, energía, finanzas y sector público, entre otros.

7

WWW.FORTIFY.COM


En Febrero de 2009, Gartner situó a Fortify en el cuadrante de líderes del informe “Magic Quadrant for Static Application Security Testing (SAST).” El informe está disponible en http://www.fortify.com/magicquadrant.

Acerca de Fortify Las soluciones Software Security Assurance de Fortify protegen a empresas y organizaciones del mayor riesgo para la seguridad existente en la actualidad: el software que ejecutan sus negocios. Fortify reduce la amenaza de pérdidas financieras catastróficas y de deterioro de la imagen de una empresa, además de garantizar el cumplimiento puntual de la normativa de la administración y de los organismos sectoriales. Entre los clientes de Fortify figuran organismos oficiales y líderes del ranking Global 2000 en servicios financieros, sector sanitario, comercio electrónico, telecomunicaciones, editoriales, seguros, integración de sistemas y tecnología de la información. Para obtener más información, visítenos en www.fortify.com.

Fortify Software Inc.

Más información en wWw.fortify.com

2215 Bridgepointe Pkwy. Suite 400 San Mateo, California 94404

Tel: (650) 358-5600 Fax: (650) 358-4600 E-mail: contact@fortify.com

WWW.FORTIFY.COM

Fortify  

Security for us