Secured Software Development Life Cycle (SDLC)

แอพพลิเคชั่นของคุณมีความปลอดภัยเพียงพอหรือไม่?

 

ในทุกวันเราจะพบเห็นข่าวที่เกี่ยวข้องกับการแฮกหรือสงครามในโลกไซเบอร์กับธุรกิจข้ามชาติ ซึ่งไม่เพียงเกิดขึ้นกับธุรกิจข้ามชาติเท่านั้นแต่กับธุรกิจหรือหน่วยงานภาครัฐในประเทศไทยก็ประสบปัญหาเช่นเดียวกัน ซึ่งส่งผลให้องค์กรต่างๆ มีความจำเป็นที่จะต้องสร้างความน่าเชื่อถือและปฏิบัติตามมาตรฐานด้านความปลอดภัยไม่ว่าจะเป็น OWASP, PCI-DSS, ISO27001 และมาตรฐานอื่นๆ ซึ่งก็ยังมีอีกหลายองค์กรที่ไม่เคยทดสอบด้านความปลอดภัยของแอพพลิเคชั่น ดังนั้นจะทราบได้อย่างไรว่าแอพพลิเคชั่นที่ใช้งานมีความปลอดภัยเพียงพอต่อการป้องกันข้อมูลสำคัญ

 

โซลูชัน Fortify เป็นผู้นำในด้านความปลอดภัยให้กับแอพลิเคชั่นที่สร้างความน่าเชื่อถือให้กับกระบวนการในการพัฒนาแอพพลิเคชั่นในทุกขั้นตอน ครอบคลุม 3 สิ่งสำคัญทั้ง การพัฒนาอย่างปลอดภัย (Secure Development), การทดสอบด้านความปลอดภัย (Security Testing), การเฝ้าระวังและป้องกัน (Monitoring and Protection)


Fortify.png

 

ชุดผลิตภัณฑ์ Fortify ประกอบไปด้วย

Fortify Static Code Analyzer.pngFortify Static Code Analyzer (SCA) – เนื่องจากการแก้ปัญหาด้านความปลอดภัยของแอพพลิเคชั่นหลังจากที่ติดตั้งใช้งานไปแล้วมีค่าใช้จ่ายสูง ดังนั้นการพัฒนาแอพพลิเคชั่นให้มีความปลอดภัยตั้งแต่ต้นจึงเป็นสิ่งจำเป็นและช่วยลดค่าใช้จ่ายในการแก้ไข ด้วย Fortify Static Code Analyzer (SCA) ซึ่งเป็นเครื่องมือทดสอบความปลอดภัยที่ใช้ในกระบวนการในการพัฒนาแอพพลิเคชั่นที่มีจุดมุ่งหวังในการหาสาเหตุของช่องโหว่ ซึ่งจะช่วยลดความเสี่ยงที่เกิดจากการพัฒนาให้มีความปลอดภัยมากขึ้น ทั้งยังจัดลำดับความสำคัญของช่องโหว่ที่เกิดขึ้น รวมไปถึงให้คำแนะนำสำหรับแก้ไข ทำให้ผู้พัฒนาแอพพลิเคชันสามารถแก้ไขช่องโหว่ด้านความปลอดภัยได้อย่างรวดเร็วและตรงจุด

 

Fortify WebInspect.pngFortify WebInspect – มีความสามารถในการจำลองการโจมตีประเภทต่าง ๆ ทำให้ทีมทดสอบด้านปลอดภัยสามารถค้นพบช่องโหว่จากการทดสอบด้วยเครื่องมือเจาะระบบแบบอัตโนมัติ ด้วยเครื่องมือนี้ยังให้คำแนะนำในการแก้ปัญหาด้านความปลอดภัยที่เกิดขึ้น และนอกจากนี้ยังสามารถทำงานร่วมกับอุปกรณ์ Network Security เพื่อกำหนดนโยบายด้านความปลอดภัยให้กับเว็บแอพพลิเคชั่น

 

Fortify Application Defender – เป็นเครื่องมือป้องกันตนเอง (Runtime Application Self-protection (RASP) ที่ใช้ในการบรรเทาความเสี่ยงกับแอพพลิเคชั่นที่พัฒนาเพื่อการใช้งาน ทั้งยังเป็นเครื่องมือในการตรวจจับพฤติกรรมของผู้ใช้งานที่มีความผิดปกติและหยุดการโจมตีจากช่องโหว่ที่เกิดขึ้น เช่น SQL Injection(SQLi), Cross-Site-Scripting และช่องโหว่อื่นๆ พร้อมทั้งส่ง log ไปยังระบบ SIEM หรือ Log manager