入侵預防系統領導廠商TippingPoint宣佈推出新的Web應用程式數位疫苗服務(Web Application Digital Vaccine;Web App DV),協助客戶維護Web應用程式安全。這組新服務讓TippingPoint客戶能夠發揮他們安全投資的最大效益,同時降低客製化Web應用程式遭受攻擊風險。再者,Web App DV服務,協助企業維護支付卡產業資料安全標準(Payment Card Industry Data Security Standard;PCI DSS)之遵循,同時避免Web應用防火牆防護方案可能出現的漏洞。
今日的Web應用程式支援多種客戶和夥伴交易與資料交換,包括庫存管理和客戶關係管理(CRM)。這些應用程式通常和敏感的資料資產相關聯,例如信用卡資料和個人資訊。這些應用在「Web化」之前,通常建置在擁有多層安全防護的企業網路內。現在,它們被部署到Web,以支援更廣大客戶或夥伴,也因此更接近網路周邊。
Frost & Sullivan全球網路安全計畫總監Rob Ayoub表示:「公司投資大量金錢以確保組織各階層安全,包括作業系統、網路乃至於端點裝置等。然而,Web應用程式雖然提供高生產力,但仍然是大多數基礎設施的弱點。由於這些應用程式原本並不是為了共同作業而設計,因此它們的連結方式往往會出現弱點,讓駭客有機會竊取網路深層的敏感資料。」
客戶意見顯示,Web應用防火牆(Web application firewall;WAF)當採取in-line部署於網路時,會出現誤報問題。它們非僅未能達到保護Web應用程式可用性,而且可能導致網路當機和效能問題。再者,為解決這些誤報而經常必須進行微調的結果,使得WAF必須防範的安全弱點定義變得模稜兩可,並且耗費IT資源與預算。
TippingPoint Web App DV服務藉由一組客戶DV過濾器連同標準DV過濾器,辨識並修補客戶的客製化Web應用程式安全弱點,提供完備的網路保護。這項服務的第一步驟是掃描應用程式和相關URL,以辨識程式碼內的弱點和可能遭惡意攻擊的部分,例如SQL隱碼攻擊、跨站腳本攻擊(cross-site scripting)或反向代理(reverse proxy)。一旦完成掃描,客戶即與TippingPoint的DVLabs團隊合作,按照安全弱點的嚴重性進行分類,並建立一個或一組客戶過濾器,部署到TippingPoint IPS。
TippingPoint DVLabs總監Rohit Dhamankar表示:「TippingPoint的Web App DV服務延伸了IPS功能,捕捉那些以往看不見的安全弱點威脅。藉由將客戶過濾器增加到已部署在TippingPoint IPS之內的標準過濾器,我們的客戶將能為其企業資產建立另一層防護。」
PCI DSS標準要求每一企業組織提出證明他們的Web-based應用具備惡意攻擊防護能力。
TippingPoint的Web App DV服務非僅掃描這些Web應用程式以檢測危險的弱點,並且建立客製化過濾器,保護組織的關鍵資產以及符合PCI標準遵循。再者,這些過濾器的後續追蹤掃描結果將建立在一份PCI報告,提供明確的證據以證明其所辨識的安全弱點已獲得控制。
TippingPoint Web App DV服務將於2009年5月提供。客戶可以選擇利用他們傳統的Web應用程式掃描方案或者TippingPoint的Web應用程式掃描服務。TippingPoint Web應用程式掃描服務將採行固定費率提供,包括初期掃描和安裝過濾器之後的掃描,以確保正確阻斷威脅。客戶過濾器將依照訂購量而定,並將於應用程式掃描後的48-72小時送交客戶。