IBM предпринимает активные меры по обеспечению защиты предприятий от кибератак на Web-приложения
АРМОНК, штат Нью-Йорк, 10 августа 2009 г. — Корпорация IBM (NYSE: IBM) сегодня объявила о выпуске самых полнофункциональных в отрасли решений, призванных содействовать борьбе против онлайновых атак на Web-приложения и защите целостности данных, генерируемых и обрабатываемых Web-приложениями. Этот анонс IBM является частью ее неизменной стратегии поставки клиентам продуктов и услуг, направленных на снижение или устранение наиболее серьезных на сегодняшний день рисков информационной безопасности.
Поскольку Web-приложения все в большей степени становились главными целями угроз и атак, многие предприятия были вынуждены использовать реактивный подход к ИТ-безопасности, который, в отличие от проактивного подхода, основан на применении «точечных» продуктов, обеспечивающих лишь частичную защиту Web-приложений и дополнительно усложняющих операции обеспечения безопасности. IBM объединила функциональные возможности своих многочисленных предложений для реализации системы сквозной информационной безопасности Web-приложений, которая включает средства разработки защищенного программного кода, средства управления уязвимостями и блокирования атак в реальном времени, специализированные инструменты для поддержки безопасности и производительности Web-сервисов, а также средства управления доступом.
Интеграция IBM своих предложений по обеспечению ИТ-безопасности Web-приложений может помочь предприятиям в борьбе с этими видами атак. Новейший компонент решения, IBM Proventia SiteProtector 8.0, объединяет систему консолидированного управления информационной безопасностью с Rational AppScan, ведущим в отрасли продуктом для тестирования кода Web-приложений на наличие уязвимостей ИТ-безопасности, а также с недавно анонсированным IBM модулем защиты Web-приложений для систем предотвращения вторжений в сетевые и серверные среды. Это комплексное решение предоставляет предприятиям целый ряд преимуществ, в том числе:
- Снижение операционных расходов, связанных с управлением ИТ-безопасностью
- Повышение общего уровня информационной безопасности
- Консолидированная инфраструктура подготовки отчетности
- Единая система документооборота для управления событиями информационной безопасности
- Возможность определения взаимосвязей уязвимостей приложений с потенциальными событиями информационной безопасности и атаками реального времени, что позволяет организациям устанавливать приоритет и очередность корректирующих действий для оперативного устранения наиболее серьезных угроз
Предложения IBM по ИТ-защите Web-приложений (US) дополнительно демонстрируют мощь и возможности ее средств информационной безопасности с интегрированными консолями управления для программных и аппаратных решений, профессиональных услуг и услуг по управлению безопасностью, которые могут оказать эффективную помощь в снижении расходов и упрощении операций системы безопасности.
«Защита Web-приложений является передовой линией фронта борьбы против киберпреступности. Предприятия во всем мире подвергаются постоянным онлайновым атакам, и обеспечение безопасности Web-сайта нашего теннисного турнира Australian Open становится для нас задачей первостепенной важности, — подчеркнул доктор Крис Йейтс (Chris Yates), руководитель ИТ-службы австралийской федерации тенниса (Tennis Australia). — Решение IBM для ИТ-защиты Web-приложений может помочь федерации Tennis Australia внедрить более координированный и эффективный подход к обеспечению информационной безопасности во время Открытого чемпионата Австралии по теннису. Этот подход, в конечном счете, даст нам возможность снизить общие затраты на систему ИТ-безопасности, поддерживая высокий уровень информационной защиты наших онлайновых ресурсов и защищая посетителей Web-сайта Australian Open от воздействия вредоносного программного кода».
Согласно новейшим статистическим данным из отчета группы IBM X-Force "2009 Midyear Trend & Risk Report" («Тенденции и риски в первом полугодии 2009 года»), который будет опубликован позже в этом месяце, число атак на Web-приложения продолжает увеличиваться. Так, например, число атак вида "SQL injection" (один из широко применяемых способов взлома Web-сайтов и приложений, работающих с базами данных; основан на внедрении в запрос произвольного SQL-кода, как правило, с целью инфицирования пользовательских компьютеров) выросло на 50% в первом квартале 2009 года по сравнению с четвертым кварталом 2008 года и почти удвоилось (рост 96%) во втором квартале 2009 года по сравнению с первым кварталом. Авторы отчета пришли к выводу, что наиболее распространенными намерениями злоумышленников, атакующих Web-приложения, является кража и манипулирование данными, а также получение контроля над инфицированными компьютерами посетителей Web-сайтов.
«Безопасность Web-приложений является сегодня одной из наиболее серьезных проблем предприятий, и только IBM способна предложить всеобъемлющее решение, которое может помочь им переломить ситуацию, сложившуюся с защитой от внедрения зловредного SQL-кода и других видов атак на Web-приложения, — считает Дэн Пауэрс (Dan Powers), вице-президент подразделения IBM Internet Security Systems по бизнес-стратегии. — Кроме того, наш интегрированный подход к обеспечению информационной безопасности может способствовать сокращению расходов и упрощению управления системой ИТ-защиты, что, в свою очередь, позволит снизить риски, связанные с человеческим фактором, и повысить общий уровень безопасности».
Поскольку Web-приложения часто базируются и взаимодействуют с Web-сервисами и средой сервис-ориентированной архитектуры (SOA), IBM объединила мощные функции управления и контроля ИТ-безопасности специализированных устройств WebSphere DataPower SOA Appliances со средствами централизованного управления Tivoli Security Policy Manager. Комбинация возможностей WebSphere DataPower SOA Appliances и Tivoli Security Policy Manager может помочь системным архитекторам и администраторам согласовать корпоративные бизнес-процессы и ИТ-инфраструктуру путем централизации управления и укрепления политик информационной безопасности для надежной защиты Web-ресурсов в масштабе предприятия. Кроме того, это может помочь уменьшить объем ручных, несогласованных и дорогостоящих операций администрирования и контроля соблюдения политик ИТ-безопасности, повысить эффективность управления политиками безопасности в течение всего их жизненного цикла и обеспечивать корректировку этих политик с контролем проведенных изменений.
Анонсированный на прошлой неделе продукт IBM SiteProtector 8.0 также является ключевым предложением портфеля инфраструктурных решений (IBM Information Infrastructure), разработанным для повышения уровня безопасности, улучшения управления и расширения возможностей шифрования информации. Среди других предложений – Proventia Server for Windows 2008 для решения проблем ИТ-безопасности и соблюдения нормативных требований по информационной защите в гетерогенных средах корпоративных центров обработки данных; IBM Tivoli Identity Manager 5.1 для эффективного управления сервисами SoD (Software on Demand, программное обеспечение по требованию) на основе ролей; а также NERC-модуль системы управления событиями и информацией о безопасности Tivoli Security Information and Event Manager, функции которого способствуют укреплению безопасности при минимальном или нулевом воздействии на производительность ИТ-операций и бизнес-процессов.
Продолжая расширять свое лидерство в области информационной защиты Web-приложений, IBM недавно сообщила о приобретении Ounce Labs, Inc., частной фирмы из города Уолтем, штат Массачусетс, чье программное обеспечение помогает компаниям снижать риски и сокращать расходы, связанные с обеспечением информационной безопасности и соблюдением соответствующих нормативных требований регулятивных органов. Ounce Labs предлагает эффективные средства тестирования исходного кода приложений для выявления и устранения потенциальных уязвимостей приложений с точки зрения ИТ-безопасности и соответствия стандартам и регуляционным нормам на ранних стадиях разработки программного обеспечения, когда внесение исправлений не сопряжено со значительными расходами.
Более подробную информацию о решениях IBM по обеспечению информационной безопасности можно получить на Web-сайте www.ibm.com/security (US).
Контакты:
IBM в России и СНГ
Артур Трапизонян
Тел.: +7 (495) 775-8800 #2652
E-mail: artur@ru.ibm.com
