CodeOne AMS

웹 애플리케이션 취약점 분석 시스템

AMS

DevOps를 DevSecOps로 진화시키는 기반기술을 제공

AMS(AppScan Management System for Dynamic)는 사용자 역할기반 작업도구로서 IBM AppScan Standard를 점검 엔진으로 구성하여 AMS의 웹 기반 사용자 인터페이스로 관리자가 허용한 애플리케이션 담당자가 직접 웹 애플리케이션 취약점을 점검할 수 있도록 중앙에서 관리합니다.

제품의 필요성

지속적인 관리가 이루어지는 AMS의 필요성

애플리케이션

  • 많은 수의 애플리케이션
  • 규모가 확장된 애플리케이션
  • 지속적으로 업데이트 되는 빠른 서비스 환경
  • 다양한 애플리케이션 구현 기술 이용
  • 애플리케이션 구현 기술의 빠른 변화
  • 애플리케이션에 대한 더 많은 이해 요구

시간

  • 제한된 업무 시간
  • 애플리케이션, 구현 기술마다 할당 시간의 제한
  • 애플리케이션을 이해하기 위한 시간
  • 새로운 기술을 이해하기 위한 시간
  • 새로운 취약점에 대한 습득이 요구되는 시간

자동화 테스트

  • 애플리케이션에 대한 이해를 도구가 수행하며, 더 많은 기술적 지원 요구
  • 보다 넓은 애플리케이션에 대한 이해 제공하며, 검증된 솔루션 필요
  • 반드시 사람이 해야 할 항목 외에 더 많은 범위 수행하지만, 이에 대한 검증요구
  • 진단 결과의 품질에 대한 일관성 보장
  • 도구에 대한 기본적인 매뉴얼 설정 요구

메뉴얼 테스트

  • 제한된 테스트 수행시간
  • 매뉴얼 테스팅시 꼭 필요한 항목만 수행
  • 시간대 진단 대상의 비율이 매우 높음
  • 모든 구현 기술에 대한 테스팅 한계
  • 테스팅 수준 및 품질의 개인별 차이 존재
  • 새로운 구현 기술에 대한 적용이 늦음

제품특징

자동화되고 통합된 서비스

자동화 전략

애플리케이션 보안에 대한 적용을 확대하고 애플리케이션 보안품질 향상

  • 다양한 애플리케이션에 대한 보안성 강화
  • 비용을 절감하고 효율성을 높임
  • 불필요한 시간 및 작업을 배제한 애플리케이션 보안전략

도구 기반 평가

애플리케이션에 대한 규제준수 확인과 평가를 빠르고 안정적으로 수행

  • 우선순위화된 점검결과
  • 최적의 결과
  • 깊은 경험 및 전문성

자동화된 상태 확인

진단도구를 최대한 활용하고, 모범사례를 통한 보안성 향상

  • 실무경험을 반영한 자동화된 보안 위험관리
  • 최적의 작업흐름을 기반으로 제공되는 실용적인 결과물
  • 적용 가능한 실용적인 권고

취약점 진단 및 관리 제공

Large Scale application Security Testing ; Scaling

  • · 여러 사용자가 여러 평가 수행 진행
  • · 모든 평가결과의 중앙 저장소
  • · 평가의 예약 및 자동화

AMS ; Visibility of Security Risk

  • · 다양한 대시보드
  • · 자세한 보안문제 보고서, 조언 및 권고 제공
  • · 개별 애플리케이션 별, 전체 애플리케이션에 대한 위험 식별

Governance & Collaboration

  • · 사용자 역할 및 접근권한 관리
  • · 테스트 정책 관리
  • · 문제 관리
  • · 시스템 관리

시장선도 동적 분석 애플리케이션 테스팅(DAST) 솔루션

웹 애플리케이션과 웹 서비스내의 보안 취약점을 진단하는 블랙박스 기반 점검 도구로, 외부 단에서 URL 기반의 점검을 진행하여 점검 대상에 대한 취약점을 식별하기 위한 다양한 기능을 지닌 애플리케이션 보안에 특화된 전문적인 기능을 제공하는 도구 입니다.

주요기능

AMS 구성 기능 및 요소

AMS Server
  • · 역할 기반 사용자 관리 기능
  • · 점검 사이트 관리 기능
  • · 점검이력, 엔진, 진단통계 관리 기능
  • · 점검결과 상세보기 기능
  • · 확장 API – 연동기능
  • · DevOps 작업 지원 기능
Engine Agent
  • · AMS서버와 AS STD 연결 가능
  • · 다수 사이트 동시 진단시 관리 기능
  • · AS STD 기능설정 및 관리 기능
  • · Login Sequence 설정 기능
  • · Multi-step operation 설정 기능
  • · 진단수행 관리제어 기능
Scan Engine – AS STD
  • · Javascript/flash URL 추출, 점검 기능
  • · URL 추출에 대한 제한 기능
  • · 취약점 진단 결과 확인 기능
  • · 에러페이지 설정 기능
  • · 파일제외 기능
  • · 다수의 사이트 동시 진단 기능
  • · 점검속도 조절 기능
  • · 복수의 프로그램 실행 기능

중앙 집중화된 관리 및 효율적 취약점 점검을 위한 시스템 구축

점검 엔진을 관리하는 컨트롤 센터

  • · AMS 서버 설치
  • · 성능 향상을 위한 추가적인 점검 에이전트 설치 관리 지원
  • · 위협분류 및 취약점 권고 및 수정 사항 제시
  • · 스크립트 파싱과 URL추출 엔진

다양한 수준의 보고서

  • · 국제적인 산업표준 및 규정이행 보고서
  • · 사용자 별 보고서 접근 권한 제공
  • · MGMT 팀을 위한 대시보드 및 통계 보고서

취약점
점검 엔진

Secuone
AMS

보고서 및 생산성
향상 지원 도구

  • · 탁월한 파싱, 링크추적 능력
  • · 가능한 모든 경로의 추적
  • · Active-X 지원 웹 사이트 점검 수행
  • · 점검 전후의 변동요소 및 브라우징 기능
  • · 매우 작은 오탐과 정확한 분석 결과의 제공
  • · 세부적인 취약점/보안 권고사항
  • · 조치 작업 별 분류 기능의 활용 편의성

댜양한 웹 환경의 점검

  • · 발견된 문제점을 지속적으로 관리하기 위한 Ticketing 시스템
  • · 발견된 문제점의 상태를 확인할 수 있도록 하는 상태 표시 정보

Issues Tracking System

웹 기반 사용자 인터페이스 제공

AMS Dashboard

기대효과

1

보안 취약점 진단의 수행 책임을 업무 역할별로 분배

2

웹 애플리케이션의 Delivery 주기 내에 문제점을 보다 쉽게 분별하고 효율적으로 수정

3

중앙 집중화된 점검 결과 관리 및 보고서 배포

4

보안 검사를 개발/통합/품질관리 수준으로 확장

5

기업 전반에 걸친 웹 취약점 검사에 대한 감시와 제어

6

점검 결과를 자동으로 저장 하고 통합하여, 사용자가 비즈니스 단위, 지리적인 위치, 또는 써드파티 제공자에 의해 취약점들을 나누고 통계화 가능

인증

" AMS는 GS 품질 1등급 인증을 받은 제품입니다. "