根除 Log4j 威胁,Fortify WebInspect 护航企业安全
迎战史上最大开源漏洞
Micro Focus 行动正当时
如您所知,上个月 Apache Log4j2 组件爆出高危漏洞“Log4Shell”。消息一出,IT 界举座哗然。
01
Log4Shell 来了!
Fortify WebInspect 紧攻关
Log4Shell 堪称是“互联网历史上破坏力最惊人的漏洞之一”,几乎每家公司都在争分夺秒地修补该漏洞。许多 IT 人员通宵达旦,深夜抓紧抢修、应急打补丁,防止黑客利用该漏洞对公司系统进行攻击。
因其影响力之大及范围之广,“开源软件”问题甚至已上升至国家安全层面。就在本月,美国白宫与许多技术领导者举行会议,专门讨论 Log4j、软件安全和开源工具问题。
鉴于这一切,动态和交互式安全测试(DAST)的领导者 Fortify WebInspect 试图从根本上克服这一漏洞。我们正在加紧努力分析这一远程代码执行的漏洞,并为用户提供一整套检测带外漏洞(out-of-band vulnerabilities)的加强安全能力方案,以及一种称为“OAST(带外应用安全测试)”的新技术。
关于带外漏洞,log4Shell 漏洞(CVE-2021-44228)就是其中之一,尤其是当它可能导致 Log4j 请求查找带有恶意的 LDAP 服务器时——这是一个典型的带外攻击,因为其不会反映到攻击者自身,而是直接连接第三台机器,即恶意的 LDAP 服务器。
02
Log4Shell 来了!
您如何防范带外攻击?
我们正在加紧建立一个用以捕获带外攻击的公共服务,Fortify WebInspect 将通过查询这一服务获得共享的秘密密钥,以确定被测试的服务器是否带有漏洞。而对于在内部网络测试且无法访问公共服务的客户,我们将提供一个内部 docker 容器。
这一全新服务不仅可以用于 log4Shell 漏洞,还可以用于其他相似的攻击,如下图所示(点击图片,查看大图):
▼ 您如何获得这一服务?
▶︎ WebInspect
安装 Fortify WebInspect 21.2版本和Smartupdate,获得新的检查。
▶︎ WebInspect Enterprise
安装 WIE Server 21.2版本、Sensors 21.2 版本及 Smartupdate 传感器。
▶︎ ScanCentral DAST
安装 SCDast 21.2 版本,并获取最新的 WI 传感器 2.1 版本。
03
还没用过 WebInspect?
不急,慢慢了解它!
2021年,在 Gartner 魔力象限 DAST 应用安全工具的评估中,Fortify WebInspect 获得了5.0满分。此次全新的 OAST 能力,将再次见证其在全球应用安全测试领域的领导者地位。
作为业界领先的 DAST 工具,Fortify WebInspect 主要支持:
1) 识别已部署 Web 应用程序和服务中的应用程序漏洞;
2) 利用最全面和最准确的动态扫描程序来扫描现代框架和 Web 技术;
3) 轻松部署到企业环境当中,并具有详尽的 REST API 用以促进集成;
4) 通过直观式 UI 或完全自动化运行来实现安全风险管理的灵活性。
Micro Focus CyberRes(网络安全)团队,拥有世界上最大的安全产品组合之一,其王牌产品正是 Fortify 应用安全解决方案。
通过与软件开发生命周期流程中的现有工具、框架、平台和技术进行集成和自动化,Micro Focus Fortify 为您提供 DevSecOps 的最佳实践,持续为企业的业务发展保驾护航。