beSTORM是一款安全评估工具,在开发周期中,供应商可以使用beSTORM全面分析网络软件应用,发现全新和未知的漏洞。beSTORM通过自动测试数十亿种攻击组合方式,确保产品部署前的安全,为企业节省产品上市后修复安全漏洞产生的成本。以往的安全评估工具使用攻击签名或失败的攻击定位已知的产品漏洞,beSTORM与这些旧式的安全评估工具不同。
使用beSTORM,在开发过程中,软件开发者可以测试软件安全漏洞,贯彻质量保证。因为beSTORM自动测试软件安全漏洞,所以不管软件开发周期的长短,新版本一出现,开发者就可以进行测试。
软件上市前,检测漏洞能够帮助发现安全缺陷。这意味着,在产品上市前,开发者会识别并修复黑客会发现的安全漏洞。从而,提高软件安全性,减少可被黑客利用的安全缺陷的数量。
操作系统实际上就是软件。操作系统有许多不同的软件组件,这些软件组件容易因为安全缺陷而受到影响。因为其在IT界的主导地位,微软容易遭受安全攻击。由于安全补丁已经进化,从操作系统的软件组件中发现新的缺陷越来越难,而在其他应用中找到软件漏洞则相对容易。黑客们也计算成本效益,因此他们已经开始对准非操作系统软件组件。因此,目前,我们在其他软件应用中发现了大量漏洞
beSTORM是一款自动化工具,按特定的方式对网络协议的所有可能的输入组合进行全面的检测,测试协议实现的漏洞。然而,想要检测程序的所有理论输入组合并不简单,这要求测试工具能够自动测试数十亿种组合方式。beSTORM具备优先级算法,能够在合理的时间内检测所有可能“触发”安全漏洞的输入。
beSTORM将协议规范转换成自动化测试集,执行网络协议,深入分析技术合规的但功能错误的和应激的情况,达到全面自动测试。比如,beSTORM自动测试了每一种可能的协议组合,直到触发缓冲区溢出。再比如,假使应用需要一个文件名,而你却发送了无效字符给应用,会发生什么情况呢?假使你使用协议序列号做了不合逻辑的事情,会发生什么情况呢?beSTORM不局限于特定情况 – 它最终会测试整个协议搜索空间。
beSTORM专为软件工程环境使用而设计,为开发者,质量保证团队和安全专业人士而打造。有了beSTORM,这些人员就有了强力装备。beSTORM能够帮助他们在开发阶段测试安全漏洞。有了beSTORM,开发团队就能够将安全测试纳入产品发布过程计划,有时间在产品上市前修复代码。
beSTORM的操作难易度类似于普通的QA工具,事实上,它比大多数QA工具都简单。由于测试的自动化,一般用户在几分钟内就可以开始使用beSTORM了。beSTORM提供了许多可选参数,可对测试进行微调和细调,测试协议的特定部分,提高测试速度,方便了安全测试专家。
beSTORM测试二进制应用,因此完全不受编程语言或系统数据库影响。这样,可能接触不到源代码的另一测试团队能够使用beSTORM对应用进行安全测试。
beSTORM会报告触发漏洞的准确交互方式,并将报告发送给程序员。在任何开发环境中,程序员都能够调试应用,查看造成漏洞的原因。
我们的 公告 页面列出了我们的安全团队发现的所有漏洞,大部分漏洞都是beSTORM自动运行发现的。
自动扫描工具,与其他漏洞评估工具一样,搜索已知产品的已知漏洞。虽然有时候自动扫描工具会发现未知漏洞,但这通常是由于该漏洞与已知漏洞签名相似。
beSTORM全面测试协议实现,发现所有与缓冲区溢出,格式字符串和大小差一漏洞有关的,已知的和未知的漏洞(目前,超过95%的已知安全漏洞都属于这些漏洞类型)。
此外,终端用户使用自动扫描工具扫描网络设备。而软件供应商在开发过程中使用beSTORM扫描产品。
目前,通常是由经验丰富的安全研究人员手动进行安全审计工作。尽管互联网产品的安全审计已经开展了很多年,但是几乎没有一款自动化工具是为互联网产品的安全审计而创造的。当前,安全研究人员通常在审计阶段自行开发工具,协助进行安全审计。这类产品通常要求使用人员的专业水平高,几乎没有机器“智能”。除了协助手动分析外,那些工具大部分没有自动化功能,也不能完整而全面地分析协议。
其他可供选择的工具包括源代码审计软件。这些解决方案搜索源代码,查找可能指示潜在安全漏洞的不良代码。另外,还有其他安全测试工具,这些工具依托分析相对少数的个案(数千个或数万个个案),而这些个案都是在特定协议实现中触发缓冲区溢出的已知案例。
beSTORM和源代码测试工具主要的区别在于beSTORM不需要源代码。beSTORM测试协议,而不是产品,因此能够测试拥有大型代码库的复杂产品,而源代码测试工具通常不测试大型代码库。
beSTORM与源代码分析的另一个关键的区别在于报告的准确性:beSTORM通过实际触发安全攻击,从外部检测应用,只有当实际攻击成功,才会报告漏洞。另一方面,源代码分析工具会产生大量误报。
beSTORM与分析一定数量的个案或情况的工具的区别 – beSTORM分析数百万种,有时甚至是数十亿种攻击组合方式,而其他工具只分析数千种或数万种个案。这是患至呼天(检测已知问题)和防患未然(检测未知漏洞)的区别。
beSTORM是一款安装在服务器上的软件。你的产品安装在哪一台服务器上,就把beSTORM的监控组件安装在同一台服务器上。beSTORM测试启动组件可以安装在同一台服务器上,也可以安装在网络中的另一台机器上,提高吞吐量,测试更多实际情况。