IBM推出Security AppScan 提升企业移动设备安全性

 在日前举行的IBM年度软件创新论坛Innovate2012上，IBM推出全新软件，帮助各类组织设计和开发更为安全的移动应用。有了该软件，客户可以在最初设计移动应用时就将安全问题考虑在内，以便在开发的早期发现漏洞。新软件的推出进一步拓展了IBM的移动平台战略，即为客户提供一个涵盖应用程序开发、集成、安全和管理的移动平台。

移动安全成为趋势

与网站应用的漏洞相比，移动应用受到攻击的风险更大，因此，移动应用程序无疑是一个新的攻击目标。由于很多企业并未意识到最基础的移动应用也会带来安全风险，移动应用日益成为了攻击者的重点攻击对象。举例来说，除了传统的攻击外，黑客还可能对应用程序发起SQL注入（SQL injection）攻击或脚本攻击。移动应用程序也会受到恶意软件和网络钓鱼的攻击，或在扫描带有恶意脚本的QR码时受到攻击。此外，移动应用还会带来移动设备特有的安全漏洞，因为这些应用会保存一些可能泄露给恶意程序的敏感数据。一旦存储在本地，此类数据通常就无法受到企业安全项目的保护。新的AppScan分析软件能发现这些漏洞，以帮助开发人员创建更安全的移动应用。

IBM安全系统部战略与产品管理副总裁Marc van Zadelhoff表示：“IBM移动战略的下一步举措就是让客户有能力扫描移动应用程序中的安全漏洞，包括公司自己开发的程序和外包开发的程序。使用移动设备访问IBM网络的IBM员工超过了12万，我们必须竭尽全力去开发一种安全可靠的员工工作方式。”

员工移动化步步为营

随着新软件的发布，IBM将其市场领先的静态应用安全测试进一步拓展到了本地Android应用程序上，使客户能够自己进行移动应用测试。过去，如果想对移动应用进行安全测试，客户必须将其应用和软件IP发给外部供应商以测试漏洞。由于移动应用要经历不断的修正与更新，这种做法不具备可扩展性，而且反应时间太长。企业需要的是在软件开发生命周期的早期就在内部完成移动应用的安全测试。

在采用了Security AppScan后，除了移动应用测试能力外，客户还能获得以下重要能力：

与IBM的QRadar安全智能平台进行集成，提高应用程序投产时的安全智能。通过将已知的应用漏洞与用户和网络活动相关联，QRadar能够自动提高或降低安全事件的优先级得分。

新的跨站脚本攻击（Cross Site Scripting，XSS）分析器利用一种学习模式从不到20项核心测试中快速评估数百万项潜在测试。相比之前的各版AppScan，该分析器能以更快的速度发现更多的XSS漏洞。

新的静态分析能力能够帮助企业采纳广泛的安全实践，通过简化的应用程序加载过程以及为非安全专家赋权的方式达到比先前版本更快的测试速度。

预先定义的可定制模板能让开发团队迅速将重点放在已由安全团队排定优先级的规则集上，这样企业就能够将注意力集中到组织内的重要问题上。

除了与QRadar集成，AppScan还提供了IBM Security Network IPS和IBM Security SiteProtector的集成点，并作为常规性补充产品随IBM Guardium及IBM Security Access Management解决方案发售，以保证端到端的应用程序安全。这种做法的目的是在开发与生产生命周期内为应用程序提供一个综合的集成式安全框架。

IBM拥有广泛的移动安全解决方案产品线，从保护设备数据到运行更安全的移动应用程序，各种用途不一而足。十多年来，IBM通过有机增长和对外收购两种方式稳步投资移动领域，由此建立了完整全面的软件和服务产品线，进而为客户提供企业级移动能力。

IBM Security AppScan将于2012年第二季度全面上市。