Fortify 세일즈 포인트 정리

Fortify : 애플리케이션의 보안 취약점을 개발 라이프사이클상에서 조기에 발견하여 침해사고를 근본적으로 방어하는 애플리케이션 보안 솔루션

Fortify SCA - SAST

업계 최고의 정적분석 테스팅으로 소스코드에서 악용 가능성이 있는 보안 취얌점을 스캔 및 식별

Fortify SCA with Sonatype

Open Source 취약점 분석
통합 관리 콘솔 SSC로 취약점 모니터링과 관리 기능을 지원 하며 CI/CD 툴과 연동을 통해 자동화를 제공

Fortify WebInspect - DAST

웹 애플리케이션(웹 서버 대상)에서 악용될 수 있는 취약점을 스캔 및 식별하여 조치 가이드 제공

Fortify Software Security Center

통합 관리 서버로 SAST, DAST, IAST 및 SCA with Sonatype 제품에서 분석한 취약점 결과를 통합하여 가시성을 제공하며 애플리케이션 보안 테스트를 통합하고 자동화

Fortify On Demand - SaaS

SAST, DAST, IAST, RASP, SCA에 대한 AppSec SaaS 솔루션을 제공

Fortify가 제공하는 혜택

매끄러운 CI/CD DevSecOps 연동

소프트웨어 개발 라이프사이클상에서 보안 취약점을 사전에 발견 및 자동화로 비용 절감을 통한 코드 품질 보장

  • Code/ Build 단계 : Fortify SAST 와 SCA with Sonatype
  • Test/ Staging/ Production 단계 : Fortify DAST / IAST(WebInspect) 
  • 타사 IBM 대비 손쉬운 CI/CD 파이프라인 연동 기술 제공

다양한 Ecosystem과 유기적인 연동 제공

  • Fortify 제품 배포 옵션 : AppSec-as-a-Service, On-Premise or Cloud
  • 통합 개발 환경(IDE), CI/CD 툴, 이슈 트래커, 코드 레파지토리 플러그인 제공

Fortify 아키텍처 및 라이센스

중앙 집중식 스캐닝 지원 및 유연한 확장 가능한 엔터프라이즈 아키텍쳐 

  • Fortify Scan Central SAST/DAST 통한 다이나믹 스캔 실행 및 스캔 머신 스캐인 업앤다운 아키텍쳐

Fortify는 온프레미스, SaaS 및 하이브리드 제품 구성으로 최고의 유연성을 제공

Scalable 라이센스 모델 제공으로 유연하게 확장 가능한 정책 제공

  • Fortify WebInspect : WI for Named User/ Concurrent User Base
    • Tool 사용자 단위 / No limited Scan Performed or Target web App Scan
  • Fortify SCA : Flexible Deployment Plan, Sonatype, Premium
  • Fortify SCA + WebInspect : Concurrent Scanning / Ultimate License
    • CS구매 : Scan Machine단위 (One Scan at a time) / No limited Application 
  • Fortify On Demand Assessment Units-SaaS 모델 (Single Assessment or Subscription)

Accurate Security Analysis

가트너 Application Security Testing 부문 Leader 선정 (2021기준)

애플리케이션 테스트를 통한 보안 위협을 최소화하며 컴플라이언스 요건 충족

  • 행안부 보안 개발 가이드, OWASP, CWE, PCI-DSS, CWE/SANS Top 25등

개발 프로세스상에서 보안 위협/자산 별 우선순위 리스크 가시성 /조치방안/관리 제공

  •  Fortify Software Security Center - 보안 취약점 관리 서버 

오픈소스 보안 취약점 관리 및 라이센스 이슈 관리 제공

  •  Fortify SCA with Sonatype - 오픈소스 취약점 분석, 오픈소스 컴포넌트(식별된 라이선스 포함)를 포함하는 SBOM(Software bill of material) 관리 및 개선 방안 제공

세계 최고의 소프트웨어 보안 연구 조직 및 주기적인 기능 개선

  • 주기적인 취약점 룰 및 개발 언어 분석 기능 업데이트 
    • 분석 엔진 + 기능 업데이트(2회/1년), 룰 팩(4회/1년) 제공

Fortify는 가장 정확한 취약점 진단결과(오탐률 최소화)와 함께 가장 광범위한 언어 및 프레임 워크 범위 제공

  • 업계 최다 언어 (27+) / 프레임워크 및 1,000개 이상의 보안 취약점 카테고리 그리고 1만개 이상의 APIs 제공

제품별 기능 소개

Fortify SCA (Static Code Analyzer) - SAST

  • 소스코드 취약점 점검 (가트너 애플리케이션 시큐리티 테스팅) 분야 리더
  • 다양한 보안 요구 사항 수용 (행안부 보안 개발 가이드, OWASP, CWE, PCI-DSS, SWE/SANS TOP 25등)
  • 25개 주요 개발 언어 지원 - 가장 많은 언어 지원 (Java, C, PHP, Python, Swift, .NET, ABAP, XML 등)
  • IDE (Eclipse, Visual Studio, IntelliJ등) 플러그인 제공
    • ​​​​​​Coding 단계에 취약점 분석 및 결과 제공
  • 플러그인을 통해 CI/CD 툴 및 버그 트래킹 툴과의 연동 제공
    • Jenkins, Bamboo, Gradle, Maven, ANT/Jira, Bugzilla, ALM, TFS등
  • 780개 이상의 취약점 카테고리 제공
  • IDE 개발 환경 내에서 실시간 코드 기반 보안 취약점 분석 및 결과 제공
    • Security Assistant 기능 (추가 라이센스 비용 없음)
    • 실시간 분석으로 개발시 즉각적인 취약점 식별 및 조치하여 취약점 제거
    • 개발자 코딩시 실시간으로 취약점을 탐색

Fortify SCA (Software Composition Analysis) with Sonatype

  • 소스코드(SAST) + 오픈소스(OSS)보안 취약점 및 라이센스 위반 동시 분석 제공
    • 취약점 관리 서버(SSC) 를 이용한 취약점 분석/조치방안/보고서를 통합 관리
  • 오픈 소스 버전 별 취약점 정보 제공 및 권장 버전 조치 방안 제공
    • 취약점 결과와 함께 가장 안전한 버전 권장
  • SBOM(Software Bill of Material) 제공
    • 오픈소스 리스크의 전체 현황 파악과 오픈소스 취약점 점검 결과를 통해 사용된 오픈소스 및 보안 취약점의 신속한 현황 파악
  • IDE 및 CI/CD 툴 및 버그 트랙킹 툴과의 연동 제공
    • Eclipse, Visual Studio, InrelliJ등
    • Jenkins, Bamboo, Gradle, Maven, ANT/Jira, Bugzilla, ALM, TFS등
  • 3천만개 이상의 핑거프린트(Hash)를 이용한 취약점 분석으로 취약점 정확도 및 오탐률 감소
    • NVD(National Vulnerability Database) 비교 70% 이상의 탐지률 제공
  • ​​​​​​Jave, .Net, Javascript, Python 언어 지원

Fortify WebInspect - DAST

  • Test, Production 단계에서 Web Application의 취약점을 동적 분석을 통하여 점검
    • 업계 최고 크롤링 기술 보유, 다양한 국제 기준 컴플라이언스 정책 및 템플릿 제공
  • 다수의 Web Application, Domain 동시 분석 기능 및 증분 스캔을 사용하여 애플리케이션의 변경된 영역에 존재하는 취약성을 빠르게 평가
    • 보안 취약점 분석중 단계별 일시 정지/재시작/생략 기능 제공
  •  개인 정보, 금융 정보, 기업 중요 정보의 노출 여부를 분석 (정규식 분석 정채 적용)
    • 분석 결과 값에서 민감한 정보 숨김 기능 제공
  • HTTP, HTTPS, SOAP 보안 취약점 분석 (Command Line 및 GUI 방식의 취약점 분석기능 제공)
  • 다양한 로그인 인증 방식 및 2Factor 인증 (자동인증, HTTP Form, NTML, Digest, Kerberos, Client Certificates)을 지원하며, 인증 절차에 대해 자동 로그인 후 보안 취약점 분석을 수행
  • 신종 보안 취약점 발견시 분석 정책에 반영하여 상시 온라인 업데이트를 지원하며 프로그램 실행시 자동 공지 

Fortify SSC (Software Security Center) - 통합관리

  • 정적분석 및 동적분석에 의해 수집된 보안 취약점 관리/추적/제거 방안 제공 시스템
  • 역활 기반 접근, 프로세스 기반의 보안 취약점 관리
  • 유연한 보안 취약점 저장소 관리 및 리포팅 제공
    • 정규화 되고 상관 관계를 분석한 취약점 저장소 및 애플리케이션별 취약점 현황
    • 글로별 대시보드에서 소프트웨어 포트폴리오 전반의 리크스 표시
  • 핵심 개발 환경과의 연동

레퍼런스 사이트

은행(전사), 카드, 생명, 화재사 등 금융권 최다 도입

텔레콤 전사 도임

S 그룹 등 다수 그룹사 시큐어 코딩 진단 표준 제품 선정 및 도입

제조, 유통, 전자상거래, 소프트웨어 개발등 다양한 사업 분야 최다 도입

글로벌 최대 규모 - IT 기업 10개사 모두 도입

글로벌 최대 규모 - 은행 10개사 중 9개사 도입

글로벌 최대 규모 - 제약 회사 5개사 중 4개사 도입

글로벌 최대 규모 - 순수 소프트웨어 벤터 3개사 전체 도입

글로벌 최대 규모 - 통신사(텔레콤) 5개사 전체 도입

삼성전자, 삼성 SDS, 삼성생명, 삼성화재, 다수 그룹사 (시큐어 코딩 표준 제품 선정)

SK Hynix, SK Telecom, SK Planet

우리은행, KEB 하나은행, 기업은행, SC 제일은행, 케이뱅크, 대구은행 등

현대캐피탈, 현대해상, 신한카드, 하나카드, 농협카드, 카카오페이, BNP 손해보험 등

KISA, 대법원, 기획재정부, KOSCOM

대한한공, 다음카카오, 한국해양보증, 한국장학재당, 신한데이터시스템, 스마트로

제조, 유통, 전자상거래, 소프트웨어 개발 등 다양한 산업 분야 도입

경쟁사 대응 방법

외사 H 사의 이슈

  • H사 제품은 2019년 5월 이후 고객 불만 증가
    • 기술 인력 및 기술 지원 안됨. 제품 기능 및 고객 요구에 대한 제품 업데이트 반영 약함
  • H사가 인수를 한 후, 최근 몇 년간 브라우저, 프레임워크, AJAX, Angula, 신규 프로그램 언어 등 기술 업데이트가 원할하게 지원 되지 않고 있음
  • SAST, DAST, OSS등의 취약점 결과에 대한 통합 관리용의 별도 서버 및 라이센스 구매 필요
    • Fortify는 SAST, DAST, IAST 및 SCA with Sonatype 제품에서 분석한 취약점 결과를 통합하여 가시성을 제공하며 애플리케이션 보안 테스트를 통합하고 자동화 제공
  • 오픈소스 취약점 분석은 SaaS 버전에서만 가능
    • Fortify 제품은 SaaS 또는 온프레미스 제품 지원
    • 오픈소스 + 코드 취약점 분석 및 이슈 항목을 싱글 데시보드에서 관리
  • H사 제품은 더 이상 선두주자가로 인식되지 않음  
    • 5년간 기술/비용 투자가 낮으며, 빠른 대응 및 시뉴 기숭 지원이 부족하여 고객 & 기술 평가 보고서 리뷰에서 꾸준히 하락 평가를 받고 있음
  • H사 고객이 Fortify 제품으로 Replace 한 케이스 
    • Large Financial Company, Largest Energy Company, 국내 H 화재 등

국내 F 사의 이슈

  • F사의 제품은 미탐이 많음. PoC 경험을 통해 확인됨
  • 보안 취약점을 모두 식별하여 위험을 낮춰야 하는데, 취약점을 식별하지 못하여 도입 선정의 결격 사유
    • Fortify SCA는 미탐을 최소화하고 오탐을 줄이기 위해 사용자 필터링 및 머신러닝 기능 활용
    • 누락한 취약점을 대응하는 것은 오탐률을 검토하여 조치하는 것보다 더 많은 비용이 소용
    • Fortify의 과탐은 룰셋 및 정책 튜닝으로 고객의 상황에 맞게 얼마든지 조정 가능하므로 단점이 아닌 장점
  • F사의 제품은 공공시장 시큐어 코딩(SAST) 제품의 CC 인증 / 성능 평가 요구 사항 요건을 갖춤
    • Fortify SCA에 제품에 대한 성능 평가를 진행 중에 있으며, 22년 4월 중으로 성능 평가 인증서 취득을 예상하고 있음