Web Application 테스트를 위한 오픈 소스 브라우저 자동화 시스템인 Selenium을 사용한 고급 스크립팅을 통해 로그인 정보를 활용하여 인증된 스캔으로 최대 스캔 범위 달성이 가능합니다.
스캐너 풀 전체에서 다중 사이트 스캔 및 여러 애플리케이션 스캔의 자동로드 밸런싱을 통해 효율적으로 스캔을 수행합니다.
스케줄 점검을 통해 대량의 Web Application 점검이 가능합니다.
주기적인 스케줄 점검을 통해 발견된 취약점에 대해서 제거와 예외처리 등의 이력관리를 제공하여 취약점 제거 프로세스를 정립할 수 있습니다.
기존 리포트를 수정하거나 신규로 만들수 있으며, 리포트 생성시 리포트로 제공되어야 할 항목에 대해 커스터마이징이 가능합니다.
Qualys WAS 강점
하이라이트
Highlight
Comprehensive discovery
포괄적인 탐색
새로운 앱과 알려지지 않은 앱을 포함하여 네트워크의 모든 웹 애플리케이션을 찾아 카탈로그를 자성하고 소수의 앱에서 수천개로 확장합니다.
애플리케이션에 고유한 레이블을 지정하고 해당 레이블을 사용하여 제어하고 스캔 데이터에 대한 액세스를 제한할 수 있습니다.
Deep scanning
정밀한 스캔
VM을 CM(Continuous Monitoring)과 같이 구성하여 잠재적 위협에 대한 사전 경고가 제공되어 발 빠른 문제 해결에 도움이 됩니다.
알림을 맞춤화하고 일반적인 변경 사항 또는 특정 상황에 대해 알림을 받을 수 있습니다
DevOps security tool
DevOps 보안 도구
VM은 사내, 클라우드 및 모바일 엔드 포인트에서 IT 자산을 보호하며 99.9%의 정확도로 지속저으로 취약점을 스캔하고 식별합니다.
컴플라이언스 감사를 위한 자동 보안 무너를 포함하여 여러 이해 관계자를 위한 맞춤형 역할 기반 보고서를 생성합니다.
Malware Detection
맬웨어 감지
기존의 경계가 모호해진 하이브리드 IT환경을 위한 차세대 취약점 관리 기능이 제공됩니다.
빠른 구현, 낮은 TCO, 타의 추종을 불허하는 정확성, 강력한 확장성은 전세계 수천개의 조직에서 신뢰할 수 밖에 없는 강한 강점입니다.
다수의 점검 프레임워크 포함
OWASP TOP 10, SANS TOP 25 등
OWASP TOP 10, SANS TOP 25 등 소프트웨어 결함의 위험도를 정의한 CWE의 목록의 점검 가능합니다.
OWASP TOP 10 - 2017
Open Web Application Security Project
OWASP는 조직에서 신뢰할 수 있는 애플리케이션과 API를 개발, 구매, 유지 관리할 수 있도록 지원하는 열린 커뮤니티 입니다.
취약점 목록은 평균 4년을 주기로 업데이트 되며, 보안을 전문으로 하는 회사에서 제출한 40개 이상의 데이터와 500명 이상의 사람들이 완료한 업계 설문 조사를 기반으로 수 백 개의 조직과 10만개가 넘는 실제 애플리케이션 API에서 수집된 취약점을 포괄하여 목록을 작성합니다.
OWASP에서 지정한 TOP 10 목록은 사실상 애플리케이션 보안 업계의 표준이 되었고, 이를 통해 보안 점검을 하는 지침이 되었습니다.
SANS TOP 25
The SANS Institute
SANS는미국 및 유럽 보안전문가의 공동연구를 통해 약 165,000명 이상의 보안 전문가에게 전달 되는 프로그램을 운영하는 교육 기관입니다.
SANS TOP 25는 보안 전문가로부터 CWE에 등록된 취약점 중 소프트웨어 개발자가 범하기 쉽고 위험한 25가지 소프트웨어 취약점을 유형별로 분류 해놓은 것입니다.
상위 25개의 소프트웨어 오류 목록은 정기적으로 업데이트 되며, SANS및 MITRE 의 CWE Top 25 Most Dangerous Sofware Weakness의 목록에 게시됩니다.
침투 테스트 데이터 통합
Data integration
Burp Suite
웹어플리케이션 수동 보안 테스트 도구
Burp Suite의 취약점 점검 보고서를 업로드 하여 테스트 도구에 있는 모든 데이터를 저장하고 관리가 가능합니다.
Qualys와 Burp의 점검 결과를 크로스 체크하여 오탐과 미탐을 정확하게 식별이 가능하고, 동일하게 식별된 취약점에 대해서는 별도의 검증 작업이 필요 없습니다.