Der Fortify Audit Assistant steigert die Genauigkeit, Leistung und Effizienz der Entwickler durch weniger Hintergrundrauschen und falsche Alarme. So können sich Sicherheitsteams auf die wichtigsten Schwachstellen konzentrieren. Die Auswertung und Validierung der Ergebnisse statischer Analysen ist einer der zeitaufwändigsten, manuellen Prozesse beim Testen der Anwendungssicherheit. Unternehmen können es sich meist nicht leisten, ein ganzes Team von Testern zu beschäftigen, die Experten in Softwaretechnik, Informatik und Software-Schwachstellen sind. Fortify Audit Assistant wurde entwickelt, um die Sicherheit zu automatisieren und diese Probleme zu lösen. Dabei wird maschinelles Lernen eingesetzt, um von Fortifys menschlichen Auditoren zu lernen.
„Die erste Generation von Fortify Audit Assistant war durch die Nutzung von prädiktiver Analyse und machine Learning ihrer Zeit weit voraus“, sagt Prentiss Donohue, Cybersecurity Executive Vice President. „Diese Pionierarbeit hat uns den Weg geebnet, um über 10 Jahre hinweg Daten von menschlichen Experten zu analysieren und in vorausschauende Modelle umzuwandeln, die im Vergleich zu den Modellen der Vorgängergeneration deutlich genauer sind und die Effizienz von Audits verbessern, indem sie Fehlalarme um bis zu 90 Prozent reduzieren. Unternehmen können nun diese, in der Branche einzigartige, Informationstiefe in ihren eigenen Software-Assurance-Programmen nutzen.“
Die wichtigen Updates der neuen Generation von Fortify Audit Assistant umfassen:
- Berücksichtigung von Model Drift: Die neuen Audit Assistant-Modelle gehen proaktiv auf die sich ständig verändernde Bedrohungslage ein, indem sie die Prozesse automatisieren, mit denen die Leistung der Modelle gemessen und gemeldet wird. Bei Bedarf werden diese aktualisiert, um etwaige Modellabweichungen zu berücksichtigen. Aktualisierte Modelle werden vierteljährlich bereitgestellt.
- Flexibles Lernen aus individuellen Unternehmensumgebungen: Der Audit Assistant der nächsten Generation berücksichtigt die individuellen Datenschutzanforderungen jedes Unternehmens. In der ersten Generation wurde ein einziges Modell sowohl für SaaS- als auch für On-Premise-Umgebungen verwendet. Die neue Pipeline des Audit Assistant On-Prem-Modells wurde dagegen so konzipiert, dass sie spezifische Projektcharakteristika erlernt. Dieser Prozess wird im Laufe der Zeit besser, da immer mehr Schwachstellen geprüft werden und die Modelle kontinuierlich lernen, ohne dabei die Firmenrichtlinien aus den Augen zu verlieren.
- Bessere Ergebnisse durch Sprachspezifikation: Kein einzelnes Modell kann jede Programmiersprache effektiv abdecken. Um einen besseren Einblick in Schwachstellen der On-Premise- und Cloud-Umgebungen zu ermöglichen, enthält die nächste Generation von Fortify Audit Assistant jetzt mehr als 30 sprachspezifische Modelle. Explizite Modelle für C++, JavaScript usw. verbessern die Leistung erheblich, da dieses „Expertenteam“ aus verschiedenen Spezialmodellen weit in die Tiefe gehen kann und so die Wahrscheinlichkeit steigert, dass die wirklichen Schwachstellen gefunden werden.
- Zusätzliche Daten und Kontext: Der Fortify Audit Assistant scannt und identifiziert „true positive“ oder „false positive“ unter Millionen von Codezeilen. Manchmal ist ein Scan-Ergebnis eine Schwachstelle, die jedoch nicht ausgenutzt werden kann, da es sich bei dem fraglichen Code um Testcodes handelt, der nicht deployt wird. In dieser nächsten Generation berücksichtigt der Fortify Audit Assistant die Nuancen der Scan-Ergebnisse, wodurch Geschwindigkeit und Effizienz der Audits erheblich verbessert werden.
Eine vollständige Liste der neuen Features und Funktionalitäten der nächsten Generation von Fortify Audit Assistant finden Sie in diesem Whitepaper und auf dem Blog.
Teilnehmer des OpenText Security Summit können sich eine Demo von Fortify Audit Assistant ansehen, die auch als Aufzeichnung zur Verfügung steht. Weitere Vorführungen auf dem Summit sind Voltage Fusion + Content Services, eine einzigartige Integration, die die Herausforderungen bei der Verwaltung sensibler Daten löst, und NetIQ Identity Manager in der OpenText Private Cloud, ein Compliance-Angebot, das sich über hybride Umgebungen erstreckt.
Über OpenText Cybersecurity
OpenText Cybersecurity bietet umfassende Sicherheitslösungen für Unternehmen und Partner jeder Größe. Von Prävention, Erkennung und Reaktion bis hin zu Wiederherstellung, Untersuchung und Compliance. Die einheitliche End-to-End-Plattform unterstützt Kunden beim Aufbau von Cyber-Resilienz durch ein ganzheitliches Sicherheitsportfolio. Dank unserer Echtzeit- und kontextbezogenen Bedrohungsdaten profitieren Kunden von OpenText Cybersecurity von leistungsfähigen Produkten, die eine intuitive Compliance- und Sicherheitsumgebung bieten sowie das Management von Geschäftsrisiken unterstützen.
OpenText vereinfacht, transformiert und beschleunigt den Informationsbedarf von Unternehmen, auf der Basis von On-Premise oder Cloud-Technologien und schafft so die Voraussetzungen für die Digitale Welt. Weitere Informationen über OpenText (NASDAQ: OTEX, TSX: OTEX) sind unter www.opentext.de auf dem Blog von CEO Mark Barrenechea verfügbar.
OpenText
Werner-von-Siemens-Ring 20
85630 Grasbrunn
Telefon: +49 (89) 4629-0
Telefax: +49 (89) 4629-1199
http://www.opentext.de
Telefon: +49 (151) 153939-24
E-Mail: svenja.fellechner@hotwireglobal.com