While today’s malicious attackers pursue a variety of goals, they share a preferred channel of attack—the millions of custom web, mobile, and cloud applications companies deploy to serve their customers. AppSpider dynamically assesses these applications for vulnerabilities across all modern technologies, provides tools that speed remediation and monitors applications for changes. Keep your applications safe and secure—now and moving forward. KNOW YOUR WEAK POINTS AppSpider automatically finds vulnerabilities across a wide range of applications— from the relatively simple to the most complex—and it includes unique capabilities and integrations that enable teams to automate more of the security testing program across the entire software development lifecycle (SDLC), from creation through production. Coverage is the first step to scanner accuracy. Scanners were originally built with a crawl and attack architecture, but crawling doesn’t work for web services and other dynamic technologies. AppSpider can still crawl traditional name=value pair formats like HTML, but it also has a Universal Translator that can interpret the new technologies being used in today’s web and mobile applications (AJAX, GWT, REST, JSON, etc.). With AppSpider, you can: • Close the coverage gap with our Universal Translator • Intelligently simulate real-world attacks • Continuously monitor your applications • Stay authenticated for deep assessment AppSpider includes interactive actionable reports that prioritize the highest risk and streamline remediation efforts by enabling users to quickly get to and analyze the data that matters most. With one click, you can drill deep into a vulnerability to get more information and replay attacks in real-time. Sifting through pages and pages of vulnerabilities in a PDF report takes too much time. AppSpider provides interactive, actionable reports that behave like web pages with an intuitive organization and links for deeper analysis. The analysis doesn’t have to be tedious: Findings are organized and consolidated by attack types (XSS, SQLi, etc.), and with one click, you can drill deep into a vulnerability to get more information. AppSpider’s sophisticated reports reduce remediation time and streamline communication with developers. With AppSpider, you can: • Conduct deeper analysis with interactive reports • Quickly replay web attacks • Categorize applications for easy reporting In order to improve your overall security posture, you need a high-level view of your application security program that enables you to see where things stand. AppSpider enables centralized control, automation, and interoperability over all aspects of your enterprise web application security program, including continuous scanning configuration, user permissions, scheduling, and monitoring. In addition, AppSpider includes trends and analyze data to help collaborate with all stakeholders toward improved security posture. Time is critical when remediating vulnerabilities. Using innovative automated rule generation, AppSpider’s defensive capabilities help security professionals patch web application vulnerabilities almost immediately—in a matter of minutes, instead of days or weeks. Without the need to build a custom rule for a web application firewall (WAF) or intrusion prevention system (IPS), or the need to deliver a source code patch, our software allows you the time to identify the root cause of the problem and fix it in the code. With AppSpider, you can: • Manage and control application security programs • Automate targeted virtual patching • Meet compliance requirements • Integrate into your DevSecOps workflow

Know Your Weak Points It’s vital to find your vulnerabilities before a malicious attacker does. Utilize world's largest exploit database Leading the Metasploit project gives Rapid7 unique insights into the latest attacker methods and mindset. Rapid7 works with the community to add an average of 1 new exploit per day, currently counting more than 1,300 exploits and more than 2,000 modules. Simulate real-world attacks against your defenses Metasploit evades leading anti-virus solutions 90% of the time and enables you to completely take over a machine you have compromised from over 200 modules. Pivot throughout your network to find out just how far an attacker can get. Uncover weak and reused credentials Test your network for weak and reused passwords. Going beyond just cracking operating system accounts, Metasploit Pro can run brute–force attacks against over 20 account types, including databases, web servers, and remote administration solutions. In addition, it can utilize specialized tools designed to expose credentials' scope and effectively gauge impact of an exposed credential. Prioritize What Matters Most Finding your weak points is only half the battle. As a penetration tester, it is your job to perform a thorough assessment and communicate what needs to be done to reduce the risk of a breach. Pinpoint weak links in the attack chain Attacks are more sophisticated today; the adversary is using multiple techniques combined to breach your systems faster than ever. With Metasploit Pro, you can simulate attacks like the adversary and easily report the biggest security risks. Closed-loop integration with Nexpose for remediation When other departments question the validity of scan results, demonstrate that a vulnerability puts systems and data at risk of compromise. You'll get quick buy–in for remediation measures and build credibility with stakeholders. Metasploit and Nexpose provide the only closed-loop validation solution from a single vendor that simplifies vulnerability prioritization and remediation reporting. Drive Better Security Program Development Time is of the essence. Automation, proactive user education, and advanced reporting will enhance your team’s efficiency, productivity, and success. Run penetration projects at scale Conducting an assessment and managing data in networks with over 100 hosts can be challenging. Metasploit Pro scales to support thousands of hosts per project on engagements and multiple penetration testers. Automate penetration testing steps with Task Chains and MetaModules to improve productivity. Reduce user risk using phishing campaigns and education Send and track emails to thousands of users with Metasploit Pro's scalable phishing campaigns. Clone web application login pages with one click to harvest credentials. Measure conversion rates at each step in the phishing campaign funnel. When users take a dangerous action, they can be redirected to a training site on the spot. With InsightUBA, any users who have been phished will also be automatically added to the InsightUBA watch list. Complete compliance programs faster Generate reports to show your findings and sort them by regulations such as PCI DSS and FISMA. Verify that remediations or compensating controls implemented to protect systems are operational and effective. Create vulnerability exceptions based on hard evidence that easily pass your next audit. Automatically record actions and findings from your network and application–layer assessment to save valuable time otherwise spent on cutting and pasting.

Rapid7 Nexpose анализирует все компоненты инфраструктуры, включая сети, операционные системы, базы данных и web-приложения. По итогам проверки приложение осуществляет приоритезацию обнаруженных угроз и генерирует руководства, как снизить каждую из них. Система Rapid7 Nexpose может интегрироваться с Metasploit – решением для тестирования проникновения угроз, – чтобы комплексно оценивать риски безопасности в IT-инфраструктуре организации.     Редакции Rapid7 Nexpose: Community – версия для индивидуальных пользователей с функциями сканирования до 32 IP, проверки сетей, операционных систем и баз данных. Community может развертываться только на программную платформу. Express – версия для небольших организаций с функциями сканирования до 128 или 256 (версия Pro) IP, проверки сетей, операционных систем и баз данных. Express может развертываться только на программную платформу. Consultant – версия для консультирующих агентств по IT-безопасности, предлагающая функции сканирования до 1024 IP, проверки сетей, операционных систем, web-приложений, виртуальных сред и баз данных. Consultant может развертываться только на программную платформу. Кроме того, редакция предлагает возможности оценки конфигураций и управления политиками, пользовательской настройки параметров сканирования, отчетов и планов устранения угроз. Доступна приоритетная техподдержка по телефону. Enterprise – масштабируемая версия для среднего и крупного бизнеса, предлагающая функции сканирования неограниченного числа IP, проверки сетей, операционных систем, web-приложений, виртуальных сред и баз данных. Enterprise может развертываться на программные, аппаратные и виртуальные платформы. Кроме того, редакция предлагает возможности оценки конфигураций и управления политиками, пользовательской настройки параметров сканирования, отчетов и планов устранения угроз. Доступна приоритетная техподдержка по телефону. Характеристики Rapid7 Nexpose:

1. Автоматическое обнаружение текущих IT-активов, приложений и сервисов, включая IPv6, виртуальные и облачные компоненты. Полученная информация легко интегрируется с со сторонними системами IT инвентаризации, такими как Active Directory (AD), LDAP и VMware vCenter. Администраторы могут легко организовывать и динамически обновлять активы в логических группах, созданных на базе десятков критериев обнаруженных активов АО и ПО.
2. Всеобъемлющая оценка таких угроз, как уязвимости, неверные конфигурации, нарушения политик, открытость для эксплойтов и вирусов, в пределах всех IT-активов, включая операционные системы, сети, базы данных и web-приложения.
3. Использование принятых в индустрии схем приоритезации, таких как система ранжирования рисков CVSS, для определения степени критичности обнаруженных уязвимостей. Фильтрация угроз по 145 категориям для более удобной расстановки приоритетов в устранении рисков в IT-инфраструктуре.
4. Автоматизация сканирования и генерации отчетов – планирование этих процессов тогда, когда удобно администратору. Реализованы возможности исключения определенных уязвимостей из отчетов, создания исключений и отмены корпоративных политик для процедур сканирования и отчетности и т. п.
5. Генерация подробных отчетов с рекомендациями по устранению рисков, чтобы IT-специалисты могли оперативно справляться с найденными уязвимостями. В системе доступны множество шаблонов отчетов, включая отчеты, позволяющие отслеживать тенденции.
6. Интеграция с Metasploit для комплексной оценки выявленных угроз. Metasploit использует данные, полученные сканерами Nexpose, чтобы определить наиболее вероятные цели и траектории потенциальных атак.
7. Отслеживание внутренних политик и их сравнение с такими признанными мировыми стандартами, как FDCC и USGCB. Создание собственных политик благодаря встроенному редактору Nexpose, оценка безопасности и генерация отчетности по стандартам PCI, HIPAA, NERC, FISMA, SANS Top 20 и местного законодательства.
8. Автоматическое определение статуса виртуальных активов, непрерывное сканирование виртуальной среды (включая гостевые ОС, гипервизоры и виртуальные приложения) на наличие уязвимостей. Возможность интеграции с VMware vCenter в целях отслеживания изменений в динамичной виртуальной инфраструктуре.
9. Гибкое и масштабируемое развертывание за несколько минут – возможность выбора вариантов развертывания (на ПО, оборудование, виртуальные и облачные платформы – в зависимости от редакции).