• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Отечественное средство от уязвимостей и НДВ

На российском рынке появился новый программный продукт для обеспечения безопасности веб- и мобильных приложений. 

Уязвимости в программном обеспечении являются самым слабым звеном технической защиты. В 2014 г. более 60% кибератак, их эксплуатировавших, увенчались успехом. В условиях, когда банки, розничные сети и другие компании, работающие на массовом рынке, придерживаются стратегии максимальной открытости и делают ставку на онлайн-каналы взаимодействия с потребителем – интернет-порталы и мобильные приложения, риски возникновения инцидентов информационной безопасности растут день ото дня. Собственно, об этом свидетельствуют данные ЦБ, согласно которым в 2014 г. хакеры пытались вывести с банковских счетов 6 млрд рублей.

«Вектор атак сегодня направлен на внешние бизнес-приложения, на всевозможные веб-сервисы, внешние порталы», – констатирует Игорь Ляпунов, генеральный директор компании Solar Security, выделившейся в марте 2015 г. из состава «Инфосистем Джет». При этом большинство угроз для таких приложений связаны с ошибками, которые случайно или намеренно оставили в исходном коде разработчики. А поскольку для пользователей само приложение является первым и единственным рубежом защиты от финансовых потерь, наличие в нем уязвимости для них очень критично.

Для самого не защищенного на сегодняшний день слоя - для бизнес-приложений компания Solar Security вывела на российский рынок новый продукт Solar inCode. Этот сканер исходных кодов на соответствие требованиям безопасности для приложений, работающих в большом вебе и в мобильном интернете, проводит автоматический анализ и выявляет как ошибки, непреднамеренно допущенные разработчиками, которые могут эксплуатироваться злоумышленниками, так и недекларированные возможности – закладки.

При этом для таких языков программирования, как Java, Scala, PHP, Objective C, Java for Android, решать эти задачи методом статистического анализа сканер может без исходного кода, поскольку в его основе лежат многолетние научные разработки его создателей в области реверс-инженерии, – декомпиляции и деобфускации. (Обфускация – от англ. obfuscate – затемнять, сбивать с толку, – приемы приведения исходного кода в состояние, затрудняющее его анализ).

В этом случае в качестве объекта для исследования сканер принимает бинарный код (ссылки на исполняемый файл или на URL-приложения в AppStore или Google Play). После загрузки бинарного кода в систему в дело вступает деобфускатор, который распутывает затемненный код, затем к коду применяются технологии декомпиляции (это нужно для того, чтобы описать выявленные уязвимости понятным для специалистов по информационной безопасности языком). После этого код направляется в модуль «внутреннее представление» сканера, а оттуда в анализатор, который выявляет уязвимости и транслирует их в отчетность в терминах исходного кода.

В каждом отчете, который выдает система, дается общая оценка защищенности приложения, приводится подробное описание найденных уязвимостей со ссылками на соответствующие участки кода, делается оценка рисков, возникающих по причине найденных ошибок, а также определяется уровень квалификации специалиста, который может эти уязвимости эксплуатировать.

Для удобства сотрудников служб информационной безопасности, на которых и ориентирован новый продукт компании Solar Security Code, все выявленные уязвимости ранжируются по трем уровням – критическому, среднему и низкому. Критические уязвимости с большой вероятностью могут привести к компрометации конфиденциальной информации, а также к нарушению целостности системы. Для уязвимостей среднего уровня вероятность такого сценария ниже, а наличие уязвимостей нижнего уровня свидетельствует о нарушении лучших практик программирования.

Кроме того, сканер дает рекомендации по исправлению конкретных участков кода, что облегчает для специалистов по ИБ постановку задачи перед разработчиками, для удобства последних inCode синхронизируется с системой отслеживания ошибок. А на время, которое потребуется для исправления ошибок (на это может уйти от недели до трех месяцев), сканер предлагает набор мер для компенсации выявленных критических уязвимостей и уязвимостей среднего уровня по настройке наложенных средств защиты.

«Выход Solar inCode принципиально изменит принятый сегодня подход к обеспечению безопасности бизнес-приложений», – убежден Игорь Ляпунов. Если раньше программирование было для сотрудников служб информационной безопасности закрытой областью, то теперь у них появилась возможность заглянуть в ядро приложений и найти корневую причину всех угроз – ошибки, допущенные разработчиками.

По словам Даниила Чернова, руководителя направления Application Security компании Solar Security, продавать iновый сканеркак независимое решение планируется через партнерскую сеть Solar Security, в которую буквально вчера влилась компания «Информзащита», с которой было подписано партнерское соглашение. Согласно его условиям, новый партнер получает статус Implement и Support Partner по этому продукту.

«А в ближайшем будущем мы рассматриваем возможность интеграции с другими нашими продуктами» – заявил Д. Чернов. Напомним, что в арсенале компании Solar Security также представлены инструмент контроля коммуникаций сотрудников, аналитическая система, система управления учетными записями и правами доступа, а также центр мониторинга, из которого предоставляются облачные сервисы ИБ клиентам. 

Оставить свой комментарий:

Комментарии по материалу