13. 13 Принцип работы
16. 16 Публичные клиенты
1. Solar appScreener Контроль безопасности приложений как важная часть стратегии безопасности организации.
11. 11 Анализ исходного кода – 3 5 языков Delphi LotusScript
10. 10 Графический интерфейс Реализован в виде веб - сервиса . Соединение защищено с помощью протокола HTTPS
6. 6 Решение – Solar appScreener Уникальные технологии декомпиляции и деобфускации Исходный код для SAST Исполняемые файлы (бинарный код)
19. Контакты Центральный офис 125009 г. Москва, Никитский переулок, 7с1 +7 (499) 755 - 07 - 70 info@rt - solar.ru
4. 4 Чего стоит опасаться? Закладки (НДВ*) Уязвимости Неумышленные ошибки, нестыковки, неточности, которые ведут к возможности взлома системы Скрытая функциональность, умышленно внесенная в код * Недекларированные возможности
14. 14 Возможности интеграции Репозитории Средства разработки Серверы CI/CD Отслеживание задач Открытый API предоставляет широкие возможности по дополнительной интеграции и автоматизации. Включает в себя JSON API и CLI Анализ кода VCS хостинги Средства сборки
17. 17 Страны присутствия США Мексика Эквадор ЕС Азербайджан Казахстан Сингапур Австралия Малайзия Южная Корея Россия Беларусь Китай
18. 18 План действий 1. Получить доступ к демостенду Solar appScreener , написав на presale@rt - solar.ru 2. Совместно оценить потребности организации в анализе кода 3. Инициировать пилотный проект 4. Успешно реализовать пилот
9. 9 Требования регуляторов Внесен в Единый реестр отечественного ПО (No 6119) и сертифицирован ФСТЭК России на соответствие требованиям по 4 - му уровню контроля отсутствия НДВ (сертификат No 4007) и ТУ Помогает выполнять постановления 683П, 684П, 382П Банка России в части анализа защищенности ПО и оценке соответствия по требованиям ОУД 4 Соответствует приказам 239, 76, и требованиям ГОСТ Р 56939 - 2006 ФСТЭК России в части анализа защищенности и исходного кода ПО.
12. 12 Анализ бинарного кода – 9 форматов файлов Скачано Декомпилировано и деобфусцировано Проверено 1 2 3 Для мобильных приложений достаточно скопировать ссылку из Google Play или App Store п риложение будет автоматически :
7. 7 Основные преимущества *Web Application Firewall – межсетевой экран уровня приложений ( L7 модели OSI) Умеет работать без исходных кодов Не надо просить исходные коды у разработчиков – можно получить файлы для анализа у системного администратора или дать ссылку на Google Play или App Store Не требует опыта разработки Solar appScreener рассчитан на службу ИБ , а не на разработчиков. Для работы с ним не нужно знать программирование и проходить специальное обучение Дает понятные рекомендации Офицеру безопасности предоставляются подробные описания найденных уязвимостей и НДВ, а также рекомендации по настройке WAF*
2. 2 Нигматулин Илья Рамильевич ПАО «Ростелеком» Руководитель направления Группа по продуктам информационной безопасности МРФ Урал Контакты: e - mail : nigmatulin - ir@ural.rt.ru Моб . тел.: +7(912)226 - 34 - 47 Раб . тел.: +7(343)354 - 90 - 15 Спикер
3. 3 Проблематика Приложения – главный рубеж защиты Развитие онлайн - сервисов и бизнес - приложений размыло внешний периметр. Единственный рубеж защиты – само ПО Все приложения уязвимы Переход на быстрые методы разработки и публикации кода ( CI/CD) не оставляет времени на вдумчивый анализ кода. Результат: уязвимости и закладки Приложения – главная цель злоумышленников С ростом квалификации и опыта киберпреступников дыры в приложениях стали основным вектором атаки на информационные системы – они используются в 90% успешных атак От безопасности приложений зависит безопасность бизнеса
15. 15 Лицензирование и поставка • Лицензирование осуществляется по количеству пользователей, которые имеют доступ к системе • Подходит при необходимости постоянного анализа ПО (крупные вендоры и компании) Установка на собственный сервер ( On - premise ) • Оплачивается количество произведенных проверок • Подходит, если потребность в проверке приложений возникает время от времени (небольшие вендоры, использование заказного ПО, «перестраховка») Сервис из облака «Ростелеком - Солар» ( SaaS )
5. 5 Откуда берутся уязвимости и НДВ? • Использование небезопасных языковых конструкций • Использование сторонних компонентов (СПО, библиотеки) • Встраивание закладок для ускорения разработки Особенности разработки • Сжатые сроки разработки технического задания • Сроки разработки ПО сокращаются (CI/CD, DevOps , Agile , SCRUM ...) • Задержка в разработке – это потеря денег Дефицит времени • Нельзя остановить без ущерба для бизнеса • Содержит общеизвестные уязвимости ( Heartbleed и т. д.) • Сложно или невозможно обновить Унаследованное ПО
8. 8 Основные преимущества Минимизирует ложные срабатывания Уникальная технология Fuzzy Logic Engine позволяет минимизировать процент ложноположительных и ложноотрицательных срабатываний Легко интегрируется в SDLC* Реализована интеграция с репозиториями Git и Subversion , VCS хостингами GitLab, GitHub, Bitbucket , средствами разработки Eclipse, Visual Studio и IntelliJ IDEA , средствами сборки Xcode, CMake, Visual Studio, GNU Make, GNU Autotools, Gradle, sbt, Maven , серверами CI/CD Jenkins, Azure DevOps Server и TeamCity , платформой анализа качества кода SonarQube , а также системой отслеживания ошибок Atlassian Jira *Software Development Life Cycle – жизненный цикл разработки ПО Отчеты могут формироваться в соответствии с классификацией уязвимостей по версии PCI DSS, БДУ ФСТЭК России , ОУД4, OWASP Top 10 и Mobile Top 10, HIPAA и CWE/SANS Top 25