AppSec, vulnerability, SAST, DAST, IAST, source code analisys

1. Автоматическое обнаружение
и устранение уязвимостей приложений
В настоящее время многие компании полагаются на сетевые и веб-приложения,
которые используются повсеместно, начиная от управления бизнес-процессами
и заканчивая сервисами облачного хранения и обмена данными. Мобильные
приложения готовы подхватить эстафету, чтобы вновь изменить картину
бизнеса. Однако в погоне за эффективностью многие компании недооценивают
опасность, которую представляют такие системы. Согласно отчету компании
Verizon об утечках данных за 2013 год, почти каждое третье киберпреступление
или факт кибершпионажа явились следствием уязвимостей приложений. Кроме
того, по новым данным исследовательского центра Positive Technologies, до 50%
систем дистанционного банковского обслуживания могут быть использованы
для получения неправомерного доступа к корпоративной и клиентской
информации, а также совершения мошеннических транзакций.
Нам удалось собрать более чем десятилетний исследовательский опыт
и практические знания более тысячи аудитов безопасности приложений, легкое
в использовании решение, которое позволяет быстро обнаруживать и устранять
бреши в безопасности ваших приложений — Application Inspector.
Оперативное и эффективное исправление уязвимостей крайне важно: нельзя терять
время, анализируя ложные срабатывания. Интеллектуальный механизм анализа
Application Inspector выявляет только настоящие уязвимости, оставляя в стороне
ошибки программного кода, что существенным образом сокращает количество
потенциальных ложных срабатываний.
В отличие от других анализаторов исходного кода, Application Inspector способен
проводить проверку приложений, написанных на разных языках программирования;
например, проверку веб-приложения ASP .NET с интерфейсом на HTML5 и JavaScript,
использующее базу данных SQL.
Благодаря автоматизации всего процесса Application Inspector устраняет сложности
в обеспечении безопасности приложения, сокращая при этом затраты на контроль
соответствия стандартам. Таким образом, безопасностью вашего предприятия
управляете вы.
Не стоит беспокоиться, если вы не являетесь специалистом в области
безопасности. Наше решение быстро покажет, каким образом можно
использовать уязвимости в коде: это избавит от необходимости самостоятельно
анализировать риск возможной атаки. Когда Application Inspector находит
уязвимость, он автоматически генерирует вектор атаки, например HTTP- или
JSON-запрос, наглядно демонстрируя уязвимость и то, как она может быть
использована против вашего бизнеса.
Очевидно, что обнаружение уязвимостей на ранней стадии разработки позволяет
создавать более качественные приложения, поэтому модель Application Inspector
предусматривает интеграцию прямо в цикл разработки, а также обеспечение
безопасности для уже существующих приложений. Наше решение, в соответствии
с моделью SDLC, оповестит команды разработки и тестирования о потенциально
небезопасном участке кода перед тем, как он будет использоваться
в окончательной версии продукта, — снижая уровень риска и уменьшая
стоимость выполнения требований регуляторов.
Автоматизация процесса контроля защищенности и соответствия стандартам
Узнавайте сразу о возможных рисках
КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ
PT Application Inspector
Высокий уровень обнаружения
уязвимостей благодаря
использованию механизмов SAST,
DAST и IAST.
Генерация эксплойта дает точную
картину возможного риска.
Увеличение эффективности за
счет ориентации на настоящие
уязвимости, а не на ошибки
программного кода.
Стандартизация контроля
безопасности с помощью
решения, которое работает со
многими языками и платформами,
включая веб, мобильные
приложения и ERP-системы.
Обеспечение безопасности с
помощью интеграции сWAF и IPS.
•
•
•
•
•
Application Inspector — описание продукта

2. Большинство традиционных анализаторов исходного кода реализуют либо подход
DAST (Dynamic Application Security Testing, динамический анализ безопасности
приложений), с помощью которого тестируется безопасность во время работы
приложений, либо SAST (Static Application Security Testing, статический анализ
безопасности приложений), суть которого заключается в исследовании исходного
кода. В последнее время некоторые разработчики начали применять метод IAST
(Interactive Application Security Testing, интерактивный анализ исходного кода)
в попытке совместить DAST и SAST. У нас же иной, более современный подход,
реализующий комплексное использование DAST, SAST и IAST на оптимальных этапах
анализа, что позволяет извлечь выгоду из всех подходов без каких-либо
недостатков. Применяя абстрактную интерпретацию, Application Inspector
позволяет обеспечить глубокий анализ кода и API, а также провести оценку
безопасности, сравнимую с показателями SAST-решений. Встроенный
мультиязыковой трассирующий механизм осуществляет IAST-подобный анализ для
случаев любой степени сложности, а уникальный генератор эксплойтов выдает
простые для понимания результаты.
Ключевые возможности
ЕДИНОЕ РЕШЕНИЕ
ДЛЯ БЕЗОПАСНОСТИ СИСТЕМЫ
Безопасность всей системы определяется
надежностью ее самого слабого звена,
поэтому благодаря Application Inspector
вы сможете обеспечить защиту широкого
ряда приложений, включая:
сетевые и веб-приложения,
созданные с помощью таких средств,
как .NET, Java и PHP;
мобильные приложения,
разработанные для платформ
Android и Windows 8;
системы ERP с применением таких
языков, как ABAP, Java, PL/SQL для
SAP и Oracle EBS.
•
•
•
ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ
PT Application Inspector
Обнаружение уязвимостей и
программных закладок («бэкдоров»)
по шаблону путем выявления
похожей логики или схожего
синтаксиса.
Обнаружение признаков
уязвимостей там, где сложно найти
сами уязвимости.
Поддержка множества технологий,
включая Java (Java SE, Java для
Android, JavaEE, Java Frameworks),
.NET (MSIL), SQL (SQL 92, PL/SQL,
T-SQL), PHP, веб-технологии (HTML5,
JavaScript, VBScript, JSON/XML-RPC),
XML (Generic, XSLT, XPath, XQuery).
Обнаружение ряда атак и
уязвимостей, включая внедрение
SQL-кода, межсайтовое выполнение
сценариев, расщепление
HTTP-запроса, внедрение
операторов XPath и LDAP, атаки XML
External Entity Injection
PT AI может быть развернут
локально, в качестве
клиент-серверного решения или как
SaaS.
Прозрачная интеграция с
продуктами Positive Technologies,
включая MaxPatrol и Application
Firewall.
•
•
•
•
•
• Positive Technologies является лидером в области информационной безопасности. Компания входит в десятку ведущих
разработчиков систем оценки уязвимостей, а также в пятерку самых быстроразвивающихся фирм в области обеспечения
безопасности IT-систем в целом. Специалисты компании обладают десятилетним опытом в обнаружении и управлении
уязвимостями. Проведение исследований — залог успеха Positive Technologies, благодаря им мы уверены, что наши продукты
и услуги помогают клиентам снизить затраты, увеличить эффективность и управлять рисками.
Офисы компании находятся в Москве, Дубае, Лондоне, Мумбаи, Риме, Сеуле и Тунисе, а наш исследовательский центр является
одним из крупнейших в Европе.
О компании
107061 РОССИЯ / МОСКВА / ПРЕОБРАЖЕНСКАЯ ПЛОЩАДЬ, ДОМ 8
ТЕЛ.: +7 (495) 744-01-44 / ФАКС: +7 (495) 744-01-87 / Е-MAIL: PT@PTSECURITY.RU
WWW.PTSECURITY.RU / WWW.MAXPATROL.RU / WWW.SECURITYLAB.RU
Application Inspector в действии
Эксплойт
Генератор эксплойтов
База данных языков
программирования
База данных уязвимостей
Исследовательский центр
PositiveTechnologies
Исходный код приложения Статический анализатор
Уязвимость
Уязвимость
Динамический слайс
Динамический анализатор Интерактивный
анализатор
Отчет
Код
Application Inspector — описание продукта