x

Давайте мы вам перезвоним!

Оставьте свой номер и мы перезвоним в течении нескольких минут

ФИО

Номер телефона

В какое время вам перезвонить ?

Ваша заявка отправлена

Закрыть

PT Application Inspector

x

ФИО

Номер телефона

Email

Количество узлов

Наименование компании

Вы отправили заявку на тестирование

Фамилия*

PT Application Inspector

x

ФИО

Номер телефона

Email

Количество узлов

Наименование компании

Запрос цены успешно отправлен!

Фамилия*

PT Application Inspector

PT Application Inspector

(0)

Анализатор защищенности исходного кода приложений. Результатом работы PT AI является генерация эксплойтов, которые демонстрируют риски уязвимостей на практических примерах, что позволяет межсетевому экрану блокировать атаки до исправления кода, а разработчикам — ускорить исправление кода на самых ранних стадиях разработки.

Преимущества

  • Высокая эффективность

За счет комбинации DAST, SAST и IAST, анализа контекста и конфигураций серверов и приложений PT Application Inspector дает в среднем на 75 % меньше ложных срабатываний, чем аналогичные продукты. Это радикально снижает затраты экспертов на ручную проверку результатов.

  • Раннее выявление

PT Application Inspector может анализировать код на самых ранних стадиях разработки. Команды контроля качества оповещаются о небезопасном коде до того, как его начнут эксплуатировать, что снижает риски атак и стоимость проверки соответствия стандартам безопасности.

  • Немедленная защита

Эксплойты, которые генерирует PT Application Inspector, позволяют межсетевому экрану создавать виртуальные исправления и защищать приложения, пока разработчики будут устранять уязвимости ПО.

  • Единое решение

PT AI работает со множеством платформ и языков, включая PHP, Java, .NET, HTML и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XSS и XXE.

  • Выявление признаков НДВ

Адаптация PT AI к бизнес-логике приложения позволяет выявлять закладки, оставленные в коде разработчиками или хакерами.

Ключевые задачи

Серьезный бизнес в наши дни сложно представить без современного программного обеспечения. Однако с ростом количества программ растет и количество уязвимостей. В ходе исследований компании Positive Technologies выяснилось, что в 2014 году внешний нарушитель из интернета был способен получить доступ к узлам внутренней сети 87 % крупных компаний, хотя в 2011—2012 годах это было возможно лишь в 74 % систем. При этом большинство уязвимостей можно выявить задолго до атаки, а изучение исходного кода приложений позволяет обнаружить в 10 раз больше критически опасных уязвимостей, чем тестирование систем без анализа кода.

Последние нормативы регулирующих организаций, таких как Банк России, ФСТЭК и PCI Council, в области безопасности платежных приложений, государственных информационных систем и систем персональных данных требуют выявления и устранения уязвимостей. Решение этих задач в организациях, использующих сотни копий различного ПО, невозможно без автоматизации. Однако предлагавшиеся до сих пор решения имеют ряд недостатков:

  • Инструменты статического анализа показывают не конкретные проблемы безопасности, а ошибки программирования, что приводит к огромному количеству ложных срабатываний и дополнительным трудозатратам на проверку.
  • Ряд уязвимостей невозможно определить методом статического анализа кода (SAST), поскольку эти уязвимости проявляются только во время исполнения программ.
  • Метод динамического анализа (DAST) требует развертывания систем, что в случае масштабных корпоративных приложений ведет к дополнительным расходам. Этим методом нельзя выявить уязвимости на этапе разработки, зато можно привести к сбою уже работающее приложение. DAST требует очень много времени на тесты, но при этом покрывает лишь 30 % кода.

Где применяется PT Application Inspector?

PT Application Inspector может использоваться для обеспечения безопасности приложений любых масштабов — от корпоративного сайта до облачных сервисов и систем электронного правительства.

Банки и финансовые учреждения

Банки используют множество критически важных приложений, которые используются как клиентами, так и их партнерами (ДБО, CRM, приложения для трейдинга). Зачастую в подобных приложениях существуют уязвимости высокой степени риска, связанные с ошибками в коде, недостатками конфигурации. Внесение изменений в крупные системы управления финансовой деятельностью иногда требует больших временных затрат. Непрерывная работа практически не оставляет возможности для установки актуальных обновлений безопасности. Они представляют большой интерес для злоумышленников: на них совершаются автоматизированные и ручные атаки. Происходят также атаки на клиентов банковских приложений.

Сертифицирующие органы

При сертификации защитного ПО испытательные лаборатории должны соблюдать предписания регулирующих организаций. Последние нормативы ФСТЭК обязывают контролировать отсутствие угроз НДВ в ПО («функциональных возможностей средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации») и обнаруживать недостатки в защищенности. Вовремя не обнаруженные ошибки кода и конфигурации, слабые механизмы аутентификации и другие внутренние недостатки системы могут быть использованы злоумышленниками.

Инженерные сети и коммуникации

В основе любого современного предприятия лежит ERP-система, при помощи которой осуществляются бухгалтерский учет, управление, контроль поставок и многие другие процессы. Такие системы часто имеют доступ в интернет (например, SRM, CRM и HCM) и связаны через интеграционные шлюзы. Системы часто обслуживаются компаниями-посредниками и контролируются удаленно, а механизмы их защиты ослаблены для упрощения эксплуатации. Разработчики кода бизнес-приложений больше заботятся о функциональности, чем о безопасности. Такие системы часто подвергаются специфической модификации и адаптации к нуждам заказчика. Требования к непрерывности работы подобных систем практически не оставляют возможности для разработки и установки актуальных обновлений безопасности.

Иллюстрация работы

В системе PT Application Inspector реализован уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также использующий огромную базу знаний уязвимостей, накопленную экспертами Positive Technologies. Для проведения глубокого анализа вам нужен только исходный код, и проверять его можно по частям. Это позволяет использовать PT AI как в ходе разработки, так и для приложений, находящихся в эксплуатации. Уникальная технология динамического анализа комбинирует символьные вычисления и интерактивную трассировку части приложения в виртуальной «песочнице», что дает возможность обрабатывать динамические зависимости, раскрывать функции и классы, специфичные для библиотек и фреймворков, и строить поток данных, влияющий на бизнес-логику приложения. Модуль абстрактной интерпретации генерирует эксплойты, т. е. специальные запросы, которые позволяют моментально проверять уязвимости, подготавливать юнит-тесты для разработчиков, а при использовании PT Application Firewall — блокировать атаки даже без исправления кода приложения. Такой подход помогает значительно снизить затраты на программы обеспечения безопасности приложений любых масштабов — от корпоративного сайта до облачных сервисов и систем электронного правительства.

Преимущества для разработчиков

Простота и безопасность тестирования

Не нужно устанавливать и настраивать приложение для тестирования, а затем восстанавливать его, как бывает в случае «живых» тестов. Для работы PT Application Inspector достаточно указать каталог, содержащий код приложения или даже часть кода.

Адаптация

PT Application Inspector легко адаптируется к логике работы ваших приложений, поэтому способен выявлять недостатки, характерные для каждого конкретного приложения.

Встроенная база знаний стороннего ПО

PT Application Inspector анализирует элементы сторонних программ (в том числе с открытым кодом), которые используются в ваших приложениях.

Выявление симптомов

PT Application Inspector можно настроить как на поиск самих уязвимостей, так и на поиск признаков уязвимостей, что позволяет предотвратить реализацию скрытых угроз.


Бренд: Positive technologies

Категория: /Информационная безопасность/Positive Technologies