3. solarsecurity.ru +7 (499) 755-07-70
Особенности разработки приложений
с точки зрения ИБ
Дыры в софте:
Уязвимости
Недекларированные
возможности (закладки)
3
5. solarsecurity.ru +7 (499) 755-07-70
Технологии Solar inCode
5
Бинарный анализ
Деобфускация
Декомпиляция
Fuzzy Logic Engine
6. solarsecurity.ru +7 (499) 755-07-70
Откуда берутся уязвимости
6
Культура разработки – разработчик не уделяет внимания:
Языковым конструкциям, которые использует
Коду, который используется как сторонний
Безопасности связей между компонентами, которые разрабатывает
Недостаток времени:
Техническое задание разрабатывается быстро
Программное обеспечение разработается быстро:
задержка в разработке – потеря денег
Можно удовлетворить только два из трех желаний: быстро,
качественно и недорого
ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
7. solarsecurity.ru +7 (499) 755-07-70
Статистика за 2015 год
7
Более 75% успешных кибератак эксплуатируют
«дыры» в ПО, т.к. на сегодняшний день это самое
слабое звено технической защиты
Уязвимости для платформы Android – 15% из всех
уязвимостей, публично опубликованных за 2015 год
SQLi – 8,4% из всех атак за прошедший 2015 год
8.
9. solarsecurity.ru +7 (499) 755-07-70
Продукты для статического анализа кода
9
IBM Security AppScan Source
APPERCUT
HP Fortify Static Code Analyzer
Checkmarx Static Code Analysis
PT Application Inspector
Solar inCode
10. solarsecurity.ru +7 (499) 755-07-70
Сложности
10
Получить исходный код у разработчиков
Убедиться, что код «собирается в проект» и не имеет
«неразрешенных зависимостей»
Проверить код: корректно запустить скан
Суметь понять, что написано в отчете
Донести до разработчиков все найденные уязвимости
и объяснить их понятным языком
11. solarsecurity.ru +7 (499) 755-07-70
Solar inCode – сканер программного кода
• умеет работать без исходных кодов. Это значит, что не надо просить
исходные коды у разработчиков, а можно получить скомпилированные
файлы для анализа у системного администратора или скачать
мобильные приложения с Google Play или AppStore.
Практичность и удобство
• выдает детальные рекомендации по настройке наложенных средств
защиты: SIEM, WAF, Firewall
Настройка средств защиты
• выдает детальные рекомендации по устранению уязвимостей̆ кода на
русском языке с описанием способов их эксплуатации
Понятные рекомендации
9
Все это приводит к неутешителной статистике.
А что было раньше? Почему это стало актуально сейчас? Раньше было тоже самое. Только софт раньше был не последним рубежом защиты, а стал первым рубежом. В некоторых случаях вторым.
Дыры в средствах защиты периметра хорошо защищены. Теперь атаки чаще всего проходят через дыры в самом ПО, которое торчат наружу. Наша статистика это подвтерждает.