SlideShare une entreprise Scribd logo

Практика использования Solar inCode

Solar Security
Solar Security

Практика использования Solar inCode

Internet
1  sur  16
Télécharger pour lire hors ligne
Solar inCode – практика использования Чернов Даниил CISA, CISSP Руководитель направления Application Security Александров Ярослав Ведущий разработчик 14.10.2016
solarsecurity.ru +7 (499) 755-07-70 Особенности разработки приложений с точки зрения ИБ Дыры в софте:  Уязвимости  Недекларированные возможности (закладки) 2
solarsecurity.ru +7 (499) 755-07-70 Как проверить софт? 3 Динамический анализ Статический анализ
solarsecurity.ru +7 (499) 755-07-70 Сложности 4  Получить исходный код у разработчиков  Убедиться, что код «собирается в проект» и не имеет «неразрешенных зависимостей»  Проверить код: корректно запустить скан  Суметь понять, что написано в отчете  Донести до разработчиков все найденные уязвимости и объяснить их понятным языком
solarsecurity.ru +7 (499) 755-07-70 Solar inCode – сканер программного кода • умеет работать без исходных кодов. Это значит, что не надо просить исходные коды у разработчиков, а можно получить скомпилированные файлы для анализа у системного администратора или скачать мобильные приложения с Google Play или AppStore. Практичность и удобство • выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall Настройка средств защиты • выдает детальные рекомендации по устранению уязвимостей̆ кода на русском языке с описанием способов их эксплуатации Понятные рекомендации 5
solarsecurity.ru +7 (499) 755-07-70 Уязвимости Уязвимость – особенность кода, нарушающая целостность, доступность или конфиденциальность Уязвимости возникают из-за: ошибок использования языковых конструкций и библиотек использования заимствованного кода наличия уязвимостей сторонних компонент Уязвимости web-приложений: SQL Injection, XSS, Code Injection, Broken Cryptography, Data Leakage, Other injections, Correctness Уязвимости мобильных приложений: Data Leakage (SSL, http), Data Storage, Broken Cryptography, IPC, Injections, Correctness 6
solarsecurity.ru +7 (499) 755-07-70 Закладки Закладка – уязвимость, внесенная намеренно  Чаще всего – получение неавторизованного доступа Автоматически невозможно определить намерение, но можно выделить характерные логические конструкции  Специальные учетные записи (логины, пароли, хеши, ключи, сравнения)  Скрытая функциональность (невидимые параметры запроса, внедрение кода, обфусцированный код)  Недокументированная сетевая активность (внедрение в функции работы с сетью, утечка ценных данных)  Изменение параметров безопасности (подмена ключевых значений)  Встроенные обращения к интерпретатору  Временная бомба  Мертвый код 7
solarsecurity.ru +7 (499) 755-07-70 Поиск уязвимостей и закладок Поиск уязвимостей и закладок с помощью методов статического анализа (анализ кода без выполнения) Полное покрытие кода независимо от правил поиска уязвимостей Анализ по модели кода (внутреннему представлению) Анализ распространения потока данных (dataflow) • Taint-анализ, строковый, интервальный анализ (SQL Injection и т.п.) Анализ потока управления (control flow) Максимизация точности и полноты анализа Углубление алгоритмов Уточнение правил Solar inCode - Enterprise система Web-интерфейс, интеграция в процесс разработки 8
solarsecurity.ru +7 (499) 755-07-70 Настройка сканирования Запуск сканирования Источник кода (архив, репозиторий, магазин, исполняемый файл) Требования сборки (анализ исходного кода Java, Scala, C/C++, ObjectiveC) Настройки проекта Исключение кода Задание наборов правил поиска уязвимостей Использование пользовательских правил Перезапуск сканирования 9
solarsecurity.ru +7 (499) 755-07-70 Результаты сканирования Оценка безопасности приложения Локализация уязвимости в исходном коде Информация об уязвимости Подробное описание, примеры Рекомендации по устранению Ссылки на источники Фильтрация по критичности уязвимости Отображение по уязвимостям и по файлам/пакетам Удаление уязвимости (одиночное и групповое) Изменение критичности уязвимости (одиночное и групповое) Комментарии к вхождениям уязвимостей Отслеживание истории уязвимости (в том числе ложных срабатываний) 10
solarsecurity.ru +7 (499) 755-07-70 Интеграция в процесс разработки Инструмент командной строки (генерация REST-запросов, аутентификация через токен) Сервер CI (Continuous Integration) – Jenkins, TFS Репозиторий разработки – git, svn, TFS Система багтрекинга – JIRA, Redmine Средство сборки и IDE – maven, gradle, sbt, Eclipse, Visual Studio Пример Запуск анализа из ветки репозитория, куда совершен коммит По результатам анализа исправление критических уязвимостей назначается исполнителям в систему багтрекинга Разработчик запускает сканирования из IDE при разработке 11
solarsecurity.ru +7 (499) 755-07-70 Правила поиска уязвимостей Xml-язык записи правил Поддержка базы правил в актуальном состоянии Пользовательские правила поиска уязвимостей Специфика требования разработки – фреймворки, style guide Документация по разработке правил 12
solarsecurity.ru +7 (499) 755-07-70 Остальная функциональность Межпроектная аналитика Динамика результатов в группе Сравнение результатов в группе Состояние сканирований в группе Рекомендации по настройке СЗИ F5, Imperva, ModSecurity Управление правилами Редактирование описаний Работа с наборами правил Выгрузка pdf и html отчетов Конструктор отчета Выгрузка по PCI DSS 3.2, OWASP Top 10 / OWASP Mobile Top 10 13
solarsecurity.ru +7 (499) 755-07-70 Анализ без исходного кода Анализ без исходного кода: Java, Android, iOS jar, war apk, Google Play ipa, AppStore Декомпиляция кода и отображение результатов на восстановленный код Комбинированная предобработка проектов на Java (и исполняемый, и исходный код) Анализ библиотек Анализ собранного проекта (не зависит от поддержки средства сборки) 14
Вопросы?
Даниил Чернов Руководитель направления Application Security d.chernov@solarsecurity.ru Ярослав Александров Ведущий разработчик y.alexandrov@solarsecurity.ru www.solarsecurity.ru

Recommandé

Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar Security
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommandé

Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Solar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar inRights - IdM, каким он должен быть
Solar inRights - IdM, каким он должен бытьSolar Security
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьSolar Security
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...Expolink
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Solar Security
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Solar Security
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 

Contenu connexe

Tendances

Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCSolar Security
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar Security
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...Expolink
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииSolar Security
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Solar Security
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCSolar Security
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 

Tendances (20)

Опыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOCОпыт построения и эксплуатации коммерческого SOC
Опыт построения и эксплуатации коммерческого SOC
 
Solar inView: Безопасность под контролем
Solar inView: Безопасность под контролемSolar inView: Безопасность под контролем
Solar inView: Безопасность под контролем
 
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спроситьспроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
спроси эксперта. все, что вы хотели знать про Id m, но боялись спросить
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
Solar Security. Дмитрий Бондарь: "Всё под контролем: безопасность начинается ...
 
Актуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в РоссииАктуальность аутсорсинга ИБ в России
Актуальность аутсорсинга ИБ в России
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
Спроси эксперта. 2 сезон 3 серия: Solar Dozor 6.4 - новые инструменты расслед...
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
 
Хронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOCХронология кибератаки. Точки выявления и контроля. Место SOC
Хронология кибератаки. Точки выявления и контроля. Место SOC
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 

En vedette

Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Solar Security
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Expolink
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Solar Security
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Solar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Solar Security
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБSolar Security
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угрозSolar Security
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБSolar Security
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыPositive Hack Days
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБSolar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorSolar Security
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOCSolar Security
 

En vedette (17)

Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP? Как реагировать на инциденты ИБ с помощью DLP?
Как реагировать на инциденты ИБ с помощью DLP?
 
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
Учебный центр "Информзащита". Андрей Степаненко. "Квалифицированный сотрудник...
 
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ Актуальный ландшафт угроз ИБ
Актуальный ландшафт угроз ИБ
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
Один день из жизни специалиста по ИБ: процедура управления инцидентами, выявл...
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?Почему аутсорсинг ИБ становится все более востребованным в России?
Почему аутсорсинг ИБ становится все более востребованным в России?
 
Несколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБНесколько слайдов про измерение ИБ
Несколько слайдов про измерение ИБ
 
Защита от внутренних угроз
Защита от внутренних угрозЗащита от внутренних угроз
Защита от внутренних угроз
 
JSOC - кейсы ИБ
JSOC - кейсы ИБJSOC - кейсы ИБ
JSOC - кейсы ИБ
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБ
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar DozorУправление инцидентами информационной безопасности с помощью DLP Solar Dozor
Управление инцидентами информационной безопасности с помощью DLP Solar Dozor
 
Устройство и Сервисы JSOC
Устройство и Сервисы JSOCУстройство и Сервисы JSOC
Устройство и Сервисы JSOC
 

Similaire à Практика использования Solar inCode

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, RedmadrobotMail.ru Group
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиAvivi Academy
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметраCisco Russia
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
Расширяемая платформа для создания и управления автоматизированными тестами н...
Расширяемая платформа для создания и управления автоматизированными тестами н...Расширяемая платформа для создания и управления автоматизированными тестами н...
Расширяемая платформа для создания и управления автоматизированными тестами н...jazzteam
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Solar Security
 

Similaire à Практика использования Solar inCode (20)

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
 
Secure development
Secure developmentSecure development
Secure development
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Популярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схемиПопулярні способи зломів та шахрайські схеми
Популярні способи зломів та шахрайські схеми
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Безопасность
БезопасностьБезопасность
Безопасность
 
Построение защищенного Интернет-периметра
Построение защищенного Интернет-периметраПостроение защищенного Интернет-периметра
Построение защищенного Интернет-периметра
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Расширяемая платформа для создания и управления автоматизированными тестами н...
Расширяемая платформа для создания и управления автоматизированными тестами н...Расширяемая платформа для создания и управления автоматизированными тестами н...
Расширяемая платформа для создания и управления автоматизированными тестами н...
 
Genome
GenomeGenome
Genome
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
 
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
Спроси эксперта. 2 сезон 1 серия: Настоящее и Будущее ИБ. Прогнозы развития о...
 

Практика использования Solar inCode

  • 1. Solar inCode – практика использования Чернов Даниил CISA, CISSP Руководитель направления Application Security Александров Ярослав Ведущий разработчик 14.10.2016
  • 2. solarsecurity.ru +7 (499) 755-07-70 Особенности разработки приложений с точки зрения ИБ Дыры в софте:  Уязвимости  Недекларированные возможности (закладки) 2
  • 3. solarsecurity.ru +7 (499) 755-07-70 Как проверить софт? 3 Динамический анализ Статический анализ
  • 4. solarsecurity.ru +7 (499) 755-07-70 Сложности 4  Получить исходный код у разработчиков  Убедиться, что код «собирается в проект» и не имеет «неразрешенных зависимостей»  Проверить код: корректно запустить скан  Суметь понять, что написано в отчете  Донести до разработчиков все найденные уязвимости и объяснить их понятным языком
  • 5. solarsecurity.ru +7 (499) 755-07-70 Solar inCode – сканер программного кода • умеет работать без исходных кодов. Это значит, что не надо просить исходные коды у разработчиков, а можно получить скомпилированные файлы для анализа у системного администратора или скачать мобильные приложения с Google Play или AppStore. Практичность и удобство • выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall Настройка средств защиты • выдает детальные рекомендации по устранению уязвимостей̆ кода на русском языке с описанием способов их эксплуатации Понятные рекомендации 5
  • 6. solarsecurity.ru +7 (499) 755-07-70 Уязвимости Уязвимость – особенность кода, нарушающая целостность, доступность или конфиденциальность Уязвимости возникают из-за: ошибок использования языковых конструкций и библиотек использования заимствованного кода наличия уязвимостей сторонних компонент Уязвимости web-приложений: SQL Injection, XSS, Code Injection, Broken Cryptography, Data Leakage, Other injections, Correctness Уязвимости мобильных приложений: Data Leakage (SSL, http), Data Storage, Broken Cryptography, IPC, Injections, Correctness 6
  • 7. solarsecurity.ru +7 (499) 755-07-70 Закладки Закладка – уязвимость, внесенная намеренно  Чаще всего – получение неавторизованного доступа Автоматически невозможно определить намерение, но можно выделить характерные логические конструкции  Специальные учетные записи (логины, пароли, хеши, ключи, сравнения)  Скрытая функциональность (невидимые параметры запроса, внедрение кода, обфусцированный код)  Недокументированная сетевая активность (внедрение в функции работы с сетью, утечка ценных данных)  Изменение параметров безопасности (подмена ключевых значений)  Встроенные обращения к интерпретатору  Временная бомба  Мертвый код 7
  • 8. solarsecurity.ru +7 (499) 755-07-70 Поиск уязвимостей и закладок Поиск уязвимостей и закладок с помощью методов статического анализа (анализ кода без выполнения) Полное покрытие кода независимо от правил поиска уязвимостей Анализ по модели кода (внутреннему представлению) Анализ распространения потока данных (dataflow) • Taint-анализ, строковый, интервальный анализ (SQL Injection и т.п.) Анализ потока управления (control flow) Максимизация точности и полноты анализа Углубление алгоритмов Уточнение правил Solar inCode - Enterprise система Web-интерфейс, интеграция в процесс разработки 8
  • 9. solarsecurity.ru +7 (499) 755-07-70 Настройка сканирования Запуск сканирования Источник кода (архив, репозиторий, магазин, исполняемый файл) Требования сборки (анализ исходного кода Java, Scala, C/C++, ObjectiveC) Настройки проекта Исключение кода Задание наборов правил поиска уязвимостей Использование пользовательских правил Перезапуск сканирования 9
  • 10. solarsecurity.ru +7 (499) 755-07-70 Результаты сканирования Оценка безопасности приложения Локализация уязвимости в исходном коде Информация об уязвимости Подробное описание, примеры Рекомендации по устранению Ссылки на источники Фильтрация по критичности уязвимости Отображение по уязвимостям и по файлам/пакетам Удаление уязвимости (одиночное и групповое) Изменение критичности уязвимости (одиночное и групповое) Комментарии к вхождениям уязвимостей Отслеживание истории уязвимости (в том числе ложных срабатываний) 10
  • 11. solarsecurity.ru +7 (499) 755-07-70 Интеграция в процесс разработки Инструмент командной строки (генерация REST-запросов, аутентификация через токен) Сервер CI (Continuous Integration) – Jenkins, TFS Репозиторий разработки – git, svn, TFS Система багтрекинга – JIRA, Redmine Средство сборки и IDE – maven, gradle, sbt, Eclipse, Visual Studio Пример Запуск анализа из ветки репозитория, куда совершен коммит По результатам анализа исправление критических уязвимостей назначается исполнителям в систему багтрекинга Разработчик запускает сканирования из IDE при разработке 11
  • 12. solarsecurity.ru +7 (499) 755-07-70 Правила поиска уязвимостей Xml-язык записи правил Поддержка базы правил в актуальном состоянии Пользовательские правила поиска уязвимостей Специфика требования разработки – фреймворки, style guide Документация по разработке правил 12
  • 13. solarsecurity.ru +7 (499) 755-07-70 Остальная функциональность Межпроектная аналитика Динамика результатов в группе Сравнение результатов в группе Состояние сканирований в группе Рекомендации по настройке СЗИ F5, Imperva, ModSecurity Управление правилами Редактирование описаний Работа с наборами правил Выгрузка pdf и html отчетов Конструктор отчета Выгрузка по PCI DSS 3.2, OWASP Top 10 / OWASP Mobile Top 10 13
  • 14. solarsecurity.ru +7 (499) 755-07-70 Анализ без исходного кода Анализ без исходного кода: Java, Android, iOS jar, war apk, Google Play ipa, AppStore Декомпиляция кода и отображение результатов на восстановленный код Комбинированная предобработка проектов на Java (и исполняемый, и исходный код) Анализ библиотек Анализ собранного проекта (не зависит от поддержки средства сборки) 14
  • 16. Даниил Чернов Руководитель направления Application Security d.chernov@solarsecurity.ru Ярослав Александров Ведущий разработчик y.alexandrov@solarsecurity.ru www.solarsecurity.ru