Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
•Download as PPTX, PDF•
0 likes•431 views
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
- 1. Solar inCode – система анализа программного кода на наличие уязвимостей ИБ 18 декабря 2015 г. Чернов Даниил Руководитель направления Application Security
- 2. solarsecurity.ru +7 (499) 755-07-70 Статистика за 2014 год 2 Более 75% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2014 год SQLi – 8,4% из всех атак за прошедший 2014 год
- 3. solarsecurity.ru +7 (499) 755-07-70
- 4. solarsecurity.ru +7 (499) 755-07-70 Проблематика 4 Уровень безопасности 1.8 из 5 Уровень безопасности 1.2 из 5 Уровень безопасности 1.2 из 5 Уровень безопасности 0,9 из 5
- 5. solarsecurity.ru +7 (499) 755-07-70 Откуда берутся уязвимости 5 Культура разработки – разработчик не уделяет внимания: Языковым конструкциям, которые использует Коду, который используется как сторонний Безопасности связей между компонентами, которые разрабатывает Недостаток времени: Техническое задание разрабатывается быстро Программное обеспечение разработается быстро: задержка в разработке – потеря денег Можно удовлетворить только два из трех желаний: быстро, качественно и недорого ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
- 6. solarsecurity.ru +7 (499) 755-07-70 Сканеры кода 6 HP Fortify IBM Appscan Source Checkmarx Infowatch Appercut
- 7. solarsecurity.ru +7 (499) 755-07-70 Радости жизни безопасника 7 Получить исходный код у разработчиков – EPIC WIN Убедиться, что код «собирается в проект» и не имеет «неразрешенных зависимостей» Проверить код: корректно запустить скан Суметь понять, что написано в отчете Донести до разработчиков все найденные косяки и объяснить их понятным языком
- 8. solarsecurity.ru +7 (499) 755-07-70 Наши люди 8 Сильный научный бэкграунд: опыт работы в институте системного программирования, диссертации по теме 2.5 года работы в команде HP Fortify (США) Тематические статьи и публикации Выступления на международных конференциях: Москва, Монреаль, Вашингтон
- 9. solarsecurity.ru +7 (499) 755-07-70 Solar inCode – сканер программного кода • выдает детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации Понятные рекомендации • выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall Настройка средств защиты • умеет работать без исходных кодов. Это значит, что безопасник не клянчит исходники у разработчиков, а может получить скомпилированные файлы для анализа у админа или скачать мобильные приложения с Google Play или AppStore. Практичность и удобство
- 10. solarsecurity.ru +7 (499) 755-07-70 10 Архитектура inCode
- 11. Даниил Чернов Руководитель направления Application Security www.solarsecurity.ru d.chernov@solarsecurity.ru
Editor's Notes
- #3: Но почему раньше этого не было? Код писали безопаснее? На самом деле - нет
- #5: если вы пользуетесь этим приложением, то надо быть осторожным и внимательным. а теперь представтье, что вы не пользователь этого приложения, а вы человек внутри компании, которая владеет этим приложение. Если его сломают, то компания понесет репутационные и финансовые издержки. И вы отвечаете за безопасность приложения. Хотя, в большинстве случаев, слово «отвечает» - воплне специфическое. Ну, скажем так, не то, чтобы явно ему об этом кто-то говорил, но если сломают, руководство спросит именно с вас. Вот именно такой человек нам и нужен. Наш бизнес в том, чтобы помочь решить проблемы этого человека. Причем в ряде случаев он их может явно не осознавать.
- #7: Как эту проблему пытались решить в последние три года: вот пять средств анализа кода, которые есть на рынке. перечисление Примеры отчетов
- #9: Видя такую ситуацию, мы решил написать сканер кода таким, каким он должен быть с нашей точкой зрения
- #11: Показ отчета фортифай