Transcript APPERCUT NEW LEVEL OF APPLICATION SECURITY

РИСКИ САМОСТОЯТЕЛЬНОЙ
РАЗРАБОТКИ БИЗНЕС-ПРИЛОЖЕНИЙ
И СПОСОБЫ ИХ СНИЖЕНИЯ
Рустэм Хайретдинов
Appercut Security
#MSSD. Москва. 5 марта 2013
Нет одинаковых компаний
Специфика компании отображается в
информационной системе
Универсальные системы избыточны
Приходится переплачивать за функции,
которыми не пользуются
Бизнес-среда меняется стремительно
Приходится переплачивать за функции,
которыми не пользуются
Это свершившийся факт
Более 80% компаний
разрабатывают/дорабатывают бизнес ПО
Несистемные требования по
безопасности приложений
Упор на функционал и нагрузку,
игнорирование стандартов
Службы ИБ в разработке не
участвуют
Привлекаются только к
расследованиям инцидентов
Упрощенный процесс разработки
Изменения идут непрерывно, код
правится вместо выпуска патчей
Используются закрытые платформы
SAP, Oracle, MS Dynamics, 1C, Lotus, …
Неустойчивость
Непереносимость
Злоупотребление доступом
Нештатное
функционирование
Ошибки программирования
Ошибки архитектуры
Отладочные ветви
Технические учетные записи
«Закладки»
CONTRA: долгий,
дорогой и
сложный процесс
Комбинация ручного и
автоматизированного анализа
RRO: может находить
сложные уязвимости
Настройки
Заказной и самостоятельно
разрабатываемый код
Прикладные надстройки (CRM, HR,
АБС, Бухгалтерия, Производство…)
Базовое приложение (SAP R3, Oracle EBS, MS
Dynamics, Salesforce.com, 1C , и т.д.)
ERP
SCADA
BILLING
ABS
WEBSTORE
…
Реальный проект:
83 приложения,
11 языков,
6 бизнес-платформ
2-3 сборки в день
DOCFLOW
REPORTING
PORTAL RUBRICATOR ANALITICS
…
Compliance Settings Control
Custom Code Scanner
Настройки
Заказной и самостоятельно
разрабатываемый код
Vulnerabilities Scanner
Прикладные надстройки (CRM, HR,
АБС, Бухгалтерия, Производство…)
Vulnerabilities Scanner
Базовое приложение (SAP R3, Oracle EBS, MS
Dynamics, Salesforce.com, 1C , и т.д.)
«Умные
сигнатуры»
опасных
приемов
программи
рования
Нормализованный
исходный код
Аналог
алгоритма
поиска
цифровых
отпечатков
Cost, $$
SAST+DAST
Free!!!
SAST – статический
анализ кода
DAST – динамический
анализ приложения
SAST
DAST
APPERSCAN
Accuracy
<100%
<100%
100%
АУДИТ КОДА
Известные уязвимости кода
Appercut Service / Стандартная база
АУДИТ ПРИЛОЖЕНИЯ
Комплексные уязвимости
РУЧНОЙ АНАЛИЗ КОДА
Поиск НДВ
Наполнения базы
уязвимостей
АУДИТ ДОПОЛНЕНИЙ
Все уязвимости
Appercut Service / База клиента
Анализ известных
уязвимостей кода
Appercut Service / Стандартная база
Моделирование уязвимостей
архитектуры
Моделирование уязвимостей
бизнес-процессов
Наполнения базы
уязвимостей
Компенсирующий контроль
всех уязвимостей
Appercut Service / База клиента
Не предполагается встраивание в
процесс разработки
Не предполагается участие
программистов
Аудируется любое количество
приложений
Возможность добавлять
пользовательские образцы
Реализация в виде веб-сервиса
Public/Private Cloud
Традиционные средства разработки: Java,
JavaScript, PHP, Cobol,
C/С++, T-SQL, .NET (VB, C#, ASP), Delphi,
Objective C, Python, Ruby…
Традиционные бизнес-платформы: ABAP4
(SAP), PL/SQL (Oracle), LotusScript (IBM Lotus
Notes), 1С ver 7 и 8, Microsoft Dynamics
(X++), …
Проприетарные языки и скрипты
приложений, в т.ч. российских (БОСС,
Directum, Atlantis, …)
Любая платформа на заказ (нормализатор +
10 TOP-уязвимостей) – 1 месяц
ВОПРОСЫ, ПОЖАЛУЙСТА!
Рустэм Хайретдинов
Appercut Security
[email protected]
+7(903)961-7312
www.appercut.com