solar incode – системаанализа программного кода на наличие...
TRANSCRIPT
1 мая, 2023
Solar inCode – системаанализа программного кодана наличие уязвимостей ИБ
Чернов ДаниилCISA, CISSP
Руководитель НаправленияApplication Security
solarsecurity.ru +7 (499) 755-07-70 2
На острие технологии
solarsecurity.ru +7 (499) 755-07-70
По рзелульаттам илссеовадний одонго анлигйскго унвиертсиета, не иеемт занчнеия, в кокам пряокде рсапожолены бкувы в солве. Галвоне, чотбы преавя и пслоендяя бквуы блыи на мсете. Осатльлыне бкувы мгоут селдовтаь в плоонм бсепордяке, все-рвано ткест чтаитсея без порблелм. Пичрионй эгоото ялвятеся то, что мы не чиатем кдаужю бкуву по отдльенотси, а все солво цликеом.
Иногда ошибке в тексте не критичны
solarsecurity.ru +7 (499) 755-07-70
В больнице, на кровати, лежит человек ,весь замотанный бинтами и диктует письмо: - Уважаемый господин редактор! Спешу сообщить вам, что в вашем самоучителе по прыжкам с парашютом на пятой странице есть опечатка!
Но могут обойтись дорого…
solarsecurity.ru +7 (499) 755-07-70 5
Откуда берутся уязвимости
Культура разработки – разработчик не уделяет внимания: Языковым конструкциям, которые использует Коду, который используется как сторонний Безопасности связей между компонентами, которые
разрабатывает
Недостаток времени: Техническое задание разрабатывается быстро Программное обеспечение разработается быстро:
задержка в разработке – потеря денег
Можно удовлетворить только два из трех желаний: быстро, качественно и недорого
ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
solarsecurity.ru +7 (499) 755-07-70 6
Статистика за 2014 год
Более 70% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты
Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2014 год
SQLi – 8,4% из всех атак за прошедший 2014 год
solarsecurity.ru +7 (499) 755-07-70 7
Сложности
Получить исходный код у разработчиков Убедиться, что код «собирается в проект» и не
имеет «неразрешенных зависимостей» Проверить код: корректно запустить скан Суметь понять, что написано в отчете Донести до разработчиков все найденные
уязвимости и объяснить их понятным языком
solarsecurity.ru +7 (499) 755-07-70
Solar inCode – сканер программного кода
• выдает детальные рекомендации по устранению уязвимостей̆ кода на русском языке с описанием способов их эксплуатации
Понятные рекомендации
• выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall
Настройка средств защиты
• умеет работать без исходных кодов. Это значит, что не надо просить исходные коды у разработчиков, а можно получить скомпилированные файлы для анализа у системного администратора или скачать мобильные приложения с Google Play или AppStore.
Практичность и удобство
solarsecurity.ru +7 (499) 755-07-70 9
Обзор функциональности
Статический анализJava, Scala: Web-приложения, AndroidБинарный анализ: Android, jar, war, В разработке: PHP, iOSПланы: C#/, PL/SQL, Javascript
Рекомендации по настройке наложенных средств защитыПотенциальные НДВИнтеграция с репозиториемЗагрузка apk по url (Google Play) Выгрузка отчётов (pdf, html)
solarsecurity.ru +7 (499) 755-07-70
Solar inCode – цена, опыт внедрения
• От 3М рублей
Стоимость
• Банк Балтика• Банк Образование• Мсофт (дочерняя компания Маском)• Яндекс.Деньги
Пользователи
solarsecurity.ru +7 (499) 755-07-70 11
Архитектура inCode
solarsecurity.ru +7 (499) 755-07-70 12
Road Map ближайшего развития
Декабрь 2015 года анализ РНР и Objective C (iOS) по
исходным кодам. Рекомендации для наложенных СЗИ
(Cisco, Checkpoint)Q1|Q2 2016
Анализ C#, JavaScript, PL/SQLанализ Objective C (iOS) при отсутствии
исходных кодов
solarsecurity.ru +7 (499) 755-07-70 13
Облачный сервис
В рамках JSOC реализован также облачный сервис Solar inCode
solarsecurity.ru +7 (499) 755-07-70
Ваши вопросы