PT Application
Inspector

PT Application Inspector — анализатор защищенности исходного кода приложений. Результатом работы PT AI является генерация эксплойтов, которые демонстрируют риски уязвимостей на практических примерах, что позволяет межсетевому экрану блокировать атаки до исправления кода, а разработчикам — ускорить исправление кода на самых ранних стадиях разработки.

Ключевые задачи

Серьезный бизнес в наши дни сложно представить без современного программного обеспечения. Однако с ростом количества программ растет и количество уязвимостей. В ходе исследований компании Positive Technologies выяснилось, что в 2014 году внешний нарушитель из интернета был способен получить доступ к узлам внутренней сети 87 % крупных компаний, хотя в 2011—2012 годах это было возможно лишь в 74 % систем. При этом большинство уязвимостей можно выявить задолго до атаки, а изучение исходного кода приложений позволяет обнаружить в 10 раз больше критически опасных уязвимостей, чем тестирование систем без анализа кода.

Последние нормативы регулирующих организаций, таких как Банк России, ФСТЭК и PCI Council, в области безопасности платежных приложений, государственных информационных систем и систем персональных данных требуют выявления и устранения уязвимостей. Решение этих задач в организациях, использующих сотни копий различного ПО, невозможно без автоматизации. Однако предлагавшиеся до сих пор решения имеют ряд недостатков:

  • Инструменты статического анализа показывают не конкретные проблемы безопасности, а ошибки программирования, что приводит к огромному количеству ложных срабатываний и дополнительным трудозатратам на проверку.
  • Ряд уязвимостей невозможно определить методом статического анализа кода (SAST), поскольку эти уязвимости проявляются только во время исполнения программ.
  • Метод динамического анализа (DAST) требует развертывания систем, что в случае масштабных корпоративных приложений ведет к дополнительным расходам. Этим методом нельзя выявить уязвимости на этапе разработки, зато можно привести к сбою уже работающее приложение. DAST требует очень много времени на тесты, но при этом покрывает лишь 30 % кода.

Где применяется PT Application Inspector?

PT Application Inspector может использоваться для обеспечения безопасности приложений любых масштабов — от корпоративного сайта до облачных сервисов и систем электронного правительства.

  • Банки и финансовые учреждения
    Банки используют множество критически важных приложений, которые используются как клиентами, так и их партнерами (ДБО, CRM, приложения для трейдинга). Зачастую в подобных приложениях существуют уязвимости высокой степени риска, связанные с ошибками в коде, недостатками конфигурации. Внесение изменений в крупные системы управления финансовой деятельностью иногда требует больших временных затрат. Непрерывная работа практически не оставляет возможности для установки актуальных обновлений безопасности. Они представляют большой интерес для злоумышленников: на них совершаются автоматизированные и ручные атаки. Происходят также атаки на клиентов банковских приложений.
  • Сертифицирующие органы
    При сертификации защитного ПО испытательные лаборатории должны соблюдать предписания регулирующих организаций. Последние нормативы ФСТЭК обязывают контролировать отсутствие угроз НДВ в ПО («функциональных возможностей средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации») и обнаруживать недостатки в защищенности. Вовремя не обнаруженные ошибки кода и конфигурации, слабые механизмы аутентификации и другие внутренние недостатки системы могут быть использованы злоумышленниками.
  • Инженерные сети и коммуникации
    В основе любого современного предприятия лежит ERP-система, при помощи которой осуществляются бухгалтерский учет, управление, контроль поставок и многие другие процессы. Такие системы часто имеют доступ в интернет (например, SRM, CRM и HCM) и связаны через интеграционные шлюзы. Системы часто обслуживаются компаниями-посредниками и контролируются удаленно, а механизмы их защиты ослаблены для упрощения эксплуатации. Разработчики кода бизнес-приложений больше заботятся о функциональности, чем о безопасности. Такие системы часто подвергаются специфической модификации и адаптации к нуждам заказчика. Требования к непрерывности работы подобных систем практически не оставляют возможности для разработки и установки актуальных обновлений безопасности.

Иллюстрация работы

В системе PT Application Inspector реализован уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также использующий огромную базу знаний уязвимостей, накопленную экспертами Positive Technologies. Для проведения глубокого анализа вам нужен только исходный код, и проверять его можно по частям. Это позволяет использовать PT AI как в ходе разработки, так и для приложений, находящихся в эксплуатации. Уникальная технология динамического анализа комбинирует символьные вычисления и интерактивную трассировку части приложения в виртуальной «песочнице», что дает возможность обрабатывать динамические зависимости, раскрывать функции и классы, специфичные для библиотек и фреймворков, и строить поток данных, влияющий на бизнес-логику приложения. Модуль абстрактной интерпретации генерирует эксплойты, т. е. специальные запросы, которые позволяют моментально проверять уязвимости, подготавливать юнит-тесты для разработчиков, а при использовании PT Application Firewall — блокировать атаки даже без исправления кода приложения. Такой подход помогает значительно снизить затраты на программы обеспечения безопасности приложений любых масштабов — от корпоративного сайта до облачных сервисов и систем электронного правительства.

Преимущества для разработчиков

Простота и безопасность тестирования. Не нужно устанавливать и настраивать приложение для тестирования, а затем восстанавливать его, как бывает в случае «живых» тестов. Для работы PT Application Inspector достаточно указать каталог, содержащий код приложения или даже часть кода.

Адаптация. PT Application Inspector легко адаптируется к логике работы ваших приложений, поэтому способен выявлять недостатки, характерные для каждого конкретного приложения.

Встроенная база знаний стороннего ПО. PT Application Inspector анализирует элементы сторонних программ (в том числе с открытым кодом), которые используются в ваших приложениях.

Выявление симптомов. PT Application Inspector можно настроить как на поиск самих уязвимостей, так и на поиск признаков уязвимостей, что позволяет предотвратить реализацию скрытых угроз.

Показать особенности
Остались вопросы?

Воспользуйтесь формой обратной связи
или позвоните нам по телефону:

+7 (495) 744-01-44
Имя
Электронная почта
Сообщение
Спасибо!

Вы также можете связаться с нами
по телефону:

+7 (495) 744-01-44 Задать другой вопрос
Преимущества
  • Высокая эффективность

За счет комбинации DAST, SAST и IAST, анализа контекста и конфигураций серверов и приложений PT Application Inspector дает в среднем на 75 % меньше ложных срабатываний, чем аналогичные продукты. Это радикально снижает затраты экспертов на ручную проверку результатов.

  • Раннее выявление

PT Application Inspector может анализировать код на самых ранних стадиях разработки. Команды контроля качества оповещаются о небезопасном коде до того, как его начнут эксплуатировать, что снижает риски атак и стоимость проверки соответствия стандартам безопасности.

  • Немедленная защита

Эксплойты, которые генерирует PT Application Inspector, позволяют межсетевому экрану создавать виртуальные исправления и защищать приложения, пока разработчики будут устранять уязвимости ПО.

  • Единое решение

PT AI работает со множеством платформ и языков, включая PHP, Java, .NET, SAP ABAP, HTML, JavaScript и SQL, а также со всеми типами уязвимостей приложений, включая SQLi, XSS и XXE.

  • Выявление признаков НДВ

Адаптация PT AI к бизнес-логике приложения позволяет выявлять закладки, оставленные в коде разработчиками или хакерами.

Новости продукта
23 мая 2016
Эксперты Positive Technologies расскажут о всех тонкостях работы с такими продуктами, как MaxPatr...
11 января 2016
Прошлый год оказался богат на инциденты информационной безопасности. Кибертерроризм, шпионаж, мас...