Контакты
Подписка
МЕНЮ
Контакты
Подписка

Безопасность заказных приложений

Безопасность заказных приложений

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность заказных приложений

После того как DLP-системы помогли навести порядок с использованием корпоративной информации рядовыми сотрудниками, компании принялись за привилегированных пользователей – менее многочисленных, но гораздо более опасных с точки зрения возможного нанесения ущерба. Среди таких пользователей особое место занимают разработчики автоматизированных бизнес-систем.
Рустэм Хайретдинов
Заместитель генерального директора ГК InfoWatch,
генеральный директор Appercut Security

В отличие от тиражного программного обеспечения, бизнес-системы не подразумевают разработку "от версии к версии" с фиксированным ТЗ, широким бета-тестированием и выпуском патчей. Новые функции, появляющиеся как планово, так и по требованию бизнеса или регулятора, после непродолжительной обкатки функционала в тестовой зоне сразу ставятся в продуктивное использование.

До недавнего времени риски небезопасной разработки в бизнес-приложениях считались неустранимыми. Разработчики всегда являлись доверенными потому, что не было возможности просто и быстро проверить качество их кода.

Инструменты контроля качества исходного кода считались дорогими и доступными лишь крупнейшим разработчикам тиражного ПО. Да и сильно помочь такие решения не могли – большинство случаев некорректного программирования в бизнес-системах являются не ошибками кодирования, а неправильной программной реализацией бизнес-процессов, другими словами – application-specific vulnerabilities. Бизнес-приложения часто еще и пишутся на встроенных языках платформ 1С, SAP R/3, Oracle EBS, IBM Lotus Notes, MS Dynamics и других, сканеров для которых часто просто нет.

InfoWatch Appercut – система анализа кода бизнес-приложений для защиты от закладок и недокументированных возможностей.

  • Автоматизирует анализ кода бизнес-приложений.
  • Содержит регулярно пополняемую базу данных шаблонов закладок и "заточена" на их выявление.
  • Учитывает специфику архитектуры приложения и бизнес-процессов.

С прошлого года компания InfoWatch предлагает заказчикам решение, сфокусированное на контроле требований к качеству исходного кода заказных бизнес-систем. Компания Appercut Security, влившаяся в ГК InfoWatch, предложила решение, позволяющее контролировать еще один источник внутренних угроз – собственных или контрактных программистов. Разработчики Appercut исходили из того, что, поскольку программирование не основной бизнес заказчиков, то сложные и часто избыточные для такой задачи промышленные сканеры недоступны им не только из-за цены, но и из-за требований к наличию экспертов, обслуживающих такие системы.

Преимущество InfoWatch Appercut

Решение InfoWatch Appercut отличается простотой и не требует наличия в штате экспертов по аудиту исходного кода. Набор требований к исходному коду формализован в базе знаний, которая пополняется экспертами Appercut и партнерами с возможностью пополнения и самим заказчиком. Образцы некорректного программирования ищутся в потоке исходного кода технологиями, заимствованными из DLP, точно так же, как ищутся в потоке электронной почты запрещенные к пересылке цитаты. Отчет о найденном совпадении с образцом некорректного программирования содержит описание причин опасности использования такого кода и рекомендации по его исправлению без изменения функционала, что делает такой отчет практически готовым ТЗ на доработку программы.

Выбор заказчиков

Десятки клиентов из госструктур, банков и промышленных компаний уже оценили простоту и удобство такого решения. Сервис начинает сканирование сразу после запуска "as is" и не требует многомесячного изменения процессов разработки и встраивания в эти процессы. Не претендуя на 100%-ный результат (в статическом анализе он и не достижим), решение дает возможность просто и эффективно контролировать требования регуляторов, лучшие практики от производителей платформ, основные классы уязвимостей (OWASP Top 10), правила вызова внешних сервисов и другие критичные некорректности кода. Поддерживается более 20 языков программирования, применяющихся при бизнес-программировании.

Расширяя линейку инновационных средств по противодействию внутренним угрозам, ГК InfoWatch планирует сделать данное решение доступным всем заинтересованным компаниям. Крупным заказчикам с большим количеством своего кода и разнообразием языков продукт InfoWatch Appercut будет доступен через широкую партнерскую сеть InfoWatch, а небольшие компании с парой приходящих 1С- и PHP-программистов смогут пользоваться Web-сервисом по модели SaaS. Контроль еще одной внутренней угрозы станет доступен любой компании.

INFOWATCH
123022 Москва,
ул. 2-я Звенигородская, 13, стр. 41
Тел.: (495) 229-0022
E-mail: info@infowatch.ru
www.infowatch.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013

Приобрести этот номер или подписаться

Статьи про теме