В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
В отличие от тиражного программного обеспечения, бизнес-системы не подразумевают разработку "от версии к версии" с фиксированным ТЗ, широким бета-тестированием и выпуском патчей. Новые функции, появляющиеся как планово, так и по требованию бизнеса или регулятора, после непродолжительной обкатки функционала в тестовой зоне сразу ставятся в продуктивное использование.
До недавнего времени риски небезопасной разработки в бизнес-приложениях считались неустранимыми. Разработчики всегда являлись доверенными потому, что не было возможности просто и быстро проверить качество их кода.
Инструменты контроля качества исходного кода считались дорогими и доступными лишь крупнейшим разработчикам тиражного ПО. Да и сильно помочь такие решения не могли – большинство случаев некорректного программирования в бизнес-системах являются не ошибками кодирования, а неправильной программной реализацией бизнес-процессов, другими словами – application-specific vulnerabilities. Бизнес-приложения часто еще и пишутся на встроенных языках платформ 1С, SAP R/3, Oracle EBS, IBM Lotus Notes, MS Dynamics и других, сканеров для которых часто просто нет.
InfoWatch Appercut – система анализа кода бизнес-приложений для защиты от закладок и недокументированных возможностей.
С прошлого года компания InfoWatch предлагает заказчикам решение, сфокусированное на контроле требований к качеству исходного кода заказных бизнес-систем. Компания Appercut Security, влившаяся в ГК InfoWatch, предложила решение, позволяющее контролировать еще один источник внутренних угроз – собственных или контрактных программистов. Разработчики Appercut исходили из того, что, поскольку программирование не основной бизнес заказчиков, то сложные и часто избыточные для такой задачи промышленные сканеры недоступны им не только из-за цены, но и из-за требований к наличию экспертов, обслуживающих такие системы.
Решение InfoWatch Appercut отличается простотой и не требует наличия в штате экспертов по аудиту исходного кода. Набор требований к исходному коду формализован в базе знаний, которая пополняется экспертами Appercut и партнерами с возможностью пополнения и самим заказчиком. Образцы некорректного программирования ищутся в потоке исходного кода технологиями, заимствованными из DLP, точно так же, как ищутся в потоке электронной почты запрещенные к пересылке цитаты. Отчет о найденном совпадении с образцом некорректного программирования содержит описание причин опасности использования такого кода и рекомендации по его исправлению без изменения функционала, что делает такой отчет практически готовым ТЗ на доработку программы.
Десятки клиентов из госструктур, банков и промышленных компаний уже оценили простоту и удобство такого решения. Сервис начинает сканирование сразу после запуска "as is" и не требует многомесячного изменения процессов разработки и встраивания в эти процессы. Не претендуя на 100%-ный результат (в статическом анализе он и не достижим), решение дает возможность просто и эффективно контролировать требования регуляторов, лучшие практики от производителей платформ, основные классы уязвимостей (OWASP Top 10), правила вызова внешних сервисов и другие критичные некорректности кода. Поддерживается более 20 языков программирования, применяющихся при бизнес-программировании.
Расширяя линейку инновационных средств по противодействию внутренним угрозам, ГК InfoWatch планирует сделать данное решение доступным всем заинтересованным компаниям. Крупным заказчикам с большим количеством своего кода и разнообразием языков продукт InfoWatch Appercut будет доступен через широкую партнерскую сеть InfoWatch, а небольшие компании с парой приходящих 1С- и PHP-программистов смогут пользоваться Web-сервисом по модели SaaS. Контроль еще одной внутренней угрозы станет доступен любой компании.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2013