solar incode – системаанализа программного кода на наличие...
TRANSCRIPT
3 мая, 2023
Solar inCode – системаанализа программного
кодана наличие уязвимостей ИБ
Чернов ДаниилРуководитель направления
Application Security
solarsecurity.ru +7 (499) 755-07-70 2
Статистика за 2014 год
Более 75% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты
Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2014 год
SQLi – 8,4% из всех атак за прошедший 2014 год
solarsecurity.ru +7 (499) 755-07-70
solarsecurity.ru +7 (499) 755-07-70 4
Проблематика
Уровень безопасности 1.8 из 5
Уровень безопасности 1.2 из 5
Уровень безопасности 1.2 из 5
Уровень безопасности 0,9 из 5
solarsecurity.ru +7 (499) 755-07-70 5
Откуда берутся уязвимости
Культура разработки – разработчик не уделяет внимания: Языковым конструкциям, которые использует Коду, который используется как сторонний Безопасности связей между компонентами, которые
разрабатывает
Недостаток времени: Техническое задание разрабатывается быстро Программное обеспечение разработается быстро:
задержка в разработке – потеря денег
Можно удовлетворить только два из трех желаний: быстро, качественно и недорого
ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
solarsecurity.ru +7 (499) 755-07-70 6
Сканеры кода
HP Fortify
IBM Appscan Source
Checkmarx
Infowatch Appercut
solarsecurity.ru +7 (499) 755-07-70 7
Радости жизни безопасника
Получить исходный код у разработчиков – EPIC WIN
Убедиться, что код «собирается в проект» и не имеет «неразрешенных зависимостей»
Проверить код: корректно запустить скан Суметь понять, что написано в отчете Донести до разработчиков все найденные
косяки и объяснить их понятным языком
solarsecurity.ru +7 (499) 755-07-70 8
Наши люди
Сильный научный бэкграунд: опыт работы в институте системного программирования, диссертации по теме
2.5 года работы в команде HP Fortify (США)
Тематические статьи и публикации
Выступления на международных конференциях: Москва, Монреаль, Вашингтон
solarsecurity.ru +7 (499) 755-07-70
Solar inCode – сканер программного кода
• выдает детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации
Понятные рекомендации
• выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall
Настройка средств защиты
• умеет работать без исходных кодов. Это значит, что безопасник не клянчит исходники у разработчиков, а может получить скомпилированные файлы для анализа у админа или скачать мобильные приложения с Google Play или AppStore.
Практичность и удобство
solarsecurity.ru +7 (499) 755-07-70 10
Архитектура inCode
Даниил ЧерновРуководитель направления
Application Securitywww.solarsecurity.ru