Embed Size (px)
Citation preview
PT Application Inspector
Сергей Гордейчик
технический директор
О компании
10+ лет, 300+ сотрудников/1000+ клиентов
ОфисыMoscow & Saint-Petersburg, Russia/London, UKDubai, UAE/Seoul, Korea/Tunis, Tunisia/Rome, Italy/Mumbai, India
Лидирующие продукты и сервисыMaxPatrol XSpider Анализ защищенности
Крупнейший исследовательский центр в Европе
• 100+ новых уязвимостей 0-day ежегодно
Мы помогаем индустрии стать безопасней
Тенденции ИТ
Высокая мобильность, BYOD, доступ к информации из любой точки вселенной
Решение
Использование Web-технологий, мобильных система
Все через Web:
• Почта
• Порталы
• Доступ к ERP
• VPN
• …
Перенос клиентских сервисов в Web:
• онлайн-магазины
• интернет-банкинг
• электронное правительство
• порталы госуслуг
А атаки?
Verizon 2013 Data Breach Investigations Report
Регуляторы
Раздел 6 PCI DSS
Раздел 7.3.5 СТО БР ИББС 1.0
Приказ ФСТЭК России №17
Требования по НДВ
Новые инициативы Банка России
Сложность обнаружения уязвимостей
Для взлома достаточно найти одну «дыру»
Для защиты нужно устранять (почти) все
Сложность современных приложений
Высокая динамика внесения изменений
Результат
Анализ безопасности проводится редко
• Однократно, при приемке…или после инцидента…
Подмена поиска уязвимостей тестированием функций защиты
PT – автоматизация анализа защищенности
Сканер безопасности Web-приложений в режиме «черного ящика»
• Входит в состав XSpider/MaxPatrol с 2005 года, в 2013 полностью обновлен
Система статического/динамического и интерактивного анализа исходных кодов PT AI
Наш подход
Основные принципы
Безопасный и быстрый анализ
Поиск уязвимостей, а не «проблем кода»
Комбинация статического, динамического и интерактивного анализа
Простота конфигурирования (режим Big Red Button)
Масштабируемость под различные языки и платформы
Не ищем общий подход, решаем частные задачи
Генерация эксплойта
Классы уязвимостей
WASC/OWASP
• XSS/SQLi/XXE/…
Собственные наработки
Платформозависимые уязвимости
Признаки НДВ
Ограничения
RBAC
Сложные функциональные уязвимости
Что такое НДВ?
«Закладка»!
Генерация эксплойтов
Автоматическая генерация возможных векторов атак
Учёт механизмов фильтрации и островных грамматик
Результат
Облегчение процесса тестирования
Необязательно понимать код
Автоматизированная верификация
Интеграция с средствами защиты
Все вместе
Редакции
Базовая
- Основные языки клиент-серверной и Web-разработки (Java, .NET, PHP, T-SQL, PL/SQL, JavaScript, XML, HTML…)
ERP
- SAP ABAP и SAP Java
- Oracle EBS Java, Oracle EBS PL/SQL
Mobile
- Android Java
- Windows Mobile .NET
- Objective-C
Спасибо!
http://sgordey.blogspot.com
