Upload
solar-security
View
126
Download
5
Embed Size (px)
Citation preview
1 мая, 2023
Solar inCode: в поисках уязвимостей
Чернов ДаниилCISA, CISSP
Руководитель НаправленияApplication Security
solarsecurity.ru +7 (499) 755-07-70 3
Особенности разработки приложений с точки зрения ИБ
Дыры в софте:
Уязвимости
Недекларированные возможности (закладки)
solarsecurity.ru +7 (499) 755-07-70 5
Технологии Solar inCode
Бинарный анализ Деобфускация Декомпиляция Fuzzy Logic Engine
solarsecurity.ru +7 (499) 755-07-70 6
Откуда берутся уязвимости
Культура разработки – разработчик не уделяет внимания: Языковым конструкциям, которые использует Коду, который используется как сторонний Безопасности связей между компонентами, которые
разрабатывает
Недостаток времени: Техническое задание разрабатывается быстро Программное обеспечение разработается быстро:
задержка в разработке – потеря денег
Можно удовлетворить только два из трех желаний: быстро, качественно и недорого
ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
solarsecurity.ru +7 (499) 755-07-70 7
Статистика за 2015 год
Более 75% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты
Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2015 год
SQLi – 8,4% из всех атак за прошедший 2015 год
solarsecurity.ru +7 (499) 755-07-70 9
Продукты для статического анализа кода
IBM Security AppScan Source
APPERCUT
HP Fortify Static Code Analyzer
Checkmarx Static Code Analysis
PT Application Inspector
Solar inCode
solarsecurity.ru +7 (499) 755-07-70 10
Сложности
Получить исходный код у разработчиков Убедиться, что код «собирается в проект» и не
имеет «неразрешенных зависимостей» Проверить код: корректно запустить скан Суметь понять, что написано в отчете Донести до разработчиков все найденные
уязвимости и объяснить их понятным языком
solarsecurity.ru +7 (499) 755-07-70
Solar inCode – сканер программного кода
Практичность и удобство
• умеет работать без исходных кодов. Это значит, что не надо просить исходные коды у разработчиков, а можно получить скомпилированные файлы для анализа у системного администратора или скачать мобильные приложения с Google Play или AppStore.
Настройка средств защиты
• выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall
Понятные рекомендации
• выдает детальные рекомендации по устранению уязвимостей̆ кода на русском языке с описанием способов их эксплуатации
9
solarsecurity.ru +7 (499) 755-07-70 13
Обзор функциональности
Статический анализJava, Scala, PHP, Android, iOS, С#, PHP, PL/SQLБинарный анализ: Android, iOS, jar, war
Рекомендации по настройке наложенных средств защиты
Потенциальные НДВИнтеграция с репозиториемЗагрузка мобильных приложенийВыгрузка отчётов (pdf, html)
Даниил ЧерновРуководитель направления
Application Securitywww.solarsecurity.ru