1 мая, 2023

Solar inCode – системаанализа программного кодана наличие уязвимостей ИБ

Чернов ДаниилCISA, CISSP

Руководитель НаправленияApplication Security

solarsecurity.ru +7 (499) 755-07-70 2

На острие технологии

solarsecurity.ru +7 (499) 755-07-70

По рзелульаттам илссеовадний одонго анлигйскго унвиертсиета, не иеемт занчнеия, в кокам пряокде рсапожолены бкувы в солве. Галвоне, чотбы преавя и пслоендяя бквуы блыи на мсете. Осатльлыне бкувы мгоут селдовтаь в плоонм бсепордяке, все-рвано ткест чтаитсея без порблелм. Пичрионй эгоото ялвятеся то, что мы не чиатем кдаужю бкуву по отдльенотси, а все солво цликеом.

Иногда ошибке в тексте не критичны

solarsecurity.ru +7 (499) 755-07-70

В больнице, на кровати, лежит человек ,весь замотанный бинтами и диктует письмо: - Уважаемый господин редактор! Спешу сообщить вам, что в вашем самоучителе по прыжкам с парашютом на пятой странице есть опечатка!

Но могут обойтись дорого…

solarsecurity.ru +7 (499) 755-07-70 5

Откуда берутся уязвимости

Культура разработки – разработчик не уделяет внимания: Языковым конструкциям, которые использует Коду, который используется как сторонний Безопасности связей между компонентами, которые

разрабатывает

Недостаток времени: Техническое задание разрабатывается быстро Программное обеспечение разработается быстро:

задержка в разработке – потеря денег

Можно удовлетворить только два из трех желаний: быстро, качественно и недорого

ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО

solarsecurity.ru +7 (499) 755-07-70 6

Статистика за 2014 год

Более 70% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты

Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2014 год

SQLi – 8,4% из всех атак за прошедший 2014 год

solarsecurity.ru +7 (499) 755-07-70 7

Сложности

Получить исходный код у разработчиков Убедиться, что код «собирается в проект» и не

имеет «неразрешенных зависимостей» Проверить код: корректно запустить скан Суметь понять, что написано в отчете Донести до разработчиков все найденные

уязвимости и объяснить их понятным языком

solarsecurity.ru +7 (499) 755-07-70

Solar inCode – сканер программного кода

• выдает детальные рекомендации по устранению уязвимостей̆ кода на русском языке с описанием способов их эксплуатации

Понятные рекомендации

• выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall

Настройка средств защиты

• умеет работать без исходных кодов. Это значит, что не надо просить исходные коды у разработчиков, а можно получить скомпилированные файлы для анализа у системного администратора или скачать мобильные приложения с Google Play или AppStore.

Практичность и удобство

solarsecurity.ru +7 (499) 755-07-70 9

Обзор функциональности

Статический анализJava, Scala: Web-приложения, AndroidБинарный анализ: Android, jar, war, В разработке: PHP, iOSПланы: C#/, PL/SQL, Javascript

Рекомендации по настройке наложенных средств защитыПотенциальные НДВИнтеграция с репозиториемЗагрузка apk по url (Google Play) Выгрузка отчётов (pdf, html)

solarsecurity.ru +7 (499) 755-07-70

Solar inCode – цена, опыт внедрения

• От 3М рублей

Стоимость

• Банк Балтика• Банк Образование• Мсофт (дочерняя компания Маском)• Яндекс.Деньги

Пользователи

solarsecurity.ru +7 (499) 755-07-70 11

Архитектура inCode

solarsecurity.ru +7 (499) 755-07-70 12

Road Map ближайшего развития

Декабрь 2015 года анализ РНР и Objective C (iOS) по

исходным кодам. Рекомендации для наложенных СЗИ

(Cisco, Checkpoint)Q1|Q2 2016

Анализ C#,  JavaScript, PL/SQLанализ Objective C (iOS) при отсутствии

исходных кодов  

solarsecurity.ru +7 (499) 755-07-70 13

Облачный сервис

В рамках JSOC реализован также облачный сервис Solar inCode

solarsecurity.ru +7 (499) 755-07-70

Ваши вопросы