solar incode – системаанализа программного кода на наличие...
TRANSCRIPT
![Page 1: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/1.jpg)
1 мая, 2023
Solar inCode – системаанализа программного кодана наличие уязвимостей ИБ
Чернов ДаниилCISA, CISSP
Руководитель НаправленияApplication Security
![Page 2: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/2.jpg)
solarsecurity.ru +7 (499) 755-07-70 2
На острие технологии
![Page 3: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/3.jpg)
solarsecurity.ru +7 (499) 755-07-70
По рзелульаттам илссеовадний одонго анлигйскго унвиертсиета, не иеемт занчнеия, в кокам пряокде рсапожолены бкувы в солве. Галвоне, чотбы преавя и пслоендяя бквуы блыи на мсете. Осатльлыне бкувы мгоут селдовтаь в плоонм бсепордяке, все-рвано ткест чтаитсея без порблелм. Пичрионй эгоото ялвятеся то, что мы не чиатем кдаужю бкуву по отдльенотси, а все солво цликеом.
Иногда ошибке в тексте не критичны
![Page 4: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/4.jpg)
solarsecurity.ru +7 (499) 755-07-70
В больнице, на кровати, лежит человек ,весь замотанный бинтами и диктует письмо: - Уважаемый господин редактор! Спешу сообщить вам, что в вашем самоучителе по прыжкам с парашютом на пятой странице есть опечатка!
Но могут обойтись дорого…
![Page 5: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/5.jpg)
solarsecurity.ru +7 (499) 755-07-70 5
Откуда берутся уязвимости
Культура разработки – разработчик не уделяет внимания: Языковым конструкциям, которые использует Коду, который используется как сторонний Безопасности связей между компонентами, которые
разрабатывает
Недостаток времени: Техническое задание разрабатывается быстро Программное обеспечение разработается быстро:
задержка в разработке – потеря денег
Можно удовлетворить только два из трех желаний: быстро, качественно и недорого
ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
![Page 6: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/6.jpg)
solarsecurity.ru +7 (499) 755-07-70 6
Статистика за 2014 год
Более 70% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты
Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2014 год
SQLi – 8,4% из всех атак за прошедший 2014 год
![Page 7: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/7.jpg)
solarsecurity.ru +7 (499) 755-07-70 7
Сложности
Получить исходный код у разработчиков Убедиться, что код «собирается в проект» и не
имеет «неразрешенных зависимостей» Проверить код: корректно запустить скан Суметь понять, что написано в отчете Донести до разработчиков все найденные
уязвимости и объяснить их понятным языком
![Page 8: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/8.jpg)
solarsecurity.ru +7 (499) 755-07-70
Solar inCode – сканер программного кода
• выдает детальные рекомендации по устранению уязвимостей̆ кода на русском языке с описанием способов их эксплуатации
Понятные рекомендации
• выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall
Настройка средств защиты
• умеет работать без исходных кодов. Это значит, что не надо просить исходные коды у разработчиков, а можно получить скомпилированные файлы для анализа у системного администратора или скачать мобильные приложения с Google Play или AppStore.
Практичность и удобство
![Page 9: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/9.jpg)
solarsecurity.ru +7 (499) 755-07-70 9
Обзор функциональности
Статический анализJava, Scala: Web-приложения, AndroidБинарный анализ: Android, jar, war, В разработке: PHP, iOSПланы: C#/, PL/SQL, Javascript
Рекомендации по настройке наложенных средств защитыПотенциальные НДВИнтеграция с репозиториемЗагрузка apk по url (Google Play) Выгрузка отчётов (pdf, html)
![Page 10: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/10.jpg)
solarsecurity.ru +7 (499) 755-07-70
Solar inCode – цена, опыт внедрения
• От 3М рублей
Стоимость
• Банк Балтика• Банк Образование• Мсофт (дочерняя компания Маском)• Яндекс.Деньги
Пользователи
![Page 11: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/11.jpg)
solarsecurity.ru +7 (499) 755-07-70 11
Архитектура inCode
![Page 12: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/12.jpg)
solarsecurity.ru +7 (499) 755-07-70 12
Road Map ближайшего развития
Декабрь 2015 года анализ РНР и Objective C (iOS) по
исходным кодам. Рекомендации для наложенных СЗИ
(Cisco, Checkpoint)Q1|Q2 2016
Анализ C#, JavaScript, PL/SQLанализ Objective C (iOS) при отсутствии
исходных кодов
![Page 13: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/13.jpg)
solarsecurity.ru +7 (499) 755-07-70 13
Облачный сервис
В рамках JSOC реализован также облачный сервис Solar inCode
![Page 14: Solar inCode – системаанализа программного кода на наличие уязвимостей ИБ](https://reader034.vdocuments.net/reader034/viewer/2022042604/589acc351a28abcf058b7073/html5/thumbnails/14.jpg)
solarsecurity.ru +7 (499) 755-07-70
Ваши вопросы