Top Banner
Solar inCode: в поисках уязвимостей 22.1.22 Чернов Даниил CISA, CISSP Руководитель Направления Application Security
16

Solar in code: в поисках уязвимостей

Feb 08, 2017

Download

Software

Solar Security
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Page 1: Solar in code: в поисках уязвимостей

1 мая, 2023

Solar inCode: в поисках уязвимостей

Чернов ДаниилCISA, CISSP

Руководитель НаправленияApplication Security

Page 2: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 2

На острие технологии

Page 3: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 3

Особенности разработки приложений с точки зрения ИБ

Дыры в софте:

Уязвимости

Недекларированные возможности (закладки)

Page 4: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 4

Как проверить софт?

Динамический анализ

Статический анализ

Page 5: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 5

Технологии Solar inCode

Бинарный анализ Деобфускация Декомпиляция Fuzzy Logic Engine

Page 6: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 6

Откуда берутся уязвимости

Культура разработки – разработчик не уделяет внимания: Языковым конструкциям, которые использует Коду, который используется как сторонний Безопасности связей между компонентами, которые

разрабатывает

Недостаток времени: Техническое задание разрабатывается быстро Программное обеспечение разработается быстро:

задержка в разработке – потеря денег

Можно удовлетворить только два из трех желаний: быстро, качественно и недорого

ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО

Page 7: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 7

Статистика за 2015 год

Более 75% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты

Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2015 год

SQLi – 8,4% из всех атак за прошедший 2015 год

Page 8: Solar in code: в поисках уязвимостей
Page 9: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 9

Продукты для статического анализа кода

IBM Security AppScan Source

APPERCUT

HP Fortify Static Code Analyzer

Checkmarx Static Code Analysis

PT Application Inspector

Solar inCode

Page 10: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 10

Сложности

Получить исходный код у разработчиков Убедиться, что код «собирается в проект» и не

имеет «неразрешенных зависимостей» Проверить код: корректно запустить скан Суметь понять, что написано в отчете Донести до разработчиков все найденные

уязвимости и объяснить их понятным языком

Page 11: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70

Solar inCode – сканер программного кода

Практичность и удобство

• умеет работать без исходных кодов. Это значит, что не надо просить исходные коды у разработчиков, а можно получить скомпилированные файлы для анализа у системного администратора или скачать мобильные приложения с Google Play или AppStore.

Настройка средств защиты

• выдает детальные рекомендации по настройке наложенных средств защиты: SIEM, WAF, Firewall

Понятные рекомендации

• выдает детальные рекомендации по устранению уязвимостей̆ кода на русском языке с описанием способов их эксплуатации

9

Page 12: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 12

Solar inCode – примеры внедрения

Page 13: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 13

Обзор функциональности

Статический анализJava, Scala, PHP, Android, iOS, С#, PHP, PL/SQLБинарный анализ: Android, iOS, jar, war

Рекомендации по настройке наложенных средств защиты

Потенциальные НДВИнтеграция с репозиториемЗагрузка мобильных приложенийВыгрузка отчётов (pdf, html)

Page 14: Solar in code: в поисках уязвимостей

solarsecurity.ru +7 (499) 755-07-70 14

Архитектура Solar inCode

Page 15: Solar in code: в поисках уязвимостей

Вопросы?

Page 16: Solar in code: в поисках уязвимостей

Даниил ЧерновРуководитель направления

Application Securitywww.solarsecurity.ru

[email protected]