spot_img
9 декабря, 2024
ДомойИнтервьюКак DerScanner обеспечивает наиболее точные результаты анализа приложений на уязвимости

Как DerScanner обеспечивает наиболее точные результаты анализа приложений на уязвимости

Программные средства анализа исходного кода позволяют анализировать его на предмет надежности и отсутствия рисков, а также выявлять дефекты и уязвимости, которые могут поставить под угрозу безопасность конечного продукта. Такое ПО помогает создать быстрый автоматический цикл обратной связи для обнаружения дефектов, которые, если их не устранить, могут привести к более серьезным проблемам. На рынке не так много решений, позволяющих производить качественный и многогранный анализ исходного кода, и об одном из них, которым является DerScanner, мы поговорили с Александром Тварадзе, главой компании Advanced Technologies Solutions, официальным представителем компании DerSecur в Азербайджане, Грузии и Турции.

— Расскажите пожалуйста о компании DerSecur, которая является разработчиком DerScanner.

— DerSecur была основана в 2011 году, и основной профиль деятельности компании лежит в области создания технологий для обеспечения безопасности приложений. В частности, технологии, разработанные DerSecur для анализа исходного кода, сегодня используются в 24 странах мира. Свыше 50 человек, являющихся сотрудниками компании, — это ученые и специалисты в области безопасности приложений. Компания имеет офисы в Израиле, ОАЭ, Австралии, Канаде и других странах мира. Что же касается такого продукта, как DerScanner, то вот лишь небольшой список компаний, использующих в своей работе это решение: израильская высокотехнологичная компания Allot Communications, Корейское агентство интернета и безопасности, сингапурская консалтинговая компания в области кибербезопасности Athena Dynamics, американский поставщик программного обеспечения Parasoft.

— В чем заключается безопасность приложений, от чего она зависит?

— Все, с чем нам сегодня приходится сталкиваться в IT-сфере, а именно, программное обеспечение, мобильные приложения, операционные системы, микропрограммы сетевого оборудования и многое другое, было написано программистами. То есть эти продукты включают исходный код, созданный на каком-либо языке программирования. Затем программами-компиляторами, также написанными программистами, исходный код собирается в готовое программное обеспечение или его элемент, например, в программные библиотеки. Уязвимости, которые служат причинами атак и взломов, — это результат ошибок при разработке программного кода или при работе компилятора. При этом нужно понимать, что современное программное обеспечение состоит из множества готовых библиотек. И даже если программист написал исходный код максимально безопасно — это не является гарантом отсутствия уязвимости. При сборке программы компилятор может добавить свой код с уязвимостями. Уязвимости также могут присутствовать в библиотеках, которые использует программист, но проконтролировать качество кода в них не может. Кроме самих ошибок, это могут быть оставленные бэкдоры, лазейки или недокументированные доступы и функционал. И все это часто используется для взлома и атак.

Именно для анализа исходного кода, обеспечения безопасной разработки и соответственно безопасности самих приложений, компанией DerSecur был разработан продукт DerScanner. DerScanner поддерживает две технологии: статического анализа SAST и динамического анализа DAST. При статическом анализе DerScanner проверяет программный код на предмет потенциальных уязвимостей, бекдоров и скрытого функционала. Программа обозначает проблемный участок кода, показывает пример атаки на него, дает рекомендации по устранению, а если есть предыдущая версия кода, то показывает изменения в коде. Динамический анализ фактически реализует попытку атаки, например, на web-приложение, с целью определить пути возможной атаки на него. За счет комбинаций этих технологий и получается более точная картина возможных уязвимостей.

— Насколько рынок подобных систем развит в Азербайджане?

— В Азербайджане присутствуют подобные системы от нескольких разработчиков, но DerScanner обладает набором свойств, которые делают этот продукт уникальным по функционалу на фоне конкурентов. Во-первых, DerScanner поддерживает большее число языков программирования и правил для них, чем кто-либо из наших ближайших конкурентов. На данный момент DerScanner включает возможность работы с 35 языками программирования и несколькими сотнями правил для этих языков. В этот список входят и узкоспециализированные языки, как, например, язык программирования для 1С. Во-вторых, DerScanner включает в себя модули SAST и DAST, о которых я говорил выше, что позволяет проанализировать программный код максимально эффективно. У конкурентов нет модуля DAST, поэтому фактически заказчик вынужден приобретать сканер DAST отдельно. А затем тратить усилия, пытаясь свести воедино показания двух различных систем? При использовании DerScanner этого не будет. В-третьих, DerScanner умеет работать с популярными системами WAF Imperva и F5, а при наличии уязвимостей, которые могут быть прикрыты этими решениями, DerScanner формирует пошаговую инструкцию по настройке WAF. И еще одно из главных преимуществ заключается в том, что DerScanner умеет работать уже с готовыми скомпилированными программами, может проанализировать их и найти уязвимости в исполняемых программах для Windows или Linux, мобильных приложениях для iOS и Android.

— То есть этот продукт обладает возможностью проанализировать готовое приложение, не имея доступа к исходному коду?

— DerScanner определяет языки и технологии, которые использовались при создании программного продукта, производит декомпиляцию и далее анализирует полученный код на уязвимости. При этом для проверки приложений для iOS и Android DerScanner самостоятельно скачивает их из Google Play или App store. Необходимо понимать, что в этом случае мы работаем фактически с «черным ящиком», то есть не знаем ничего из исходного кода. Поэтому тут больше, чем в основном режиме, проявляется вероятность ложно-положительного срабатывания. Но даже в этом случае процент реальных обнаруженных уязвимостей бывает достаточно высоким.

— А если есть исходный код, то зачем нужно делать декомпиляцию?

— Во-первых, таким образом вы можете проверить, не появились ли уязвимости в процессе сбора программы компилятором. Во-вторых, очень многие библиотеки, используемые при написании программ, поставляются в готовом виде без исходного кода. И мы не знаем, насколько они могут быть уязвимы. И, в-третьих, очень часто банки, коммерческие компании и государственные организации заказывают ПО у подрядчиков, а проанализировать продукт, который сделала сторонняя компания, более чем рекомендуется.

— Таким образом, можно проанализировать все приложения, размещенные в Google Play и AppStore, на предмет уязвимостей?

— Да, в этих магазинах размещается общедоступное программное обеспечение и его можно беспрепятственно скачать и проанализировать. В этом случае DerScanner выставляет оценку надежности от 0 до 5. Например, мы проанализировали 10 самых популярных банковских приложений в Азербайджане и 5 приложений государственных организаций, связанных с использованием финансовых, частных и коммерческих данных. Повторюсь, это был анализ по принципу «черного ящика», где процент ложно-положительных срабатываний существенно выше, чем при анализе непосредственно исходного кода. В итоге из 10 банковских приложений только 3 приложения преодолели отметку в 4 бала из 5, что означает, что система не нашла критических уязвимостей, но есть замечания по возможным уязвимостям среднего уровня. В наихудшем варианте было обнаружено 17 возможных критических уязвимостей. А из 5 государственных приложений только одно преодолело оценку в 4 бала из 5. С учетом же ложно-положительных срабатываний в каждом приложении были возможны как минимум 2-3 критические уязвимости, поэтому такие оценки могут оказаться чуть ниже в реальности.

— Получается, что DerScanner нужен не только компаниям из финансового сектора и государственным порталам, но и тем, кто занимается разработкой ПО?

— Безусловно, учитывая тот факт, что многие банки и государственные организации обладают собственным штатом программистов, DerScanner им необходим. Он также нужен организациям, у которых нет штата программистов, но они заказывают программное обеспечение у сторонних компаний-разработчиков. Наличие DerScanner позволит им контролировать качество работ, определять в программном обеспечении и приложениях возможные уязвимости. DerScanner, в отличие от многих конкурентов, построен так, чтобы процесс анализа уязвимостей и последующие рекомендации, предоставляемые пользователю, были максимально понятны как программистам, так и сотрудникам отделов информационной безопасности. А за счет интеграции с WAF Imperva и F5 отдел информационной безопасности сможет быстро защитить продукт от возможной атаки на обнаруженные уязвимости пока программисты будут заниматься исправлением исходного кода.

— Как и на каких условиях можно приобрести DerScanner в Азербайджане?

— Компания Advanced Technologies Solutions является официальным представителем DerSecur в Азербайджане, Грузии и Турции. Дистрибьюторами программного обеспечения DerScanner в нашей стране выступают компании Techpro DC и MONT. Что касается лицензирования, то в отличие от конкурентов DerScanner не ограничивает в лицензии количество строк исходного кода или количество проектов, а сами лицензии могут быть как постоянными, так и с подпиской на 3, 6 или 9 месяцев, один год и т.д. Кроме того, совместно с вендором специально для Азербайджана нами была разработана модель лицензирования «PerScan», позволяющая заказчикам приобретать определенное количество сканов. Этот вариант будет удобен, например, для компаний, в которых нет собственного штата программистов или же количество приложений, нуждающихся в анализе исходного кода, бывает не столь велико, а их обновления происходят нечасто.

НОВОСТИ ПО ТЕМЕ

СОЦИАЛЬНЫЕ СЕТИ

11,991ФанатыМне нравится
1,017ЧитателиЧитать
3,086ЧитателиЧитать
714ПодписчикиПодписаться
- Реклама -