Компания Synopsys известна как лидер рынка поставщиков решений в сфере тестирования безопасности приложений. Инструменты для статического и динамического анализа, а также анализа состава программного обеспечения от Synopsys позволяют клиентам находить и исправлять уязвимости и дефекты в компонентах программного обеспечения с непревзойденной точностью и скоростью. Synopsys помогает компаниям тестировать программное обеспечение на ранних стадиях разработки, позволяя избежать сбоев и возможных брешей в безопасности продукта, которые могли бы привести к дорогостоящим простоям после его запуска. Технологии этой компании сегодня используются при разработке программного обеспечения для беспилотных автомобилей, продуктов на базе искусственного интеллекта и решений в сфере Интернета вещей. Более подробно о решениях Synopsys в области обеспечения безопасности программного обеспечения читайте в нашем интервью с региональным менеджером по продажам Synopsys Игнасио Байлиной (Ignacio Baylina) и коммерческим директором компании Techpro DC, являющейся официальным дистрибьютором Synopsys, Мирджалалом Багировым.
— И.Б. — Автономные транспортные средства, искусственный интеллект, облачные технологии, технология 5G — все эти инновационные достижения, в создании которых принимала участие и Synopsys, открывают эру технологий Smart Everything, где умные устройства управляют сферами нашей жизни в безопасном режиме. Но поддерживать столь высокий уровень безопасности невозможно без безопасного программного обеспечения. Независимо от того, являетесь ли вы одной из тысяч компаний, продающих программное обеспечение, или одной из миллионов, которые используют программное обеспечение для ведения своего бизнеса, ваша способность внедрять инновации и приносить пользу своим клиентам обеспечивается безопасным и надежным программным обеспечением. Разработчики пишут код, который иногда бывает очень хорошим и отлично функционирует. Однако, как правило, разработчики не смотрят на код с точки зрения злоумышленника. А ведь у атакующего, у специалиста по информационной безопасности и у разработчика ПО абсолютно разные взгляды на один и тот же набор функций. Для разработчика важно, чтобы код корректно работал, а для атакующего и для специалиста по информационной безопасности важно, как, используя эту функциональность, можно воздействовать на систему с целью получения определенной выгоды. Поэтому руководство нашей компании решило развивать и эту сферу деятельности, инвестировав в направление по обеспечению безопасности программного обеспечения за все это время порядка 3 млрд. долларов.
— И вам неплохо удается работать на этом рынке, судя по отчетам Gartner. 7 лет подряд Synopsys является лидером Gartner Magic Quadrant for Application Security Testing. Какие факторы позволяют вам столь продолжительное время удерживать эти позиции?
— И.Б. — Synopsys сегодня — это почти 20000 сотрудников, годовой доход более 5 млрд. долларов и офисы в более чем 30 странах мира. Это разветвленные партнерская и дистрибьюторская сети и это сильное желание оставаться лучшими в своих нишах. За очень короткий срок, с момента начала деятельности на рынке решений для обеспечения безопасности программного обеспечения, нам удалось подняться до уровня лидера и на протяжении 7 лет мы удерживаем эти позиции. Более того, 5 последних лет мы не просто занимаем лидирующие позиции в Gartner Magic Quadrant for Application Security Testing, но и возглавляем его. Наши решения с самого начала охватывают все процессы создания программного обеспечения, от разработки стратегии и планирования до развертывания. И именно это позволяет нам оставаться лидерами. Кроме того, инвестиции в это направление, включая приобретение передовых разработок, не прекращаются. Так, например, в конце прошлого года мы завершили приобретение поставщика решений для обеспечения безопасности веб-сайтов WhiteHat Security. Облачный сервис этой компании предлагает платформу для управления уязвимостями и услуги по анализу безопасности, которые позволяют получить действенные сведения для клиентов. Кстати, решение WhiteHat Security также неоднократно было отмечено наградами и было признано Gartner лидером в тестировании безопасности приложений 4 раза подряд.
В апреле этого года вышло обновление Polaris Software Integrity Platform. Это тоже решение, в которое компания инвестирует большие средства. Благодаря современной облачной архитектуре, Polaris дает возможность разработчикам легко подключиться и начать сканирование кода за считанные минуты, в то же время позволяя командам безопасности отслеживать действия по тестированию и управлять рисками в тысячах приложений. Это полностью интегрированное и автоматизированное решение, которое сочетает в себе несколько технологий тестирования, снижает сложность и соответствует требованиям современных DevSecOps, а также объединяет проверенные и лучшие в своем классе технологии в SaaS-платформе, которая прекрасно может масштабироваться. Многим известно и наше решение Software Risk Manager для управления состоянием безопасности приложений, которое позволяет командам безопасности и разработки управлять своими программами безопасности приложений в масштабе предприятия с единой консоли, дающей возможность интегрировать в нее и сетевые продукты безопасности.
— Многие предприятия сегодня внедряют в своих IT-системах Open Source компоненты, не задумываясь о кибербезопасности. Какие решения предлагает Synopsys, чтобы понизить риски от их использования?
— И.Б. — Для решения подобных проблем Synopsys предлагает компаниям воспользоваться таким продуктом, как Black Duck. Это комплексное решение для управления рисками безопасности, соответствия лицензиям и качеством кода, которые возникают в результате использования открытого исходного кода в приложениях и контейнерах. Black Duck идентифицирует открытый исходный код с большей точностью, чем другие решения на рынке, используя уникальную технологию многофакторного обнаружения. Клиент интеллектуального сканирования Black Duck автоматически определяет является ли целевое программное обеспечение исходным или скомпилированным двоичным кодом, а затем идентифицирует и каталогизирует все сторонние программные компоненты, связанные лицензии и известные уязвимости, влияющие на ваши приложения.
— М.Б. — Кстати, использованием Black Duck не пренебрегают и юристы. Многие компании используют Open Source при создании собственных коммерческих решений, не учитывая тот факт, что лицензии на какие-то продукты не позволяют этого. Благодаря Black Duck можно проследить всю цепочку, предшествующую созданию приложения, предупреждая те моменты юридической ответственности, с которыми компания-разработчик может столкнуться в будущем. Кроме того, в базе Black Duck более 120 языков программирования — от практически забытых до активно используемых программистами сегодня. И эта цифра намного больше, чем у кого-либо из конкурентов. Поэтому такие возможности могут пригодиться консервативным клиентам, до сих пор использующим устаревшее ПО.
— И.Б. — Одна из задач Black Duck — выявлять, изучать и показывать историю используемого решения Open Source разработчику. В Исследовательском центре кибербезопасности Synopsys работает более 70 человек, которые занимаются выявлением новых уязвимостей в Open Source на всех без исключения уровнях, регулярно обновляя базу Black Duck. Особенно это актуально сегодня, когда многие разработчики стали прибегать к использованию ChatGPT при создании элементов своего кода, не задумываясь, какими источниками пользуется нейросеть.
— Какие требования к разработке и внедрению программного обеспечения должны соблюдаться на предприятиях?
— И.Б. — Во-первых, должен произойти сдвиг в мышлении. Я имею в виду, что надо свыкнуться с мыслью, что в век цифровой трансформации не обойтись без автоматизации. И чтобы снизить возможные бизнес-риски, вам необходимо автоматизировать все сферы своей деятельности. Максимально используйте автоматизацию и создайте культуру интеграции средств безопасности в жизненный цикл разработки программного обеспечения. Во-вторых, многие разработчики до сих пор думают, что обеспечение безопасности не входит в их сферу деятельности. Сегодняшние тренды говорят о том, что необходимо повышать их осведомленность о подобных рисках, переводить функции DevOps непосредственно в DevSecOps, интегрируя подход к обеспечению безопасности на самых ранних этапах разработки нового продукта.
Киберпреступники с каждым годом становятся все более зрелыми и смелыми. Сейчас они находят новые методы взлома компаний, учитывая, что там уже используются такие инструменты защиты, как DLP, SIEM, SOC, EDR и т.д. Использование недостатков и брешей в вашем коде становится модной тенденцией, перекрывая все ваши прошлые инвестиции, направленные на построение ландшафта сетевой безопасности. Сегодня уже порядка 80-85% атак реализуется именно на уровне приложений. Азербайджан в этом плане не является исключением, так как стремительно развивающаяся страна привлекает к себе большое внимание киберпреступных группировок. И Synopsys со своим партнером, которым в Азербайджане выступает компания Techpro DC, готовы прийти вам на помощь в борьбе с этой проблемой!
— Используете ли вы искусственный интеллект в собственных решениях?
— И.Б. — Наше решение Software Risk Manager включает компонент машинного обучения. Мы также активно отслеживаем изменения в экосистеме разработчиков программного обеспечения, чтобы быть уверенными, что наши инструменты отвечают всем современным требованиям. Возможности решения Black Duck, доступные через API, позволяют разработчикам сканировать код, сгенерированный искусственным интеллектом, и получать отзывы о том, может ли он содержать фрагменты с открытым исходным кодом, которые в будущем могут привести к лицензионным проблемам.
— Есть ли в портфолио Synopsys решения для защиты устройств Интернета вещей?
— И.Б. — Так сложилось, что основным приоритетом Synopsys является именно технологическая защита. И мы предлагаем решение Defensics от одноименной компании, приобретенной нами 7 лет назад, которое по сути является первой технологией тестирования, проверяющей надежность используемых устройствами Интернета вещей протоколов. С помощью Defensics наши клиенты могут в режиме тестирования проверить защиту более 300 IoT-протоколов, отправляя на них миллионы обращений, имитирующих попытку взлома, за короткий промежуток времени. Кроме того, предоставляемый нами SDK позволяет опытным пользователям использовать среду Defensics для разработки собственных тестовых примеров. Что бы хотелось еще отметить, так это то, что Defensics в состоянии обнаруживать уязвимости нулевого дня и прочие неизвестные уязвимости. Например, одним из примечательных примеров прекрасной работы этого продукта является история с обнаружением уязвимости Heartbleed. Эта уязвимость позволяла читать оперативную память частями размером до 64 Kb. Причем эта уязвимость была двусторонняя. А это значит, что не только вы могли читать данные с уязвимого сервера, но и сервер злоумышленника мог получать часть вашей оперативной памяти, если вы использовали уязвимую версию OpenSSL. Это открывало злоумышленникам возможность получать письма пользователей вместе с HTTP-заголовками, незашифрованные банковские POST-данные с логином и паролем и т.д. Defensics первым смог обнаружить эту уязвимость и предотвратить развитие проблемы.
— В конце августа Президент Азербайджанской Республики подписал указ об утверждении «Стратегии Азербайджанской Республики по информационной безопасности и кибербезопасности на 2023-2027 годы». Как вы оцениваете общую ситуацию с обеспечением кибербезопасности в нашей стране и какую роль в ее обеспечении может сыграть Synopsys?
— М.Б. — В мире сейчас наблюдается рост киберпреступности, что отражается не только на конечных пользователях, но также на частных предприятиях и государственных организациях. Особенно заметен рост целевых атак, осуществляемых международными группами киберпреступников на страны с развитой и развивающейся инфраструктурой. Повышающийся уровень цифровизации, особенно в государственном секторе Азербайджана, также привлекает киберпреступников, стремящихся нарушить работу критически важных инфраструктур и информационных систем, нанести материальный или моральный ущерб пользователям государственных порталов и их мобильных версий. Само собой, разработка подобных ресурсов требует повышенного внимания к обеспечению их безопасности. Поэтому я считаю, что решения в сфере тестирования безопасности программного обеспечения и обеспечения безопасности веб-сайтов обязательно должны быть задействованы в процессе реализации этой стратегии. Пользователи должны быть уверены, что при разработке программного обеспечения, включающего также сервисы электронного правительства и банковские приложения, были реализованы все требования к обеспечению безопасности.
— И.Б. — Что касается азербайджанского рынка кибербезопасности, то хотел бы добавить, что за дни своего визита я встречался с довольно осведомленными людьми. Цифровизация приносит свои плоды, и люди не только знают, что они хотят сделать в плане обеспечения кибербезопасности, но и представляют, какие инструменты нужны для реализации этих планов. Сейчас Synopsys только в начале пути на рынке Азербайджана, но при поддержке нашего партнера в лице компании Techpro DC и благодаря накопленному за несколько лет плодотворной работы в Турции опыту, позволившему создать в регионе очень сильную команду, мы нацелены на успех!