SlideShare a Scribd company logo

Positive Technologies Application Inspector

Q
qqlan

AppSec, vulnerability, SAST, DAST, IAST, source code analisys

1 of 2
Download to read offline
Автоматическое обнаружение и ��странение уязвимостей приложений В настоящее время многие компании полагаются на сетевые и веб-приложения, которые используются повсеместно, начиная от управления бизнес-процессами и заканчивая сервисами облачного хранения и обмена данными. Мобильные приложения готовы подхватить эстафету, чтобы вновь изменить картину бизнеса. Однако в погоне за эффективностью многие компании недооценивают опасность, которую представляют такие системы. Согласно отчету компании Verizon об утечках данных за 2013 год, почти каждое третье киберпреступление или факт кибершпионажа явились следствием уязвимостей приложений. Кроме того, по новым данным исследовательского центра Positive Technologies, до 50% систем дистанционного банковского обслуживания могут быть использованы для получения неправомерного доступа к корпоративной и клиентской информации, а также совершения мошеннических транзакций. Нам удалось собрать более чем десятилетний исследовательский опыт и практические знания более тысячи аудитов безопасности приложений, легкое в использовании решение, которое позволяет быстро обнаруживать и устранять бреши в безопасности ваших приложений — Application Inspector. Оперативное и эффективное исправление уязвимостей крайне важно: нельзя терять время, анализируя ложные срабатывания. Интеллектуальный механизм анализа Application Inspector выявляет только настоящие уязвимости, оставляя в стороне ошибки программного кода, что существенным образом сокращает количество потенциальных ложных срабатываний. В отличие от других анализаторов исходного кода, Application Inspector способен проводить проверку приложений, написанных на разных языках программирования; например, проверку веб-приложения ASP .NET с интерфейсом на HTML5 и JavaScript, использующее базу данных SQL. Благодаря автоматизации всего процесса Application Inspector устраняет сложности в обеспечении безопасности приложения, сокращая при этом затраты на контроль соответствия стандартам. Таким образом, безопасностью вашего предприятия управляете вы. Не стоит беспокоиться, если вы не являетесь специалистом в области безопасности. Наше решение быстро покажет, каким образом можно использовать уязвимости в коде: это избавит от необходимости самостоятельно анализировать риск возможной атаки. Когда Application Inspector находит уязвимость, он автоматически генерирует вектор атаки, например HTTP- или JSON-запрос, наглядно демонстрируя уязвимость и то, как она может быть использована против вашего бизнеса. Очевидно, что обнаружение уязвимостей на ранней стадии разработки позволяет создавать более качественные приложения, поэтому модель Application Inspector предусматривает интеграцию прямо в цикл разработки, а также обеспечение безопасности для уже существующих приложений. Наше решение, в соответствии с моделью SDLC, оповестит команды разработки и тестирования о потенциально небезопасном участке кода перед тем, как он будет использоваться в окончательной версии продукта, — снижая уровень риска и уменьшая стоимость выполнения требований регуляторов. Автоматизация процесса контроля защищенности и соответствия стандартам Узнавайте сразу о возможных рисках КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ PT Application Inspector Высокий уровень обнаружения уязвимостей благодаря использованию механизмов SAST, DAST и IAST. Генерация эксплойта дает точную картину возможного риска. Увеличение эффективности за счет ориентации на настоящие уязвимости, а не на ошибки программного кода. Стандартизация контроля безопасности с помощью решения, которое работает со многими языками и платформами, включая веб, мобильные приложения и ERP-системы. Обеспечение безопасности с помощью интеграции сWAF и IPS. • • • • • Application Inspector — описание продукта
Большинство традиционных анализаторов исходного кода реализуют либо подход DAST (Dynamic Application Security Testing, динамический анализ безопасности приложений), с помощью которого тестируется безопасность во время работы приложений, л��бо SAST (Static Application Security Testing, статический анализ безопасности приложений), суть которого заключается в исследовании исходного кода. В последнее время некоторые разработчики начали применять метод IAST (Interactive Application Security Testing, интерактивный анализ исходного кода) в попытке совместить DAST и SAST. У нас же иной, более современный подход, реализующий комплексное использование DAST, SAST и IAST на оптимальных этапах анализа, что позволяет извлечь выгоду из всех подходов без каких-либо недостатков. Применяя абстрактную интерпретацию, Application Inspector позволяет обеспечить глубокий анализ кода и API, а также провести оценку безопасности, сравнимую с показателями SAST-решений. Встроенный мультиязыковой трассирующий механизм осуществляет IAST-подобный анализ для случаев любой степени сложности, а уникальный генератор эксплойтов выдает простые для понимания результаты. Ключевые возможности ЕДИНОЕ РЕШЕНИЕ ДЛЯ БЕЗОПАСНОСТИ СИСТЕМЫ Безопасность всей системы определяется надежностью ее самого слабого звена, поэтому благодаря Application Inspector вы сможете обеспечить защиту широкого ряда приложений, включая: сетевые и веб-приложения, созданные с помощью таких средств, как .NET, Java и PHP; мобильные приложения, разработанные для платформ Android и Windows 8; системы ERP с применением таких языков, как ABAP, Java, PL/SQL для SAP и Oracle EBS. • • • ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ PT Application Inspector Обнаружение уязвимостей и программных закладок («бэкдоров») по шаблону путем выявления похожей логики или схожего синтаксиса. Обнаружение признаков уязвимостей там, где сложно найти сами уязвимости. Поддержка множества технологий, включая Java (Java SE, Java для Android, JavaEE, Java Frameworks), .NET (MSIL), SQL (SQL 92, PL/SQL, T-SQL), PHP, веб-технологии (HTML5, JavaScript, VBScript, JSON/XML-RPC), XML (Generic, XSLT, XPath, XQuery). Обнаружение ряда атак и уязвимостей, включая внедрение SQL-кода, межсайтовое выполнение сценариев, расщепление HTTP-запроса, внедрение операторов XPath и LDAP, атаки XML External Entity Injection PT AI может быть развернут локально, в качестве клиент-серверного решения или как SaaS. Прозрачная интеграция с продуктами Positive Technologies, включая MaxPatrol и Application Firewall. • • • • • • Positive Technologies является лидером в области информационной безопасности. Компания входит в десятку ведущих разработчиков систем оценки уязвимостей, а также в пятерку самых быстроразвиваю��ихся фирм в области обеспечения безопасности IT-систем в целом. Специалисты компании обладают десятилетним опытом в обнаружении и управлении уязвимостями. Проведение исследований — залог успеха Positive Technologies, благодаря им мы уверены, что наши продукты и услуги помогают клиентам снизить затраты, увеличить эффективность и управлять рисками. Офисы компании находятся в Москве, Дубае, Лондоне, Мумбаи, Риме, Сеуле и Тунисе, а наш исследовательский центр является одним из крупнейших в Европе. О компании 107061 РОССИЯ / МОСКВА / ПРЕОБРАЖЕНСКАЯ ПЛОЩАДЬ, ДОМ 8 ТЕЛ.: +7 (495) 744-01-44 / ФАКС: +7 (495) 744-01-87 / Е-MAIL: PT@PTSECURITY.RU WWW.PTSECURITY.RU / WWW.MAXPATROL.RU / WWW.SECURITYLAB.RU Application Inspector в действии Эксплойт Генератор эксплойтов База данных языков программирования База данных уязвимостей Исследовательский центр PositiveTechnologies Исходный код приложения Статический анализатор Уязвимость Уязвимость Динамический слайс Динамический анализатор Интерактивный анализатор Отчет Код Application Inspector — описание продукта

More Related Content

Positive Technologies Application Inspector

  • 1. Автоматическое обнаружение и устранение уязвимостей приложений В настоящее время многие компании полагаются на сетевые и веб-приложения, которые используются повсеместно, начиная от управления бизнес-процессами и заканчивая сервисами облачного хранения и обмена данными. Мобильные приложения готовы подхватить эстафету, чтобы вновь изменить картину бизнеса. Однако в погоне за эффективностью многие компании недооценивают опасность, которую представляют такие системы. Согласно отчету компании Verizon об утечках данных за 2013 год, почти каждое третье киберпреступление или факт кибершпионажа явились следствием уязвимостей приложений. Кроме того, по новым данным исследовательского центра Positive Technologies, до 50% систем дистанционного банковского обслуживания могут быть использованы для получения неправомерного доступа к корпоративной и клиентской информации, а также совершения мошеннических транзакций. Нам удалось собрать более чем десятилетний исследовательский опыт и практические знания более тысячи аудитов безопасности приложений, легкое в использовании решение, которое позволяет быстро обнаруживать и устранять бреши в безопасности ваших приложений — Application Inspector. Оперативное и эффективное исправление уязвимостей крайне важно: нельзя терять время, анализируя ложные срабатывания. Интеллектуальный механизм анализа Application Inspector выявляет только настоящие уязвимости, оставляя в стороне ошибки программного кода, что существенным образом сокращает количество потенциальных ложных срабатываний. В отличие от других анализаторов исходного кода, Application Inspector способен проводить проверку приложений, написанных на разных языках программирования; например, проверку веб-приложения ASP .NET с интерфейсом на HTML5 и JavaScript, использующее базу данных SQL. Благодаря автоматизации всего процесса Application Inspector устраняет сложности в обеспечении безопасности приложения, сокращая при этом затраты на контроль соответствия стандартам. Таким образом, безопасностью вашего предприятия управляете вы. Не стоит беспокоиться, если вы не являетесь специалистом в области безопасности. Наше решение быстро покажет, каким образом можно использовать уязвимости в коде: это избавит от необходимости самостоятельно анализировать риск возможной атаки. Когда Application Inspector находит уязвимость, он автоматически генерирует вектор атаки, например HTTP- или JSON-запрос, наглядно демонстрируя уязвимость и то, как она может быть использована против вашего бизнеса. Очевидно, что обнаружение уязвимостей на ранней стадии разработки позволяет создавать более качественные приложения, поэтому модель Application Inspector предусматривает интеграцию прямо в цикл разработки, а также обеспечение безопасности для уже существующих приложений. Наше решение, в соответствии с моделью SDLC, оповестит команды разработки и тестирования о потенциально небезопасном участке кода перед тем, как он будет использоваться в окончательной версии продукта, — снижая уровень риска и уменьшая стоимость выполнения требований регуляторов. Автоматизация процесса контроля защищенности и соответствия стандартам Узнавайте сразу о возможных рисках КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ PT Application Inspector Высокий уровень обнаружения уязвимостей благодаря использованию механизмов SAST, DAST и IAST. Генерация эксплойта дает точную картину возможного риска. Увеличение эффективности за счет ориентации на настоящие уязвимости, а не на ошибки программного кода. Стандартизация контроля безопасности с помощью решения, которое работает со многими языками и платформами, включая веб, мобильные приложения и ERP-системы. Обеспечение безопасности с помощью интеграции сWAF и IPS. • • • • • Application Inspector — описание продукта
  • 2. Большинство традиционных анализаторов исходного кода реализуют либо подход DAST (Dynamic Application Security Testing, динамический анализ безопасности приложений), с помощью которого тестируется безопасность во время работы приложений, либо SAST (Static Application Security Testing, статический анализ безопасности приложений), суть которого заключается в исследовании исходного кода. В последнее время некоторые разработчики начали применять метод IAST (Interactive Application Security Testing, интерактивный анализ исходного кода) в попытке совместить DAST и SAST. У нас же иной, более современный подход, реализующий комплексное использование DAST, SAST и IAST на оптимальных этапах анализа, что позволяет извлечь выгоду из всех подходов без каких-либо недостатков. Применяя абстрактную интерпретацию, Application Inspector позволяет обеспечить глубокий анализ кода и API, а также провести оценку безопасности, сравнимую с показателями SAST-решений. Встроенный мультиязыковой трассирующий механизм осуществляет IAST-подобный анализ для случаев любой степени сложности, а уникальный генератор эксплойтов выдает простые для понимания результаты. Ключевые возможности ЕДИНОЕ РЕШЕНИЕ ДЛЯ БЕЗОПАСНОСТИ СИСТЕМЫ Безопасность всей системы определяется надежностью ее самого слабого звена, поэтому благодаря Application Inspector вы сможете обеспечить защиту широкого ряда приложений, включая: сетевые и веб-приложения, созданные с помощью таких средств, как .NET, Java и PHP; мобильные приложения, разработанные для платформ Android и Windows 8; системы ERP с применением таких языков, как ABAP, Java, PL/SQL для SAP и Oracle EBS. • • • ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ PT Application Inspector Обнаружение уязвимостей и программных закладок («бэкдоров») по шаблону путем выявления похожей логики или схожего синтаксиса. Обнаружение признаков уязвимостей там, где сложно найти сами уязвимости. Поддержка множества технологий, включая Java (Java SE, Java для Android, JavaEE, Java Frameworks), .NET (MSIL), SQL (SQL 92, PL/SQL, T-SQL), PHP, веб-технологии (HTML5, JavaScript, VBScript, JSON/XML-RPC), XML (Generic, XSLT, XPath, XQuery). Обнаружение ряда атак и уязвимостей, включая внедрение SQL-кода, межсайтовое выполнение сценариев, расщепление HTTP-запроса, внедрение операторов XPath и LDAP, атаки XML External Entity Injection PT AI может быть развернут локально, в качестве клиент-серверного решения или как SaaS. Прозрачная интеграция с продуктами Positive Technologies, включая MaxPatrol и Application Firewall. • • • • • • Positive Technologies является лидером в области информационной безопасности. Компания входит в десятку ведущих разработчиков систем оценки уязвимостей, а также в пятерку самых быстроразвивающихся фирм в области обеспечения безопасности IT-систем в целом. Специалисты компании обладают десятилетним опытом в обнаружении и управлении уязвимостями. Проведение исследований — залог успеха Positive Technologies, благодаря им мы уверены, что наши продукты и услуги помогают клиентам снизить затраты, увеличить эффективность и управлять рисками. Офисы компании находятся в Москве, Дубае, Лондоне, Мумбаи, Риме, Сеуле и Тунисе, а наш исследовательский центр является одним из крупнейших в Европе. О компании 107061 РОССИЯ / МОСКВА / ПРЕОБРАЖЕНСКАЯ ПЛОЩАДЬ, ДОМ 8 ТЕЛ.: +7 (495) 744-01-44 / ФАКС: +7 (495) 744-01-87 / Е-MAIL: PT@PTSECURITY.RU WWW.PTSECURITY.RU / WWW.MAXPATROL.RU / WWW.SECURITYLAB.RU Application Inspector в действии Эксплойт Генератор эксплойтов База данных языков программирования База данных уязвимостей Исследовательский центр PositiveTechnologies Исходный код приложения Статический анализатор Уязвимость Уязвимость Динамический слайс Динамический анализатор Интерактивный анализатор Отчет Код Application Inspector — описание продукта