#MSSD. Москва. 5 марта 2013 РИСКИ САМОСТОЯТЕЛЬНОЙ РАЗРАБОТКИ БИЗНЕС-ПРИЛОЖЕНИЙ И СПОСОБЫ ИХ СНИЖЕНИЯ Рустэм Хайретдинов Appercut Security

Нет одинаковых компаний Специфика компании отображается в информационной системе Универсальные системы избыточны Приходится переплачивать за функции, которыми не пользуются Бизнес-среда меняется стремительно Приходится переплачивать за функции, которыми не пользуются Это свершившийся факт Более 80% компаний разрабатывают/дорабатывают бизнес ПО

Несистемные требования по безопасности приложений Упор на функционал и нагрузку, игнорирование стандартов Службы ИБ в разработке не участвуют Привлекаются только к расследованиям инцидентов Упрощенный процесс разработки Изменения идут непрерывно, код правится вместо выпуска патчей Используются закрытые платформы SAP, Oracle, MS Dynamics, 1C, Lotus, …

Неустойчивость Непереносимость Злоупотребление доступом Нештатное функционирование

Ошибки программирования Ошибки архитектуры Отладочные ветви Технические учетные записи «Закладки»

Настройки Заказной и самостоятельно разрабатываемый код Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…) Базовое приложение (SAP R3, Oracle EBS, MS Dynamics, Salesforce.com, 1C, и т.д.) Комбинация ручного и автоматизированного анализа RRO: может находить сложные уязвимости CONTRA: долгий, дорогой и сложный процесс

REPORTINGDOCFLOW SCADAERPABS PORTAL BILLING RUBRICATOR WEBSTORE… ANALITICS… Реальный проект: 83 приложения, 11 языков, 6 бизнес-платформ 2-3 сборки в день

Настройки Заказной и самостоятельно разрабатываемый код Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…) Базовое приложение (SAP R3, Oracle EBS, MS Dynamics, Salesforce.com, 1C, и т.д.) Vulnerabilities Scanner Compliance Settings Control Custom Code Scanner Vulnerabilities Scanner

«Умные сигнатуры» опасных приемов программирования Аналог алгоритма поиска цифровых отпечатков Нормализованный исходный код

APPERSCAN SAST DAST SAST+DAST SAST – статический анализ кода DAST – динамический анализ приложения

АУДИТ КОДА Известные уязвимости кода АУДИТ КОДА Известные уязвимости кода РУЧНОЙ АНАЛИЗ КОДА Поиск НДВ РУЧНОЙ АНАЛИЗ КОДА Поиск НДВ АУДИТ ДОПОЛНЕНИЙ Все уязвимости АУДИТ ДОПОЛНЕНИЙ Все уязвимости АУДИТ ПРИЛОЖЕНИЯ Комплексные уязвимости АУДИТ ПРИЛОЖЕНИЯ Комплексные уязвимости Appercut Service / Стандартная база Appercut Service / База клиента Наполнения базы уязвимостей

Анализ известных уязвимостей кода Моделирование уязвимостей бизнес-процессов Компенсирующий контроль всех уязвимостей Моделирование уязвимостей архитектуры Appercut Service / Стандартная база Appercut Service / База клиента Наполнения базы уязвимостей

Не предполагается встраивание в процесс разработки Не предполагается участие программистов Аудируется любое количество приложений Возможность добавлять пользовательские образцы Реализация в виде веб-сервиса Public/Private Cloud

Традиционные средства разработки: Java, JavaScript, PHP, Cobol, C/С++, T-SQL,.NET (VB, C#, ASP), Delphi, Objective C, Python, Ruby… Традиционные бизнес-платформы: ABAP4 (SAP), PL/SQL (Oracle), LotusScript (IBM Lotus Notes), 1С ver 7 и 8, Microsoft Dynamics (X++), … Проприетарные языки и скрипты приложений, в т.ч. российских (БОСС, Directum, Atlantis, …) Любая платформа на заказ (нормализатор + 10 TOP-уязвимостей) – 1 месяц

ВОПРОСЫ, ПОЖАЛУЙСТА! Рустэм Хайретдинов Appercut Security +7(903)