Цифры говорят
Solar inCode: без-исходная безопасность. Новый продукт оценит «опасность» мобильных и онлайн-приложений
09.11.2015 |
Российский разработчик решений для управления информационной безопасностью Solar Security представил инструмент проверки безопасности приложений Solar inCode для выявления уязвимостей и недекларированных возможностей в программном обеспечении.
Изюминка нового продукта – возможность анализа приложений на наличие уязвимостей и «закладок» даже при отсутствии исходного кода. Для проведения исследования рабочие файлы приложений достаточно загрузить в сканер, а если дело касается мобильных решений – скопировать в сканер ссылку из Apple Store или Google Play, после чего Solar inCode выполнит статический анализ кода.
С помощью технологий деобфускации и декомпиляции статического анализа кода с высокой степенью точности восстанавливается исходный код, даже если к нему были применены маскирующие преобразования. Для повышения качества анализа используется несколько различных технологий, включая taint-анализ, а для снижения количества ложных срабатываний – технологический модуль Fuzzy Logic Engine и авторские алгоритмы фильтрации уязвимостей. При этом решение предоставляет детальные рекомендации по устранению уязвимостей на русском языке с описанием способов их эксплуатации, а также по настройке наложенных средств защиты - SIEM, WAF, Firewall, - блокирующих возможности эксплуатации уязвимостей до момента их устранений.
Особое внимание, по информации разработчиков, уделено системе отчетности, поскольку Solar in Code создавался как инструмент для специалистов в области безопасности. В то же время, предусмотрены отчеты для разработчиков, содержащие описание выявленных уязвимостей со ссылками на соответствующие участки кода и рекомендации по их устранению путем внесения изменений в код.
Solar inCode позволяет анализировать онлайн и мобильные приложения, написанные на самых популярных языках программирования: Java, Scala, PHP, Objective C, Java for Android. В планах по развитию продукта - расширение охвата анализируемых языков: JavaScript, PL/SQL,1С и С#.
В то же время, по данным Cicso, в настоящее время Java теряет свою привлекательность как вектор атак. Количество уязвимостей Java, обнаруженных Cisco Security Research, упало с 54 в 2013 г. до 19 в 2014 г.
Генеральный директор Solar Security Игорь Ляпунов:
уровень безопасности мобильных приложений на данный момент очень низок
По мнению экспертов рынка, в настоящее время во всех отраслях российской и мировой экономики ужесточается конкуренция и промышленный шпионаж, а в связи со всеобъемлющим проникновением информационных технологий, киберугрозы становятся значимыми для любого бизнеса. В 2014 году, по оценке Cisco, фармацевтическая и химическая промышленность оказались лидерами по наивысшему риску встречи с вредоносными программами. На втором месте оказались СМИ, на третьем – производственные предприятия.
Генеральный директор Solar Security Игорь Ляпунов отмечает усиление рисков эксплуатации уязвимостей программного кода в последнее время. Согласно приведенным им данным, более 60 % успешных кибератак, нацеленных на внешние бизнес-приложения, реализуются через уязвимости в ПО.
Соотношение инцидентов в сфере ИБ по данным Solar Security
При этом он отметил, что внутреннее тестирование при разработке программного обеспечения ни в коей мере не обеспечивает обнаружения уязвимостей, критичных для информационной безопасности. Примечательно, что по мнению Игоря Ляпунова безопасность мобильных приложений очень низка по сравнению с инфраструктурными решениями безопасности. В то же время, по данным Cisco Security Research, программное обеспечение с автоматической установкой обновлений имеет преимущества при создании более защищенной среды безопасности.
По данным Solar Security, в настоящее время сохраняется тенденция роста атак на веб-приложения. Также отмечается рост числа инцидентов, связанных с компрометацией административных учетных записей. При этом специалисты компании отмечают слабую или отсутствующую парольную политику служебных учетных записей на серверах операционных систем и систем управления базами данных.
Основные направления современных кибер-атак по оценке Solar Security
Заместитель генерального директора компании InfoWatch Рустэм Хайретдинов
Продукт, ключевой функцией которого является декомпиляция исходного кода мобильных приложений, очевидно, направлен на исследование безопасности сторонних приложений, устанавливаемых на смартфоны сотрудников – ведь если приложение разрабатывается самостоятельно или на заказ, проблем с доступом к исходному коду у тестеров быть не должно. Пример инцидента, который может быть предотвращен таким образом, – сотрудник установил на свой смартфон неизвестное приложение, которое, получив доступ к контактам и другим ресурсам, похитило данные или совершило мошенническую операцию. Пока не понятно, как обеспечить процесс обязательной проверки каждого нового устанавливаемого приложения для каждого сотрудника и как технически запретить такую установку, если приложение признано небезопасным. Тем более, что большинство приложений постоянно обновляется и у большинства пользователей это происходит в автоматическом режиме, а значит уже установленное приложение в любой момент может стать небезопасным после автоматического обновления. Возможно, производитель продукта будет не только поставлять продукт, но и будет организовывать процесс управления установкой приложений на смартфоны сотрудников, например, через публикации «белых списков» – перечня продуктов, разрешенных к установке. Большинство производителей подобных продуктов также предпочитают не нарушать лицензионные соглашения, прямо запрещающие декомпиляцию, хотя в России всегда к правам разработчиком относились снисходительно.
Продукт, ключевой функцией которого является декомпиляция исходного кода мобильных приложений, очевидно, направлен на исследование безопасности сторонних приложений, устанавливаемых на смартфоны сотрудников – ведь если приложение разрабатывается самостоятельно или на заказ, проблем с доступом к исходному коду у тестеров быть не должно. Пример инцидента, который может быть предотвращен таким образом, – сотрудник установил на свой смартфон неизвестное приложение, которое, получив доступ к контактам и другим ресурсам, похитило данные или совершило мошенническую операцию. Пока не понятно, как обеспечить процесс обязательной проверки каждого нового устанавливаемого приложения для каждого сотрудника и как технически запретить такую установку, если приложение признано небезопасным. Тем более, что большинство приложений постоянно обновляется и у большинства пользователей это происходит в автоматическом режиме, а значит уже установленное приложение в любой момент может стать небезопасным после автоматического обновления. Возможно, производитель продукта будет не только поставлять продукт, но и будет организовывать процесс управления установкой приложений на смартфоны сотрудников, например, через публикации «белых списков» – перечня продуктов, разрешенных к установке. Большинство производителей подобных продуктов также предпочитают не нарушать лицензионные соглашения, прямо запрещающие декомпиляцию, хотя в России всегда к правам разработчиком относились снисходительно.
Сегодня новый продукт Solar Security уже востребован в банковской и ИТ-индустрии. Как сообщил в ходе своей презентации Игорь Ляпунов, новое решение, обеспечивающее поиск уязвимостей в ПО, актуально для работы в области бизнес-приложений, в особенности мобильного банкинга. По его словам, при разработчики мобильных приложений оставляют много «закладок», преследуя самые различные, в том числе корыстные цели.
Solar inCode в экосистеме управления безопасностью
По данным Центрального Банка России, в течение 2014 г. киберпреступники пытались вывести с банковских счетов 6 млрд руб. При этом, по данным J’son&Partners Consulting, совокупный объем рынка мобильных платежей за первое полугодие 2015 года превысил 120 млрд рублей, а по итогам 2018 года оборот платежей через мобильный банкинг превысит 35 млрд. рублей, с увеличением доли денежных переводов в структуре оборота платежей до 36,5%.
Как отмечает заместитель генерального директора компании InfoWatch Рустэм Хайретдинов, уязвимость банковских мобильных приложений не раз отмечалась как независимыми исследователями, так и экспертами банковского сообщества, поэтому этой теме регуляторы уделяют особое внимание: «Ответственность за безопасность своих приложений несут сами банки, поэтому они очень внимательно относятся к обеспечению безопасной разработки на протяжении всего жизненного цикла, в соответствии с рекомендациями ЦБ РФ. Правда, можно отметить, что, последнее время благодаря усилиям регуляторов и участников рынка, ситуация с защищенностью официальных банковских мобильных приложений сильно улучшилась».
Основными драйверами роста рынка мобильных платежей являются глобальная миграция платежей и переводов из офлайн-каналов в онлайн-каналы, миграция платежей и переводов из веб-версий финансовых продуктов в их мобильные версии, рост уровня проникновения и смартфонов, а также рост уровня проникновения банковских карт.
На презентации Solar inCode
Наш опыт работ по анализу защищенности приложений позволяет сделать довольно печальные выводы: большинство эксплуатируемых приложений имеют уязвимости средней и высокой критичности. И это не только внутренние бизнес-приложения. Речь идет о системах ДБО, мобильных банковских приложениях, системах управления закупками и т.п. Уязвимости обнаруживаются специалистом, работающим по методу «черного ящика», что уж говорить о случаях, когда в распоряжении аналитика оказывается исходный код. Проблема не новая.
Раз обжегшись, компании организуют регулярные тестирования на проникновения, заказывают анализ кода. Однако патчи и обновления к системам выходят ежемесячно, привнося новые риски. Чтобы не давать злоумышленникам фору в несколько месяцев, контроль защищенности приложений необходимо превратить из эпизодического события в непрерывный управляемый процесс. Здесь могут помочь такие продукты, как Solar inCode. Не заменяя на 100% работу аналитика, эти продукты могут обеспечить приемлемый уровень безопасности и отсутствие грубых ошибок для каждого мельчайшего патча.
Нам удалось познакомиться с технологической платформой inCode задолго до релиза, на этапе прототипа. Разработчики показали впечатляющий прогресс, не забыв не только о технологиях, но и об удобстве для пользователей. Продукт получился простым в освоении, очень дружелюбным даже для неспециалистов. Это важно, ведь пользоваться им будут не только программисты, но и «безопасники», имеющие начальный уровень программирования, но несущие непосредственную ответственность за неприступность рубежей ИТ-инфраструктуры своей компании.