SlideShare ist ein Scribd-Unternehmen logo

пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить" Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/

Technologie
1 von 28
Downloaden Sie, um offline zu lesen
27.04.2016 Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить
solarsecurity.ru +7 (499) 755-07-70 О чем пойдет речь  Что такое дыры  Как они появляются в коде  Какими инструментами их находить  Что делать с найденными дырами 2
solarsecurity.ru +7 (499) 755-07-70 Особенности разработки приложений с точки зрения ИБ Дыры в софте:  Уязвимости  Недекларированные возможности (закладки) 3
solarsecurity.ru +7 (499) 755-07-70 Откуда берутся уязвимости 4  Культура разработки – разработчик не уделяет внимания:  Языковым конструкциям, которые использует  Коду, который используется как сторонний  Безопасности связей между компонентами, которые разрабатывает  Недостаток времени:  Техническое задание разрабатывается быстро  Программное обеспечение разработается быстро: задержка в разработке – потеря денег  Можно удовлетворить только два из трех желаний: быстро, качественно и недорого ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
solarsecurity.ru +7 (499) 755-07-70 Статистика за 2015 год 5  Более 75% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты  Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2015 год  SQLi – 8,4% из всех атак за прошедший 2015 год
solarsecurity.ru +7 (499) 755-07-70 Что делать при выявлении уязвимости Идеальный вариант – устранить уязвимость, переписав код Некоторые уязвимости веб-приложений можно закрыть наложенными средствами защиты 7
solarsecurity.ru +7 (499) 755-07-70 Bug bounty Официальная возможность заработать на найденных дырах В среднем – несколько сотен долларов за уязвимость Чрезмерно активное исследование на дыры может завалить исследуемую систему, к этому надо быть готовым 8
solarsecurity.ru +7 (499) 755-07-70 Что делать, если получили информацию об уязвимостях от внешних лиц Поблагодарить человека за присланную информацию Проверить уязвимость Если она подтвердилась – принять решение об устранении, исходя из ее критичности Критичные уязвимости устранять как можно быстрее Стараться не отвечать приславшему в стиле «да это вообще не уязвимость» 9
solarsecurity.ru +7 (499) 755-07-70 Сложности 10  Получить исходный код у разработчиков  Убедиться, что код «собирается в проект» и не имеет «неразрешенных зависимостей»  Проверить код: корректно запустить скан  Суметь понять, что написано в отчете  Донести до разработчиков все найденные уязвимости и объяснить их понятным языком
solarsecurity.ru +7 (499) 755-07-70 Методология безопасного программирования SDL – Secure Development Lifecycle  Официально считается, что SDL был впервые внедрен в Microsoft в 2004 г. SDL предполагает закладывание требований по ИБ еще на этапе ТЗ на систему. Важным элементом является тестирование кода на безопасность с возможным наложением вето на передачу релиза в production 11
solarsecurity.ru +7 (499) 755-07-70 Кто, когда и сколько должен проверять софт В идеале тестировать необходимо после внесения изменений в код Если изменений не происходит, то рекомендуется делать проверки при обновлении базы уязвимостей  Тестировать должно независимое от разработки лицо, которое компетентно в вопросах ИБ 12
solarsecurity.ru +7 (499) 755-07-70 Как проверить софт? 13
solarsecurity.ru +7 (499) 755-07-70 Откуда брать информацию об уязвимостях. Некоторые источники https://www.owasp.org https://cwe.mitre.org/ https://capec.mitre.org/ https://www.cvedetails.com/ http://csrc.nist.gov/groups/ST/index.html 14
solarsecurity.ru +7 (499) 755-07-70 Белый ящик. С исходниками или без  С исходниками нет сложностей с восстановлением кода  Без исходников можно брат приложение прямо из production, есть гарантия, что вы проверяете тот же самый код, а не зачищенную версию  Без исходников вы также анализируете дыры в скомпилированных кусках софта, взятого из других источников. 15
solarsecurity.ru +7 (499) 755-07-70 Проверка на НДВ («закладки») Самое глубокое тестирование на НДВ можно провести только силами эксперта. У него обязательно должна быть документация на систему Автоматически можно искать НДВ в коде по шаблонным признакам: «Захардкоженный» пароль Временной триггер 16
solarsecurity.ru +7 (499) 755-07-70 Продукты для статического анализа кода 17 IBM Security AppScan Source APPERCUT HP Fortify Static Code Analyzer Checkmarx Static Code Analysis PT Application Inspector Solar inCode
solarsecurity.ru +7 (499) 755-07-70 Здесь могла бы быть ваша реклама 18
solarsecurity.ru +7 (499) 755-07-70 На что обратить внимание при выборе сканера  Поддержка тех языков программирования, которые Вам нужны  Понятный для Вас отчет: язык отчета, описание «дыр», рекомендаций итп  Возможность проверки приложений как по исходникам, так и без  Удобство работы: управление правилами поиска уязвимостей, кастомизация отчетов, интеграция с репозиториями, Bug Tracking Systems, IDE  Возможность генерации рекомендаций для наложенных СЗИ  Количество пропусков уязвимостей  Количество ложных срабатываний 19
solarsecurity.ru +7 (499) 755-07-70 Cloud vs OnSite Облачный формат: как правило не требует вложения в железо и софт Но надо внутренне согласиться с передачей своего кода наружу Как правило дешевле и выгоднее, если у Вас небольшие объемы анализируемого кода 20
solarsecurity.ru +7 (499) 755-07-70 Cloud vs OnSite OnSite Требует внедрения и администрирования Дает больше возможностей по автоматизации SDL Анализируемый код не уходит в облако Как правило является предпочтительным вариантом для клиентов с большим количеством разрабатываемого/анализируемого кода 21
solarsecurity.ru +7 (499) 755-07-70 Основные языки 22  ActionScript  Delphi  MXML (Flex)  ASP.NET  VB.NET,  C# (.NET)  C/C++  Classic ASP (with VBScript)  COBOL  HTML  JavaScript  AJAX  JSP  Objective-C  PL/SQL  Python  T-SQL  Visual Basic  VBScript  XML  PHP  Scala  Java  Java for Android
solarsecurity.ru +7 (499) 755-07-70 Что должно быть в отчетах  Executive Summary  Бенчмаркинг  Статистика найденных уязвимостей  Динамика изменения уязвимостей  Описание найденных уязвимостей и возможных атак  Критичность найденных уязвимостей  Рекомендации по корректировке кода  Рекомендации по настройке наложенных СЗИ (где применимо)  Служебная информация по анализируемому коду: структура проекта, объем кода итп. 23
solarsecurity.ru +7 (499) 755-07-70 ФСТЭК России про контроль кода 21 приказ: 11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры: • проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых; • тестирование информационной системы на проникновения; • использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования. 24
solarsecurity.ru +7 (499) 755-07-70 Реестр отечественного ПО 25 https://reestr.minsvyaz.ru/reestr/73530
solarsecurity.ru +7 (499) 755-07-70 Полезные ссылки  Анализаторы исходного кода – обзор рынка в России и в мире: https://www.anti- malware.ru/reviews/Code_analyzers_market_overview_Russia_and_world  Базы уязвимостей:  https://www.owasp.org  https://cwe.mitre.org/  https://capec.mitre.org/  https://www.cvedetails.com/  http://csrc.nist.gov/groups/ST/index.html  Microsoft SDL: https://www.microsoft.com/en-us/sdl/  http://bdu.fstec.ru/ 26
solarsecurity.ru +7 (499) 755-07-70 Ближайший вебинар «Solar inCode: в поисках уязвимостей» 02.06.2016 11:00 (Мск) http://solarsecurity.ru/analytics/webinars/682 Solar inCode – это не просто отечественный анализатор кода, это инструмент проверки безопасности приложений нового поколения. Он позволяет проводить проверку ПО на уязвимости даже при отсутствие исходного кода, для этого достаточно загрузить в сканер рабочие файлы приложений, а в случае мобильных приложений – скопировать в сканер ссылку из Apple Store или Google Play. Мы приглашаем сотрудников подразделений разработки и сотрудников служб ИБ принять участие в вебинаре, который пройдет 02 июня (четверг) 2016 года в 11.00, и поближе познакомиться с Solar inCode. Даниил Чернов, руководитель направления Application Security компании Solar Security, подробно расскажет о продукте и ответит на ваши вопросы. На вебинаре вы узнаете:  Почему Solar inCode уникальный инструмент анализа приложений?  Какая технология позволяет проводить анализ без исходных кодов?  Что такое технология Fuzzy Logic Engine, и как она помогает снизить количество ложных срабатываний?  Что дает сочетание технологий деобфускации и декомпиляции?  Почему Solar inCode – это инструмент, предназначенный прежде всего для специалистов по информационной безопасности?
Даниил Чернов Руководитель направления Application Security www.solarsecurity.ru d.chernov@solarsecurity.ru

Empfohlen

пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Empfohlen

пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр Про DLP Dozor v6
пр Про DLP Dozor v6пр Про DLP Dozor v6
пр Про DLP Dozor v6Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10пр Актуальность аутсорсинга ИБ в России 2015 12-10
пр Актуальность аутсорсинга ИБ в России 2015 12-10Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для RiscAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar securityAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Айсбер утечки информации
пр Айсбер утечки информации пр Айсбер утечки информации
пр Айсбер утечки информации Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Weitere ähnliche Inhalte

Was ist angesagt?

Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Solar Security
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрииAleksey Lukatskiy
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Solar Security
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угрозAleksey Lukatskiy
 

Was ist angesagt? (19)

пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small) пр Процедура управление инцидентами иб (Small)
пр Процедура управление инцидентами иб (Small)
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
Вебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdMВебинар Спроси эксперта про IdM
Вебинар Спроси эксперта про IdM
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
2.про soc от solar security
2.про soc от solar security2.про soc от solar security
2.про soc от solar security
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)пр Управление инцидентами ИБ (Dozor)
пр Управление инцидентами ИБ (Dozor)
 
пр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOCпр 02.Устройство и Сервисы JSOC
пр 02.Устройство и Сервисы JSOC
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль Корпоративное воровство. Как взять его под контроль
Корпоративное воровство. Как взять его под контроль
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 

Andere mochten auch

Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютпр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Babok v2.0 перевод на русский язык свод знаний по бизнес анализу
Babok v2.0 перевод на русский язык свод знаний по бизнес анализуBabok v2.0 перевод на русский язык свод знаний по бизнес анализу
Babok v2.0 перевод на русский язык свод знаний по бизнес анализуIvan Shamaev
 
ТРИЗ. Применение в бизнес-анализе
ТРИЗ. Применение в бизнес-анализеТРИЗ. Применение в бизнес-анализе
ТРИЗ. Применение в бизнес-анализеАндрей Курьян
 
05 задачи эксперта в работе аналитика
05 задачи эксперта в работе аналитика05 задачи эксперта в работе аналитика
05 задачи эксперта в работе аналитикаNatalya Sveshnikova
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление требованиями
Управление требованиямиУправление требованиями
Управление требованиямиIvan Shamaev
 

Andere mochten auch (20)

пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Айсбер утечки информации
пр Айсбер утечки информации пр Айсбер утечки информации
пр Айсбер утечки информации
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
пр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLPпр Организационные и юридические аспекты использования DLP
пр Организационные и юридические аспекты использования DLP
 
пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)пр нужны ли Dlp системы для защиты пдн (прозоров)
пр нужны ли Dlp системы для защиты пдн (прозоров)
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
Information classification
Information classificationInformation classification
Information classification
 
пр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютпр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работают
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016
 
Babok v2.0 перевод на русский язык свод знаний по бизнес анализу
Babok v2.0 перевод на русский язык свод знаний по бизнес анализуBabok v2.0 перевод на русский язык свод знаний по бизнес анализу
Babok v2.0 перевод на русский язык свод знаний по бизнес анализу
 
ТРИЗ. Применение в бизнес-анализе
ТРИЗ. Применение в бизнес-анализеТРИЗ. Применение в бизнес-анализе
ТРИЗ. Применение в бизнес-анализе
 
05 задачи эксперта в работе аналитика
05 задачи эксперта в работе аналитика05 задачи эксперта в работе аналитика
05 задачи эксперта в работе аналитика
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Управление требованиями
Управление требованиямиУправление требованиями
Управление требованиями
 

Ähnlich wie пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить

Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Solar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...KazHackStan
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
РСПП_v071 2019.pptx
РСПП_v071 2019.pptxРСПП_v071 2019.pptx
РСПП_v071 2019.pptxIlya Karpov
 
калмыков росс 2013
калмыков росс 2013калмыков росс 2013
калмыков росс 2013RosaLab
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Bachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionBachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionDenis Zakharov
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISOVsevolod Shabad
 
Цифровой суверенитет для российских облачных систем
Цифровой суверенитет для российских облачных системЦифровой суверенитет для российских облачных систем
Цифровой суверенитет для российских облачных системru_Parallels
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspectorqqlan
 
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...Tatyanazaxarova
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, RedmadrobotMail.ru Group
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 

Ähnlich wie пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить (20)

Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Secure development
Secure developmentSecure development
Secure development
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
РСПП_v071 2019.pptx
РСПП_v071 2019.pptxРСПП_v071 2019.pptx
РСПП_v071 2019.pptx
 
калмыков росс 2013
калмыков росс 2013калмыков росс 2013
калмыков росс 2013
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Bachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionBachelors Diploma Slides Short Version
Bachelors Diploma Slides Short Version
 
Первые шаги нового CISO
Первые шаги нового CISOПервые шаги нового CISO
Первые шаги нового CISO
 
Цифровой суверенитет для российских облачных систем
Цифровой суверенитет для российских облачных системЦифровой суверенитет для российских облачных систем
Цифровой суверенитет для российских облачных систем
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
 
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
«Взломать за 60 секунд», Артем Кулаков, Redmadrobot
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить

  • 1. 27.04.2016 Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить
  • 2. solarsecurity.ru +7 (499) 755-07-70 О чем пойдет речь  Что такое дыры  Как они появляются в коде  Какими инструментами их находить  Что делать с найденными дырами 2
  • 3. solarsecurity.ru +7 (499) 755-07-70 Особенности разработки приложений с точки зрения ИБ Дыры в софте:  Уязвимости  Недекларированные возможности (закладки) 3
  • 4. solarsecurity.ru +7 (499) 755-07-70 Откуда берутся уязвимости 4  Культура разработки – разработчик не уделяет внимания:  Языковым конструкциям, которые использует  Коду, который используется как сторонний  Безопасности связей между компонентами, которые разрабатывает  Недостаток времени:  Техническое задание разрабатывается быстро  Программное обеспечение разработается быстро: задержка в разработке – потеря денег  Можно удовлетворить только два из трех желаний: быстро, качественно и недорого ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО
  • 5. solarsecurity.ru +7 (499) 755-07-70 Статистика за 2015 год 5  Более 75% успешных кибератак эксплуатируют «дыры» в ПО, т.к. на сегодняшний день это самое слабое звено технической защиты  Уязвимости для платформы Android – 15% из всех уязвимостей, публично опубликованных за 2015 год  SQLi – 8,4% из всех атак за прошедший 2015 год
  • 6.
  • 7. solarsecurity.ru +7 (499) 755-07-70 Что делать при выявлении уязвимости Идеальный вариант – устранить уязвимость, переписав код Некоторые уязвимости веб-приложений можно закрыть наложенными средствами защиты 7
  • 8. solarsecurity.ru +7 (499) 755-07-70 Bug bounty Официальная возможность заработать на найденных дырах В среднем – несколько сотен долларов за уязвимость Чрезмерно активное исследование на дыры может завалить исследуемую систему, к этому надо быть готовым 8
  • 9. solarsecurity.ru +7 (499) 755-07-70 Что делать, если получили информацию об уязвимостях от внешних лиц Поблагодарить человека за присланную информацию Проверить уязвимость Если она подтвердилась – принять решение об устранении, исходя из ее критичности Критичные уязвимости устранять как можно быстрее Стараться не отвечать приславшему в стиле «да это вообще не уязвимость» 9
  • 10. solarsecurity.ru +7 (499) 755-07-70 Сложности 10  Получить исходный код у разработчиков  Убедиться, что код «собирается в проект» и не имеет «неразрешенных зависимостей»  Проверить код: корректно запустить скан  Суметь понять, что написано в отчете  Донести до разработчиков все найденные уязвимости и объяснить их понятным языком
  • 11. solarsecurity.ru +7 (499) 755-07-70 Методология безопасного программирования SDL – Secure Development Lifecycle  Официально считается, что SDL был впервые внедрен в Microsoft в 2004 г. SDL предполагает закладывание требований по ИБ еще на этапе ТЗ на систему. Важным элементом является тестирование кода на безопасность с возможным наложением вето на передачу релиза в production 11
  • 12. solarsecurity.ru +7 (499) 755-07-70 Кто, когда и сколько должен проверять софт В идеале тестировать необходимо после внесения изменений в код Если изменений не происходит, то рекомендуется делать проверки при обновлении базы уязвимостей  Тестировать должно независимое от разработки лицо, которое компетентно в вопросах ИБ 12
  • 13. solarsecurity.ru +7 (499) 755-07-70 Как проверить софт? 13
  • 14. solarsecurity.ru +7 (499) 755-07-70 Откуда брать информацию об уязвимостях. Некоторые источники https://www.owasp.org https://cwe.mitre.org/ https://capec.mitre.org/ https://www.cvedetails.com/ http://csrc.nist.gov/groups/ST/index.html 14
  • 15. solarsecurity.ru +7 (499) 755-07-70 Белый ящик. С исходниками или без  С исходниками нет сложностей с восстановлением кода  Без исходников можно брат приложение прямо из production, есть гарантия, что вы проверяете тот же самый код, а не зачищенную версию  Без исходников вы также анализируете дыры в скомпилированных кусках софта, взятого из других источников. 15
  • 16. solarsecurity.ru +7 (499) 755-07-70 Проверка на НДВ («закладки») Самое глубокое тестирование на НДВ можно провести только силами эксперта. У него обязательно должна быть документация на систему Автоматически можно искать НДВ в коде по шаблонным признакам: «Захардкоженный» пароль Временной триггер 16
  • 17. solarsecurity.ru +7 (499) 755-07-70 Продукты для статического анализа кода 17 IBM Security AppScan Source APPERCUT HP Fortify Static Code Analyzer Checkmarx Static Code Analysis PT Application Inspector Solar inCode
  • 18. solarsecurity.ru +7 (499) 755-07-70 Здесь могла бы быть ваша реклама 18
  • 19. solarsecurity.ru +7 (499) 755-07-70 На что обратить внимание при выборе сканера  Поддержка тех языков программирования, которые Вам нужны  Понятный для Вас отчет: язык отчета, описание «дыр», рекомендаций итп  Возможность проверки приложений как по исходникам, так и без  Удобство работы: управление правилами поиска уязвимостей, кастомизация отчетов, интеграция с репозиториями, Bug Tracking Systems, IDE  Возможность генерации рекомендаций для наложенных СЗИ  Количество пропусков уязвимостей  Количество ложных срабатываний 19
  • 20. solarsecurity.ru +7 (499) 755-07-70 Cloud vs OnSite Облачный формат: как правило не требует вложения в железо и софт Но надо внутренне согласиться с передачей своего кода наружу Как правило дешевле и выгоднее, если у Вас небольшие объемы анализируемого кода 20
  • 21. solarsecurity.ru +7 (499) 755-07-70 Cloud vs OnSite OnSite Требует внедрения и администрирования Дает больше возможностей по автоматизации SDL Анализируемый код не уходит в облако Как правило является предпочтительным вариантом для клиентов с большим количеством разрабатываемого/анализируемого кода 21
  • 22. solarsecurity.ru +7 (499) 755-07-70 Основные языки 22  ActionScript  Delphi  MXML (Flex)  ASP.NET  VB.NET,  C# (.NET)  C/C++  Classic ASP (with VBScript)  COBOL  HTML  JavaScript  AJAX  JSP  Objective-C  PL/SQL  Python  T-SQL  Visual Basic  VBScript  XML  PHP  Scala  Java  Java for Android
  • 23. solarsecurity.ru +7 (499) 755-07-70 Что должно быть в отчетах  Executive Summary  Бенчмаркинг  Статистика найденных уязвимостей  Динамика изменения уязвимостей  Описание найденных уязвимостей и возможных атак  Критичность найденных уязвимостей  Рекомендации по корректировке кода  Рекомендации по настройке наложенных СЗИ (где применимо)  Служебная информация по анализируемому коду: структура проекта, объем кода итп. 23
  • 24. solarsecurity.ru +7 (499) 755-07-70 ФСТЭК России про контроль кода 21 приказ: 11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры: • проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых; • тестирование информационной системы на проникновения; • использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования. 24
  • 25. solarsecurity.ru +7 (499) 755-07-70 Реестр отечественного ПО 25 https://reestr.minsvyaz.ru/reestr/73530
  • 26. solarsecurity.ru +7 (499) 755-07-70 Полезные ссылки  Анализаторы исходного кода – обзор рынка в России и в мире: https://www.anti- malware.ru/reviews/Code_analyzers_market_overview_Russia_and_world  Базы уязвимостей:  https://www.owasp.org  https://cwe.mitre.org/  https://capec.mitre.org/  https://www.cvedetails.com/  http://csrc.nist.gov/groups/ST/index.html  Microsoft SDL: https://www.microsoft.com/en-us/sdl/  http://bdu.fstec.ru/ 26
  • 27. solarsecurity.ru +7 (499) 755-07-70 Ближайший вебинар «Solar inCode: в поисках уязвимостей» 02.06.2016 11:00 (Мск) http://solarsecurity.ru/analytics/webinars/682 Solar inCode – это не просто отечественный анализатор кода, это инструмент проверки безопасности приложений нового поколения. Он позволяет проводить проверку ПО на уязвимости даже при отсутствие исходного кода, для этого достаточно загрузить в сканер рабочие файлы приложений, а в случае мобильных приложений – скопировать в сканер ссылку из Apple Store или Google Play. Мы приглашаем сотрудников подразделений разработки и сотрудников служб ИБ принять участие в вебинаре, который пройдет 02 июня (четверг) 2016 года в 11.00, и поближе познакомиться с Solar inCode. Даниил Чернов, руководитель направления Application Security компании Solar Security, подробно расскажет о продукте и ответит на ваши вопросы. На вебинаре вы узнаете:  Почему Solar inCode уникальный инструмент анализа приложений?  Какая технология позволяет проводить анализ без исходных кодов?  Что такое технология Fuzzy Logic Engine, и как она помогает снизить количество ложных срабатываний?  Что дает сочетание технологий деобфускации и декомпиляции?  Почему Solar inCode – это инструмент, предназначенный прежде всего для специалистов по информационной безопасности?
  • 28. Даниил Чернов Руководитель направления Application Security www.solarsecurity.ru d.chernov@solarsecurity.ru