#MSSD. Москва. 5 марта 2013

РИСКИ САМОСТОЯТЕЛЬНОЙ РАЗРАБОТКИ БИЗНЕС-ПРИЛОЖЕНИЙ

И СПОСОБЫ ИХ СНИЖЕНИЯ

Рустэм Хайретдинов

Appercut Security

ПОЧЕМУ КОМПАНИИ РАЗРАБАТЫВАЮТ БИЗНЕС-ПРИЛОЖЕНИЯ?

Нет одинаковых компанийСпецифика компании отображается в информационной системеУниверсальные системы избыточныПриходится переплачивать за функции, которыми не пользуютсяБизнес-среда меняется стремительноПриходится переплачивать за функции, которыми не пользуютсяЭто свершившийся фактБолее 80% компаний разрабатывают/дорабатывают бизнес ПО

СПЕЦИФИКА РАЗРАБОТКИ ЗАКАЗНЫХ БИЗНЕС-ПРИЛОЖЕНИЙ

Несистемные требования по безопасности приложенийУпор на функционал и нагрузку, игнорирование стандартовСлужбы ИБ в разработке не участвуютПривлекаются только к расследованиям инцидентовУпрощенный процесс разработкиИзменения идут непрерывно, код правится вместо выпуска патчейИспользуются закрытые платформы SAP, Oracle, MS Dynamics, 1C, Lotus, …

РИСКИ ЗАКАЗНЫХ ПРИЛОЖЕНИЙ

НеустойчивостьНепереносимостьЗлоупотребление доступомНештатное функционирование

ИСТОЧНИКИ РИСКОВ

Ошибки программированияОшибки архитектурыОтладочные ветвиТехнические учетные записи«Закладки»

АУДИТ БИЗНЕС-ПРИЛОЖЕНИЯ

Настройки

Заказной и самостоятельноразрабатываемый код

Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…)

Базовое приложение (SAP R3, Oracle EBS, MS Dynamics, Salesforce.com, 1C , и т.д.)

Комбинация ручного и

автоматизированного анализа

RRO: может находитьсложные уязвимости

CONTRA: долгий, дорогой и сложный процесс

ОДИНОКИХ ПРИЛОЖЕНИЙ НЕ БЫВАЕТ

REPORTINGDOCFLOW

SCADAERP ABS

PORTAL

BILLING

RUBRICATOR

WEBSTORE …

ANALITICS …

Реальный проект: 83 приложения,

11 языков, 6 бизнес-платформ2-3 сборки в день

ГОРИЗОНТАЛЬНЫЙ ПОДХОД

Настройки

Заказной и самостоятельноразрабатываемый код

Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…)

Базовое приложение (SAP R3, Oracle EBS, MS Dynamics, Salesforce.com, 1C , и т.д.)

Vulnerabilities Scanner

Compliance Settings Control

Custom Code Scanner

Vulnerabilities Scanner

APPERCUT CUSTOM CODE SCANNER

«Умные сигнатуры»

опасных приемов

программирования

Аналогалгоритма

поискацифровыхотпечатков

Нормализованный исходный код

Series1 Accuracy

Cost

, $$

100%

Free!!!

<100%<100%

ЭФФЕКТИВНОСТЬ ТЕХНОЛОГИЙ

APPERSCAN

SASTDAST

SAST+DAST SAST – статический анализ кода DAST – динамический анализ приложения

КОНТРОЛЬ ЗАКАЗНОГО ПРИЛОЖЕНИЯ

АУДИТ КОДАИзвестные уязвимости кода

РУЧНОЙ АНАЛИЗ КОДАПоиск НДВ

АУДИТ ДОПОЛНЕНИЙВсе уязвимости

АУДИТ ПРИЛОЖЕНИЯКомплексные уязвимости

Appercut Service / Стандартная база

Appercut Service / База клиента

Наполнения базыуязвимостей

КОНТРОЛЬ ЗАКАЗНОГО ПРИЛОЖЕНИЯ

Анализ известных уязвимостей кода

Моделирование уязвимостей бизнес-процессов

Компенсирующий контроль всех уязвимостей

Моделирование уязвимостей архитектуры

Appercut Service / Стандартная база

Appercut Service / База клиента

Наполнения базыуязвимостей

APPERCUT CCS – быстро и удобно

Не предполагается встраивание в процесс разработкиНе предполагается участие программистовАудируется любое количество приложенийВозможность добавлять пользовательские образцыРеализация в виде веб-сервиса Public/Private Cloud

ПОДДЕРЖИВАЕМЫЕ ПЛАТФОРМЫ

Традиционные средства разработки: Java, JavaScript, PHP, Cobol, C/С++, T-SQL, .NET (VB, C#, ASP), Delphi, Objective C, Python, Ruby…Традиционные бизнес-платформы: ABAP4 (SAP), PL/SQL (Oracle), LotusScript (IBM Lotus Notes), 1С ver 7 и 8, Microsoft Dynamics (X++), …Проприетарные языки и скрипты приложений, в т.ч. российских (БОСС, Directum, Atlantis, …)Любая платформа на заказ (нормализатор + 10 TOP-уязвимостей) – 1 месяц

ВОПРОСЫ, ПОЖАЛУЙСТА!

Рустэм ХайретдиновAppercut Security

sales@appercut-security.com+7(903)961-7312

www.appercut.com