#mssd . Москва. 5 марта 2013
DESCRIPTION
РИСКИ САМОСТОЯТЕЛЬНОЙ РАЗРАБОТКИ БИЗНЕС-ПРИЛОЖЕНИЙ И СПОСОБЫ ИХ СНИЖЕНИЯ Рустэм Хайретдинов Appercut Security. #MSSD . Москва. 5 марта 2013. ПОЧЕМУ КОМПАНИИ РАЗРАБАТЫВАЮТ БИЗНЕС-ПРИЛОЖЕНИЯ?. - PowerPoint PPT PresentationTRANSCRIPT
#MSSD. Москва. 5 марта 2013
РИСКИ САМОСТОЯТЕЛЬНОЙ РАЗРАБОТКИ БИЗНЕС-ПРИЛОЖЕНИЙ
И СПОСОБЫ ИХ СНИЖЕНИЯ
Рустэм Хайретдинов
Appercut Security
ПОЧЕМУ КОМПАНИИ РАЗРАБАТЫВАЮТ БИЗНЕС-ПРИЛОЖЕНИЯ?
Нет одинаковых компанийСпецифика компании отображается в информационной системеУниверсальные системы избыточныПриходится переплачивать за функции, которыми не пользуютсяБизнес-среда меняется стремительноПриходится переплачивать за функции, которыми не пользуютсяЭто свершившийся фактБолее 80% компаний разрабатывают/дорабатывают бизнес ПО
СПЕЦИФИКА РАЗРАБОТКИ ЗАКАЗНЫХ БИЗНЕС-ПРИЛОЖЕНИЙ
Несистемные требования по безопасности приложенийУпор на функционал и нагрузку, игнорирование стандартовСлужбы ИБ в разработке не участвуютПривлекаются только к расследованиям инцидентовУпрощенный процесс разработкиИзменения идут непрерывно, код правится вместо выпуска патчейИспользуются закрытые платформы SAP, Oracle, MS Dynamics, 1C, Lotus, …
РИСКИ ЗАКАЗНЫХ ПРИЛОЖЕНИЙ
НеустойчивостьНепереносимостьЗлоупотребление доступомНештатное функционирование
ИСТОЧНИКИ РИСКОВ
Ошибки программированияОшибки архитектурыОтладочные ветвиТехнические учетные записи«Закладки»
АУДИТ БИЗНЕС-ПРИЛОЖЕНИЯ
Настройки
Заказной и самостоятельноразрабатываемый код
Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…)
Базовое приложение (SAP R3, Oracle EBS, MS Dynamics, Salesforce.com, 1C , и т.д.)
Комбинация ручного и
автоматизированного анализа
RRO: может находитьсложные уязвимости
CONTRA: долгий, дорогой и сложный процесс
ОДИНОКИХ ПРИЛОЖЕНИЙ НЕ БЫВАЕТ
REPORTINGDOCFLOW
SCADAERP ABS
PORTAL
BILLING
RUBRICATOR
WEBSTORE …
ANALITICS …
Реальный проект: 83 приложения,
11 языков, 6 бизнес-платформ2-3 сборки в день
ГОРИЗОНТАЛЬНЫЙ ПОДХОД
Настройки
Заказной и самостоятельноразрабатываемый код
Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…)
Базовое приложение (SAP R3, Oracle EBS, MS Dynamics, Salesforce.com, 1C , и т.д.)
Vulnerabilities Scanner
Compliance Settings Control
Custom Code Scanner
Vulnerabilities Scanner
APPERCUT CUSTOM CODE SCANNER
«Умные сигнатуры»
опасных приемов
программирования
Аналогалгоритма
поискацифровыхотпечатков
Нормализованный исходный код
Series1 Accuracy
Cost
, $$
100%
Free!!!
<100%<100%
ЭФФЕКТИВНОСТЬ ТЕХНОЛОГИЙ
APPERSCAN
SASTDAST
SAST+DAST SAST – статический анализ кода DAST – динамический анализ приложения
КОНТРОЛЬ ЗАКАЗНОГО ПРИЛОЖЕНИЯ
АУДИТ КОДАИзвестные уязвимости кода
РУЧНОЙ АНАЛИЗ КОДАПоиск НДВ
АУДИТ ДОПОЛНЕНИЙВсе уязвимости
АУДИТ ПРИЛОЖЕНИЯКомплексные уязвимости
Appercut Service / Стандартная база
Appercut Service / База клиента
Наполнения базыуязвимостей
КОНТРОЛЬ ЗАКАЗНОГО ПРИЛОЖЕНИЯ
Анализ известных уязвимостей кода
Моделирование уязвимостей бизнес-процессов
Компенсирующий контроль всех уязвимостей
Моделирование уязвимостей архитектуры
Appercut Service / Стандартная база
Appercut Service / База клиента
Наполнения базыуязвимостей
APPERCUT CCS – быстро и удобно
Не предполагается встраивание в процесс разработкиНе предполагается участие программистовАудируется любое количество приложенийВозможность добавлять пользовательские образцыРеализация в виде веб-сервиса Public/Private Cloud
ПОДДЕРЖИВАЕМЫЕ ПЛАТФОРМЫ
Традиционные средства разработки: Java, JavaScript, PHP, Cobol, C/С++, T-SQL, .NET (VB, C#, ASP), Delphi, Objective C, Python, Ruby…Традиционные бизнес-платформы: ABAP4 (SAP), PL/SQL (Oracle), LotusScript (IBM Lotus Notes), 1С ver 7 и 8, Microsoft Dynamics (X++), …Проприетарные языки и скрипты приложений, в т.ч. российских (БОСС, Directum, Atlantis, …)Любая платформа на заказ (нормализатор + 10 TOP-уязвимостей) – 1 месяц
ВОПРОСЫ, ПОЖАЛУЙСТА!
Рустэм ХайретдиновAppercut Security
[email protected]+7(903)961-7312
www.appercut.com