Мы занимаемся информационной безопасностью

PT Application Inspector

Анализ исходного кода

PT Application Inspector

Создание системы анализа безопасности исходного кода приложений, как элемент процесса безопасной разработки, позволит снизить риски возникновения инцидентов ИБ в процессе эксплуатации разрабатываемых приложений и значительно снизит трудозатраты на устранение обнаруженных уязвимостей за счёт их раннего обнаружения. Это позволит компании снизить вероятность материальных потерь и нарушения требований регуляторов.

Для создания системы анализа безопасности исходного кода предлагается использовать решение Positive Technologies Application Inspector. Этот продукт компании Positive Technologies использует новейшие технологии анализа исходного кода, не имеющие в настоящее время аналогов. К таким технологиям относится проверка наличия уязвимости с помощью генерации скриптов эксплуатирующих обнаруженные уязвимости, а также оптимальная комбинация методов статического и динамического анализа безопасности кода.

Схема PT Application Inspector

Оперативное и эффективное исправление уязвимостей крайне важно: нельзя терять время, анализируя ложные срабатывания. Интеллектуальный механизм анализа PT Application Inspector выявляет только настоящие уязвимости, оставляя в стороне ошибки программного кода, что существенно сокращает количество потенциальных ложных срабатываний.

В отличие от других анализаторов исходного кода, PT Application Inspector способен проводить проверку приложений, написанных на разных языках программирования, например проверку web-приложений на ASP.NET с интерфейсом HTML5 и JavaScript, использующее базу данных SQL.

Благодаря автоматизации всего процесса PT Application Inspector устраняет сложности в обеспечении безопасности приложения, сокращая при этом затраты на контроль соответствия стандартам. Таким образом, безопасностью вашего предприятия управляете вы сами.

Не стоит беспокоиться, если вы не являетесь специалистом в области безопасности. PT Application Inspector быстро покажет, каким образом можно использовать уязвимости в коде: это избавит от необходимости самостоятельно анализировать риск возможной атаки. Когда PT AI находит уязвимость, он автоматически генерирует вектор атаки, например HTTP- или JSON-запрос, наглядно демонстрируя уязвимость и то, как она может быть использована злоумышленниками.

Большинство традиционных анализаторов исходного кода реализуют либо подход DAST (Dynamic Application Security Testing – динамический анализ безопасности приложений), с помощью которого тестируется безопасность во время работы приложений, либо SAST (Static Application Security Testing – статический анализ безопасности приложений), суть которого заключается в исследовании исходного кода. В последнее время, некоторые разработчики начали применять метод IAST (Interactive Application Security Testing – интерактивный анализ безопасности приложений) в попытке совместить преимущества DAST и SAST. В PT Application Inspector применен иной, более современный подход, реализующий комплексное использование DAST, SAST и IAST на оптимальных этапах анализа, что позволяет извлечь максимальную выгоду из всех подходов без каких-либо недостатков. Применяя абстрактную интерпретацию, PT AI позволяет обеспечить глубокий анализ кода и API, а также провести оценку безопасности, сравнимую с показателями SAST-решений. Встроенный мультиязыковой трассирующий механизм осуществляет IAST-подобный анализ для случаев любой степени сложности, а уникальный генератор эксплойтов выдает простые для понимания результаты.

Ключевые возможности PT Application Inspector:

  • Высокий уровень обнаружения уязвимостей благодаря использованию механизмов SAST, DAST и IAST;
  • Генерация эксплойта дает точную картинку возможного риска;
  • Увеличение эффективности за счет ориентации на настоящие уязвимости, а не на ошибки программного кода;
  • Стандартизация контроля безопасности с помощью решения, которое работает со многими языками и платформами, включая web, мобильные приложения и ERP-системы;
  • Обеспечение безопасности с помощью интеграции с WAF и IPS.

Дополнительные возможности PT Application Inspector:

  • Обнаружение уязвимостей и программных закладок (бэкдоров) по шаблону путем выявления похожей логики или схожего синтаксиса;
  • Поддержка множества технологий, включая Java (Java SE, Java для Android, Java EE, Java Frameworks), .NET (MSIL), SQL (SQL 92, PL/SQL, T-SQL), PHP, web-технологии (HTML5, JavaScript, VBScript, JSON/XML-RPC), XML (Generic, XSLT, XPath, XQuery);
  • Обнаружение ряда атак и уязвимостей, включая внедрение SQL-кода, межсайтовое выполнение сценариев, расщепление HTTP-запроса, внедрение операторов XPath и LDAP, атаки XML External Entity Injection;
  • PT Application Inspector может быть развернут локально, в качестве клиент-серверного решения или как SaaS;
  • Прозрачная интеграция с продуктами Positive Technologies, включая MaxPatrol и Application Firewall.