вторник, 1 апреля 2014 г.

Юмор. Системы генерации защищенности

В последнее время большую популярность приобрели решения по анализу защищенности информационных систем, корпоративных сетей, web приложений, баз данных и т.п. Такие решения требуются в связи с законодательством РФ для защиты ИСПДн, ГИС, АСУ а также для уменьшения наиболее критических рисков. Можно сказать, что системы анализа защищенности, прошли долгий путь в 17 лет и как межсетевые экраны применяются почти во всех компаниях.

Первое время такие системы имели возможности только по внешнему анализу защищенности, методом “черного ящика”, когда проверяемое приложение уже введено в эксплуатацию. Назовем их системами первого поколения.

Год-полтора назад на российском рынке стали активно продвигаться 3 решения второго поколения, имеющие возможности анализа защищенности исходных кодов приложений и сервисов:  InfoWatch APPERCUT, ERPScan CheckCode, FortifyStatic Code Analyzer. Данные системы можно было применять сразу после окончания разработки приложения или сервиса и тем самым подняли планку защищенности систем ещё выше, но развитие на этом не закончилось.

Следующим шагом (третье поколение) стало внедрение в системы анализа защищенности - средств автоматизации безопасной разработки (Secure Development LifeCycles, SDLC). Таким образом разработчики приложений получили анализ защищенности кода в режиме реального времени при написании кода, возможность автокорректировки кода и автоматической генерации блоков заведомо безопасного кода.

Новым этапом (четвертое поколение систем) стало появление возможности генерации защищенного приложения по заранее заданным характеристикам. Такие системы анализа (генерации защищенности) необходимы чтобы избежать человеческих ошибок при разработке кода приложения.

Начали это поколение Microsoft, а остальные игроки на рынке анализа защищенности поддержали. Так ребята из DSec, в новой версии ERPScan добавили возможность генерации защищенных приложений SAP на языке ABAP, подготовили новый продукт DBOScan для генерации защищенных систем дистанционного банковского обслуживания и уже более года пытаются согласовать и пропихнуть стандарт по безопасной генерации ДБО.

Коллеги HP Fortify пошли немного по другому пути и выпустили модуль Runtime, позволяющий в любом запускаемом вами приложении на лету подменить уязвимый код на защищенный. "Из Г сделаем конфетку"

Жирную точку в этой гонке поставили разработчики из Infowatch совместившие возможности по анализу и генерации кода Appercute и мониторинга персон и репутации Kribrum. Новая система Krapper (пятое поколение) позволяет генерировать для каждого пользователя индивидуальное защищенное приложение в соответствии с его интересами, а по окончании сеанса уничтожать его (отсюда и название). . В специфике пользователей учтена их активность в социальных сетях, блогах, форумах. Для самых активных пользователей встроена возможность поделится данными и фотографиями. 
Проблемы хакеров решены по-умолчанию. Вместо того чтобы скрывать от них информации, система генерирует новое приложение в зависимости от интересов хакеров. И хакеры довольны и корпоративная информация цела.

Вот такой получился краткий обзор пяти поколений систем. Теперь вам решать – сканировать или генерировать защищенность.



5 комментариев:

Sergey Gordeychik комментирует...

Сергей, привет.

Напомнило http://www.securitylab.ru/news/392426.php, прежде всего тем, что иногда шутка быстро становится реальностью.

У Гартнера в хайпцайкле уже ниша запилена Runtime application self-protection (RASP) http://www.gartner.com/it-glossary/runtime-application-self-protection-rasp

Мы сейчас движемся в этом направлении. Например совместная работа PT Application Inspector (http://www.slideshare.net/qqlan/positive-technologies-a) с его фичей генерации эксплойтов и фичи "virtual patch" PT Application Firewall (http://www.ptsecurity.com/what_we_do/application-firewall/) - одна из ступенек.

ЗЫ. А стандарт ЦБ по жизненному циклу платежных приложений скоро выйдет, о чем в том числе и мы рассказывали в Магнитогорске (http://www.ptsecurity.ru/about/news/36798/)

Сергей Борисов комментирует...

На счет PT Application Inspector - круто, я его как то пропустил.

А всё остальное так и задумывалось. Шутка есть, но в ней намек...

Сергей Борисов комментирует...

Коллеги, надеюсь все догадались что эта статья - традиционная первоопрельская шутка.
И хотя решения, приведенные с ссылками действительно существуют, но на рынке нет никакой классификации систем анализа защищенности по поколениям и возможности приведенные в четвертом поколении и выше, преувеличены либо выдуманы.

Сергей Борисов комментирует...
Этот комментарий был удален автором.
Сергей Борисов комментирует...
Этот комментарий был удален автором.