Хотите проанализировать исходный код вашего веб-приложения? Тогда вам сюда!

 

На сегодняшний день деятельность любого бизнеса сложно представить без автоматизации. Официальные сайты, электронные торговые площадки, системы документооборота, учета, дистанционного банковского обслуживания и множество других приложений призваны сократить число рутинных операций и повысить эффективность работы. Однако вместе с функциональностью растет и сложность реализации приложений. Разработчикам все труднее выявлять и исправлять ошибки, которые приводят к возникновению критически опасных уязвимостей. Это объясняется недостаточным уровнем зрелости процессов информационной безопасности, отсутствием культуры безопасной разработки и удобных инструментов для разработчиков и служб ИБ. В результате, аудит безопасности если и проводится, то уже развернутого и готового к использованию приложения, что в сотни раз повышает стоимость исправления обнаруженных уязвимостей.

Поэтому хотим рассказать Вам про универсальный инструмент для защиты веб-приложений любого масштаба PT Application Inspector (PT AI) компании Positive Technologies.

В основе этого программного решения лежит комплексный подход, сочетающий преимущества статического, динамического и интерактивного анализа. Эти технологии позволяют обеспечить безопасность приложения на всех этапах его создания, от первых строк кода до использования в промышленной эксплуатации.

КАК РАБОТАЕТ PT APPLICATION INSPECTOR

PT Application Inspector анализирует исходный код или готовое приложение, комбинируя статические, динамические и интерактивные методы (SAST, DAST и IAST). По итогам анализа PT Application Inspector не только выдает данные о номере строки и типе уязвимости, но и генерирует эксплойты — безопасные, но эффективные тестовые запросы, которые помогают подтвердить или опровергнуть наличие уязвимости. Благодаря модулю динамического анализа эти запросы запускаются на любом тестовом стенде, в том числе в автоматическом режиме, что радикально сокращает трудозатраты экспертов. Анализ кода на ранних стадиях разработки сокращает цену исправления найденных уязвимостей в десятки раз. Но возможны ситуации, когда требуется защитить уже работающее приложение. Уникальной особенностью PT Application Inspector является автоматическая выгрузка результатов анализа в межсетевой экран уровня веб-приложений PT Application Firewall, который применяет правила для блокировки атак на уязвимое приложение на время исправления кода.

ДЛЯ КОГО PT APPLICATION INSPECTOR

PT Application Inspector может использоваться для обеспечения безопасности приложений любых масштабов — от корпоративного сайта до облачных сервисов и систем электронного правительства.

Данное решение может быть интересно не только разработчикам web-приложений, но и компаниям, которые используют эти приложения (CRM, интернет-магазины, финансовые онлайн-сервисы и многое другое).

Банки и финансовые учреждения

Банки используют множество критически важных приложений, которые используются как клиентами, так и их партнерами (ДБО, CRM, приложения для трейдинга). Зачастую в подобных приложениях существуют уязвимости высокой степени риска, связанные с ошибками в коде, недостатками конфигурации. Внесение изменений в крупные системы управления финансовой деятельностью иногда требует больших временных затрат. Непрерывная работа практически не оставляет возможности для установки актуальных обновлений безопасности. Они представляют большой интерес для злоумышленников: на них совершаются автоматизированные и ручные атаки. Происходят также атаки на клиентов банковских приложений.

Сертифицирующие органы

При сертификации защитного ПО испытательные лаборатории должны соблюдать предписания регулирующих организаций. Последние нормативы ФСТЭК обязывают контролировать отсутствие угроз НДВ в ПО («функциональных возможностей средств вычислительной техники, не описанных или не соответствующих описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации») и обнаруживать недостатки в защищенности. Вовремя не обнаруженные ошибки кода и конфигурации, слабые механизмы аутентификации и другие внутренние недостатки системы могут быть использованы злоумышленниками.

Инженерные сети и коммуникации

В основе любого современного предприятия лежит ERP-система, при помощи которой осуществляются бухгалтерский учет, управление, контроль поставок и многие другие процессы. Такие системы часто имеют доступ в интернет (например, SRM, CRM и HCM) и связаны через интеграционные шлюзы. Системы часто обслуживаются компаниями-посредниками и контролируются удаленно, а механизмы их защиты ослаблены для упрощения эксплуатации. Разработчики кода бизнес-приложений больше заботятся о функциональности, чем о безопасности. Такие системы часто подвергаются специфической модификации и адаптации к нуждам заказчика. Требования к непрерывности работы подобных систем практически не оставляют возможности для разработки и установки актуальных обновлений безопасности.


Наша компания готова совершенно бесплатно провести для Вас пилотный проект, чтобы Вы сами смогли убедится в эффективности использования программы PT AI, попробовав ее функциональные возможности. Весь процесс тестирования и проведения пилота сопровождается нашими квалифицированными инженерами.

Заинтересовало предложение? Оставьте заявку и мы свяжемся с Вами!


Мы не только помогаем Вам в выборе программного обеспечения, но и постоянно проводим обучающие курсы для своих клиентов.

Осенью 2018 года планируем провести технический курс по настройке и администрированию PT Application Inspector, где расскажем как работать в программе, покажем ее «фишки», также, по желанию, в режиме реального времени можем проанализировать Ваш исходный код и многое другое.

Если Вы заинтересовались курсом, оставьте заявку прямо сейчас.

Участие бесплатное. Количество мест ограничено!