SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Динамический анализ исходного кода

Динамический анализ исходного кода
03.04.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Роман Душков, Security Vision


Мы уже разбирали продукты и методики анализа исходного кода приложений путём поиска в содержимом уязвимых мест и сравнения с базой знаний экспертов, а сегодня разберем динамический анализ (Dynamic Application Security Testing, DAST). Он проводится в уже существующих платформах после компиляции исходного кода и может быть совмещён с предыдущими методами. Такой подход позволяет сделать анализ живым и постоянным, эффективно внедряясь в сам процесс разработки (DevSecOps) и при этом не нарушая скорость выхода новых версий продуктов, обновления сайта или миграции базы данных.


Основа динамического анализа – осуществление атак на приложение и поиск уязвимостей, который можно проводить без специальных продуктов. Такой подход является достаточно распространенным: многие компании объявляют награды за найденные уязвимости, вовлекая таким образом белых хакеров в обеспечение своей собственной безопасности. Все, что для этого нужно – иметь в публичном доступе свой сервис (например, сайт для онлайн-банкинга) или просто выдать лицензии на своё программное обеспечение интересующимся. Сам процесс можно назвать тестированием в режиме «чёрного ящика» (его так называют, поскольку доступа к исходному коду нет, а приложение используется в режиме «как есть»). Угадать, что внутри и как этим воспользоваться, предстоит пользователям. Такой процесс называется bounty hunting (охота за наградой) и похож на поиск сокровища без карты или охоту на покемонов. К слову, в 2022 году в рамках программ Bug Bounty корпорация Google выплатила 12 миллионов долларов (самая крупная выплата составила 605 000 долларов).


Несмотря на популярность и доступность такого метода, на рынке стали востребованы также автоматические системы, которые «атакуют» приложение без участия людей.


2023-02-28_19-53-43.png

Рис. 1 – Механизмы динамического анализа кода


Инструментам DAST все равно, где в вашей архитектуре произошли изменения. Еще одна особенность DAST заключается в том, что это единственный метод тестирования безопасности, который не зависит от языка программирования. DAST не просматривает исходный код, байт-код или ассемблерный код; он просто проверяет готовый продукт. Базовый модуль DAST присутствует в open-source и коммерческих решениях по анализу уязвимостей, более продвинутые механизмы существуют в  w3af или sqlmap. Работа таких инструментов похожа на проверку газовых труб на утечку, только вместо мыльного раствора и труб – искусственные атаки и ваше приложение.


Если вам посчастливилось обнаружить проблему безопасности, вы можете добавить специальные сценарии использования в свой набор тестов. Это чем-то похоже на построение завода по переработке отходов, когда весь поток сортируется: металл и пластик отправляются на переработку, стеклянные бутылки возвращаются на производство напитков, а часть мусора – сжигается. Так можно распределить нагрузку между автоматизированной системой и отделом тестирования и качества.


Более того, некоторые DAST-решения позволяют не только обнаруживать уязвимости, проводя атаки-«пустышки» на приложение, но и организовать эффективную защиту на лету. Такой процесс называется патчингом и чем-то похож на блокировку дороги во время ремонта или проезда кортежа. Уязвимое место найдено (в нашем примере это определенная дорога) и должно быть временно закрыто, пока уязвимость не устранена. Закрыть уязвимость можно вручную и автоматически, запустив новый процесс, когда заплатка помещается в уязвимое место до выпуска обновлённой версии приложения. Есть вендоры, которые комбинируют несколько продуктов, совмещая DAST со средствами зашиты (например, WAF), но при желании такой процесс можно настроить и автоматизировать самостоятельно, применяя средства для интеграции «разношёрстных» продуктов.


Начать проверку кода можно с применением бесплатных решений, одно из которых – продукт OWASP ZAP (Zed Attack Proxy). Продукт имеет расширения для различных инструментов CI/CD. Его функциональность не очень обширна и глубока, но её можно дописать и улучшить, если привлечь свои ресурсы или партнёров Применение коммерческих инструментов позволит модифицировать и упростить процесс проверки. Его можно условно разделить на несколько частей:

· Построение дерева приложения, когда сканер кликает на все кнопки и открывает все возможные интерфейсы, как будто сенсорный экран «заглючило» после намокания под дождём. Только приложение делает этот краулинг умышленно, чтобы понять все взаимосвязи и возможности для получения доступа к данным.

· Каталогизирование, которое чем-то похоже на инвентаризацию ИТ-активов в компании. В ходе этого процесса система раскладывает интерфейсы по их типам, чтобы в дальнейшем осуществить более детальный анализ.

· Осуществление атаки на приложение, когда DAST в зависимости от интерфейса, определенного ранее, пытается «простукать» систему своими атаками. Атаки обычно безвредны и не несут реальной угрозы (часто не несут даже смысла, а только пустые заголовки), поэтому ущерба работе приложения быть не должно.

· Анализ происходящего и принятие решений, когда сканер подсвечивает все успешные попытки добраться к данным, которые должны быть защищены.


Поскольку анализ проходит на уже развёрнутой системе, появились два подхода:

1. Чтобы не повредить продукту и его развитию, лучше иметь отдельный стенд для тестирования. Физически это выглядит как копия приложения в изолированной среде, с которой работает динамический сканер. При таком подходе нужно продумать о дополнительном «железе», зато будет не страшно использовать DAST решения в первое время.

2. Если процессы очень развиты, разработка может вестись параллельно тестированию и применяется виртуальный патчинг, то использовать динамическое тестирование можно и на полноценном приложении без дополнительных закупок, учётных записей и поддержки.


Если для динамического тестирования вместе с готовым приложением дополнительно выдать исходный код, процесс можно преобразить в интерактивный анализ (Interactive Application Security Testing, IAST). Применение методик также эффективно при публикации исходного кода, когда в публичные репозитории разработчик полностью выкладывает свои наработки. Это похоже на то, как если бы вы опубликовали собственные рецепты коктейлей и блюд, чтобы весь мир смог повторить ваш успех и порадовать гостей дома. Такой подход позволит широкому мировому сообществу участвовать в развитии, применять одновременно статические, динамические сканеры и их комбинации, но делать это необязательно – сканеры могут работать и on-premise, без транслирования ваших приложений и наработок за пределы компании. В любом случае, динамический сканер должен найти и подсветить уязвимые места, чтобы разработчики новой версии устранили проблему или чтобы ИТ-специалисты смогли поставить «заплатку» и просто не пропускать трафик в уязвимую сторону (обычно так делают, если это не влияет на функционирование приложения).


Применение DAST возможно параллельно процессу разработки, это позволяет намного быстрее проверить, существует ли уязвимость уже сейчас, а также посмотреть, можно ли её предотвратить в будущем. Выбирать сканер нужно с учётом технологий, языков и фреймворков, которые применяются при разработке. Обычно, чем больше команда разработки и компания в целом, тем параметров становится больше, поэтому тестирование решений может проводится в течение нескольких месяцев и даже лет, но результат точно позволит снизить все риски.

Аудит информационной безопасности Стандарты ИБ Управление ИБ Управление уязвимостями Подкасты ИБ

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Отчеты нового поколения
Отчеты нового поколения
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Конфиденциальная информация
Конфиденциальная информация
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Отчеты нового поколения
Отчеты нового поколения
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Конфиденциальная информация
Конфиденциальная информация
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Управление доступом и учетными записями (конспект лекции)
Управление доступом и учетными записями (конспект лекции)

Похожие статьи

Фреймворк COBIT 2019
Фреймворк COBIT 2019
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"

Похожие статьи

Фреймворк COBIT 2019
Фреймворк COBIT 2019
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Введение (Стратегия №0)
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 5. Основные понятия и парадигма - продолжение
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Практическая защита персональных данных. Где компания обрабатывает ПДн?
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"