1 / 15

#MSSD . Москва. 5 марта 2013

РИСКИ САМОСТОЯТЕЛЬНОЙ РАЗРАБОТКИ БИЗНЕС-ПРИЛОЖЕНИЙ И СПОСОБЫ ИХ СНИЖЕНИЯ Рустэм Хайретдинов Appercut Security. #MSSD . Москва. 5 марта 2013. ПОЧЕМУ КОМПАНИИ РАЗРАБАТЫВАЮТ БИЗНЕС-ПРИЛОЖЕНИЯ?.

wendi
Download Presentation

#MSSD . Москва. 5 марта 2013

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. РИСКИ САМОСТОЯТЕЛЬНОЙ РАЗРАБОТКИ БИЗНЕС-ПРИЛОЖЕНИЙИ СПОСОБЫ ИХ СНИЖЕНИЯРустэм Хайретдинов Appercut Security #MSSD. Москва. 5 марта 2013

  2. ПОЧЕМУ КОМПАНИИ РАЗРАБАТЫВАЮТ БИЗНЕС-ПРИЛОЖЕНИЯ? • Нет одинаковых компанийСпецифика компании отображается в информационной системе • Универсальные системы избыточныПриходится переплачивать за функции, которыми не пользуются • Бизнес-среда меняется стремительноПриходится переплачивать за функции, которыми не пользуются • Это свершившийся фактБолее 80% компаний разрабатывают/дорабатывают бизнес ПО

  3. СПЕЦИФИКА РАЗРАБОТКИ ЗАКАЗНЫХ БИЗНЕС-ПРИЛОЖЕНИЙ • Несистемные требования по безопасности приложенийУпор на функционалинагрузку, игнорирование стандартов • Службы ИБ в разработке не участвуютПривлекаются только к расследованиям инцидентов • Упрощенный процесс разработкиИзменения идут непрерывно, код правится вместо выпуска патчей • Используются закрытые платформы SAP, Oracle, MS Dynamics, 1C, Lotus, …

  4. РИСКИ ЗАКАЗНЫХ ПРИЛОЖЕНИЙ • Неустойчивость • Непереносимость • Злоупотребление доступом • Нештатное функционирование

  5. ИСТОЧНИКИ РИСКОВ • Ошибки программирования • Ошибки архитектуры • Отладочные ветви • Технические учетные записи • «Закладки»

  6. АУДИТ БИЗНЕС-ПРИЛОЖЕНИЯ Настройки RRO: может находитьсложные уязвимости Заказной и самостоятельноразрабатываемый код Комбинация ручного и автоматизированного анализа CONTRA: долгий, дорогой и сложный процесс Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…) Базовое приложение(SAPR3, Oracle EBS, MS Dynamics, Salesforce.com, 1C , и т.д.)

  7. ОДИНОКИХ ПРИЛОЖЕНИЙ НЕ БЫВАЕТ ERP SCADA BILLING ABS WEBSTORE … Реальный проект: 83 приложения, 11 языков, 6 бизнес-платформ 2-3 сборки в день DOCFLOW REPORTING PORTAL RUBRICATOR ANALITICS …

  8. ГОРИЗОНТАЛЬНЫЙ ПОДХОД Настройки Compliance Settings Control Заказной и самостоятельноразрабатываемый код Custom Code Scanner Прикладные надстройки (CRM, HR, АБС, Бухгалтерия, Производство…) VulnerabilitiesScanner Базовое приложение(SAPR3, Oracle EBS, MS Dynamics, Salesforce.com, 1C , и т.д.) VulnerabilitiesScanner

  9. APPERCUT CUSTOM CODE SCANNER «Умные сигнатуры»опасных приемов программирования Аналогалгоритмапоискацифровыхотпечатков Нормализованный исходныйкод

  10. ЭФФЕКТИВНОСТЬ ТЕХНОЛОГИЙ SAST – статический анализ кода DAST – динамический анализ приложения SAST+DAST SAST DAST APPERSCAN

  11. КОНТРОЛЬ ЗАКАЗНОГО ПРИЛОЖЕНИЯ АУДИТ КОДА Известные уязвимости кода Appercut Service / Стандартная база АУДИТ ПРИЛОЖЕНИЯ Комплексные уязвимости Наполнения базы уязвимостей РУЧНОЙ АНАЛИЗ КОДА Поиск НДВ АУДИТ ДОПОЛНЕНИЙ Все уязвимости Appercut Service / База клиента

  12. КОНТРОЛЬ ЗАКАЗНОГО ПРИЛОЖЕНИЯ Анализ известных уязвимостей кода Appercut Service / Стандартная база Моделирование уязвимостей архитектуры Наполнения базы уязвимостей Моделирование уязвимостей бизнес-процессов Компенсирующий контроль всех уязвимостей Appercut Service / База клиента

  13. APPERCUTCCS – быстро и удобно • Не предполагается встраивание в процесс разработки • Не предполагается участие программистов • Аудируется любое количество приложений • Возможность добавлять пользовательские образцы • Реализация в виде веб-сервиса Public/Private Cloud

  14. ПОДДЕРЖИВАЕМЫЕ ПЛАТФОРМЫ • Традиционные средства разработки:Java, JavaScript, PHP,Cobol, C/С++, T-SQL, .NET (VB, C#, ASP),Delphi, Objective C, Python, Ruby… • Традиционные бизнес-платформы: ABAP4 (SAP), PL/SQL (Oracle),LotusScript (IBM Lotus Notes), 1Сver 7 и 8, Microsoft Dynamics (X++), … • Проприетарные языкии скрипты приложений, в т.ч. российских (БОСС, Directum, Atlantis, …) • Любая платформа на заказ (нормализатор + 10 TOP-уязвимостей) – 1 месяц

  15. ВОПРОСЫ, ПОЖАЛУЙСТА! Рустэм Хайретдинов Appercut Security sales@appercut-security.com +7(903)961-7312 www.appercut.com

More Related