Компания Appercut Security входит в состав ГК InfoWatch. Она с 2010 года занимается разработкой продуктов и сервисов для автоматического аудита исходного кода технологических- и бизнес-приложений на предмет ошибок, которые могут привести к неправильной работе приложения или быть использованы злоумышленниками для внедрения в информационную систему корпорации.
Не секрет, что многие предприятия и организации продолжают заказывать разработку приложений либо своим программистам из ИТ-подразделения, либо сторонней компании. Такие приложения, как правило, являются наиболее уязвимыми местами корпоративных информационных систем. В средних и небольших организациях этот факт принимается как неизбежный риск.
По сути, получая такую разработку, конечно, сделанную в соответствии с техническим заданием, компания получает некий «черный ящик». Когда и в каком месте этот ящик прохудится или, не дай бог, взорвется, никто не знает, потому что программисты даже самой высокой квалификации не могут гарантировать 100-процентное отсутствие ошибок. Не помогает даже тщательный процесс тестирования. Если же приложение небольшое, его и тестируют не столь хорошо.
Сервис Appercut Custom Code Scanner (ACCS) разработан таким образом, чтобы сотрудник службы безопасности мог самостоятельно и быстро проанализировать исходный код любого бизнес-приложения. Рустэм Хайретдинов, CEO компании Appercut Security, рассказал, что ACCS способен выявлять бреши, которыми могут воспользоваться как злоумышленники извне, так и инсайдеры. Он подчеркнул, что данный сервис не имеет аналогов на мировом рынке.
Особенность ACCS заключается в том, что он поддерживает более двадцати языков программирования. Среди них: ABAP/4 платформы SAP R/3, PeopleCode систем Oracle CRM/HRMS, VBScript компании Microsoft, LotusScript платформы IBM Lotus Notes, а также внутренний язык «1С:Предприятие». Архитектура сканера такова, что позволяет без проблем добавлять новые языки, что и производится каждые три месяца. Этого удалось достичь благодаря встроенному анализатору, который переводит анализируемую программу с исходного языка в унифицированное внутреннее представление.
Анализ кода происходит таким образом. Сканер сверяет код с шаблонами, хранящимися в базе данных. В чем-то это напоминает работу антивируса. К настоящему времени коллекция уязвимостей в компании Appercut Security является одной из самых полных в индустрии. Описание новых угроз добавляется в базу регулярно, благодаря сотрудничеству компании с ведущими мировыми лабораториями, проводящими аудит программного обеспечения.
Если заказчик использует сканер у себя в корпорации внутри периметра безопасности, он может провести настройку ACCS, адаптируя его к корпоративным стандартам и требованиям регуляторов. Кроме того, заказчик может вносить в базу данных уязвимостей собственные шаблоны для проверки особо интересующих их фрагментов исходного кода приложений. Такая специальная версия сканера разработана для установки в «частное облако» для крупных корпоративных заказчиков и организация со специальными требованиями к информационной безопасности.
Небольшие и средние компании могут воспользоваться сервисом из «облака» через сайт компании Appercut Security. Рустэм Хайретдинов подчеркнул, что стоимость сканирования не будет превышать 1%-2% от стоимости разработки конкретного приложения. Это выгодно отличает ACCS от аналогов.
Сервис ACCS способен быстро – буквально за минуту, выявить порядка 70% уязвимостей. Рустэм Хайретдинов полагает, что правильнее дать рынку удобный инструмент с такими возможностями, «чем бороться за каждый процент, теряя простоту, оперативность, доступность».
В России и странах ближнего зарубежья сервисы Appercut Custom Code Scanner будут продвигаться под маркой InfoWatch Appercut Security в рамках партнерской программы с ведущими системными интеграторами. Запуск этой программы намечен на октябрь текущего года.
Автор: Елена Шашенкова (info@mskit.ru)
Рубрики: Интернет, Web, Безопасность