Документ описывает систему анализа программного кода Solar Incode, которая выявляет уязвимости в программном обеспечении и предоставляет рекомендации по их устранению. Подчеркивается высокая доля кибератак, связанных с уязвимостями в коде, и акцентируется внимание на недостатках процесса разработки, которые способствуют этим проблемам. Также упоминаются особенности работы системы, включая возможность анализа без исходных кодов.

1. Solar inCode – система
анализа программного кода
на наличие уязвимостей ИБ
18 декабря 2015 г.
Чернов Даниил
Руководитель направления
Application Security

2. solarsecurity.ru +7 (499) 755-07-70
Статистика за 2014 год
2
 Более 75% успешных кибератак эксплуатируют
«дыры» в ПО, т.к. на сегодняшний день это самое
слабое звено технической защиты
 Уязвимости для платформы Android – 15% из всех
уязвимостей, публично опубликованных за 2014 год
 SQLi – 8,4% из всех атак за прошедший 2014 год

3. solarsecurity.ru +7 (499) 755-07-70

4. solarsecurity.ru +7 (499) 755-07-70
Проблематика
4
 Уровень безопасности 1.8 из 5
 Уровень безопасности 1.2 из 5
 Уровень безопасности 1.2 из 5
 Уровень безопасности 0,9 из 5

5. solarsecurity.ru +7 (499) 755-07-70
Откуда берутся уязвимости
5
 Культура разработки – разработчик не уделяет внимания:
 Языковым конструкциям, которые использует
 Коду, который используется как сторонний
 Безопасности связей между компонентами, которые разрабатывает
 Недостаток времени:
 Техническое задание разрабатывается быстро
 Программное обеспечение разработается быстро:
задержка в разработке – потеря денег
 Можно удовлетворить только два из трех желаний: быстро,
качественно и недорого
ОБЫЧНО – ЭТО БЫСТРО И НЕДОРОГО

6. solarsecurity.ru +7 (499) 755-07-70
Сканеры кода
6
 HP Fortify
 IBM Appscan Source
 Checkmarx
 Infowatch Appercut

7. solarsecurity.ru +7 (499) 755-07-70
Радости жизни безопасника
7
 Получить исходный код у разработчиков –
EPIC WIN 
 Убедиться, что код «собирается в проект» и не имеет
«неразрешенных зависимостей»
 Проверить код: корректно запустить скан
 Суметь понять, что написано в отчете
 Донести до разработчиков все найденные косяки и
объяснить их понятным языком

8. solarsecurity.ru +7 (499) 755-07-70
Наши люди
8
 Сильный научный бэкграунд: опыт работы в институте
системного программирования, диссертации по теме
 2.5 года работы в команде HP Fortify (США)
 Тематические статьи и публикации
 Выступления на международных конференциях:
Москва, Монреаль, Вашингтон

9. solarsecurity.ru +7 (499) 755-07-70
Solar inCode – сканер программного кода
• выдает детальные рекомендации по устранению уязвимостей на
русском языке с описанием способов их эксплуатации
Понятные рекомендации
• выдает детальные рекомендации по настройке наложенных средств
защиты: SIEM, WAF, Firewall
Настройка средств защиты
• умеет работать без исходных кодов. Это значит, что безопасник не
клянчит исходники у разработчиков, а может получить
скомпилированные файлы для анализа у админа или скачать
мобильные приложения с Google Play или AppStore.
Практичность и удобство

10. solarsecurity.ru +7 (499) 755-07-70 10
Архитектура inCode

11. Даниил Чернов
Руководитель направления
Application Security
www.solarsecurity.ru
d.chernov@solarsecurity.ru