Уровни критичности уязвимостей
Узнать большеВ силах разработчиков — выпускать качественное и максимально защищенное программное обеспечение. Чтобы выполнить эту цель, необходимо внедрить подход Application Security (AppSec), включающий различные методики контроля безопасности ПО. Рассказываем, что это за стратегия, какие инструменты помогают ее реализовать.
Понятие и цели Application Security
AppSec — комплекс мер для разработки безопасных приложений путем применения определенных практик и инструментов. Ключевая цель внедрения такого подхода — выявление и устранение слабых мест ПО, которые могут быть проэксплуатированы злоумышленниками для атак на ресурсы компаний. Используя уязвимости приложений, хакеры могут получать несанкционированный доступ к конфиденциальной информации, базам данных, облачным хранилищам и т.д.
Задачи в рамках AppSec:
- Развитие подхода Secure Software Development Lifecycle (SSDLC), подразумевающего внедрение в процесс разработки различных методов обеспечения безопасности ПО.
- Проверка архитектуры приложений, своевременное внесение корректировок.
- Автоматизация DevSecOps — подхода, в рамках которого контроль безопасности ПО вводится уже с первых этапов разработки.
- Обучение сотрудников основам безопасной разработки приложений, повышение осведомленности об актуальных киберугрозах.
- Работа с инцидентами в ИБ.
Не все понимают разницу между AppSec и DevSecOps. Application Security — более широкое понятие, включающие все практики для повышения уровня безопасности приложений. DevSecOps — подход к разработке программных продуктов, ориентированный на раннее устранение уязвимостей и других проблем ПО.
Основные методы анализа, которые позволяют обеспечивать безопасность приложений (AppSec)
Чтобы как можно раньше найти уязвимости приложений и недекларированные возможности, уже со стартовых этапов разработки внедряется статический анализ — Static Application Security Testing (SAST). Проверить поведение программы после запуска поможет динамическое тестирование — Dynamic Application Security Testing (DAST). Исследование состава программного продукта проводится с помощью технологии Software Composition Analysis (SCA). Чтобы просчитать риски атак на цепочку поставок, следует применять инструменты Supply Chain Security (SCS). Далее расшифруем, как и с помощью каких анализаторов проводятся такие тестирования.
SAST
Статический анализ или метод белого ящика — самый распространенный инструмент Application Security. Он так популярен как минимум потому, что для тестирования программу не нужно запускать — достаточно иметь доступ к коду. Такой анализ может осуществляться вручную (что займет немало времени) или с помощью специального анализатора, например, Solar appScreener.
SAST применяется на любом этапе разработки и позволяет обнаруживать максимум существующих уязвимостей ПО за счет практически 100% покрытия кода. Кстати, с помощью Solar appScreener можно проверять наследованные и скачанные программы, поскольку в анализаторе реализованы технологии для исследования бинарного кода. Для проведения тестирования достаточно ссылки на приложение.
Единственным серьезным недостатком статического анализа можно считать ложноположительные срабатывания (False Positive, FP). Это случаи, когда анализатор указывает на несуществующие проблемы. В Solar appScreener предусмотрен способ нивелировать этот недостаток — технология Fuzzy Logic Engine.
DAST
Динамическое тестирование или метод черного ящика — инструмент Application Security, подразумевающий запуск программы в тестовой рабочей среде и имитацию атак. Цель — проверить, как приложение будет реагировать на те или иные действия, например, ввод заведомо ложных данных. Черным ящиком этот метод называется потому, что для анализа не нужно знать «внутренностей» ПО и иметь доступ к коду. Задача — проверить функциональности с точки зрения пользователей и прощупать уязвимости, как это делают хакеры.
У DAST немало преимуществ:
- Обнаружение уязвимостей, которые не очевидны при других видах анализа.
- Возможность выбирать режим имитированной атаки, применяя различные виды сканеров (Fuzzer, AJAX, традиционный, агрессивный, пассивный).
- Отсутствие ложноположительных срабатываний анализатора.
DAST как метод Application Security используется не с первых этапов разработки, поскольку для тестирования необходимо готовое приложение, которое уже может запускаться. Также не удастся достичь полного покрытия кода, из-за чего часть уязвимостей остается без внимания. Для более эффективной проверки лучше комбинировать динамическое тестирование со статическим.
OSA
Open Source Analysis (OSA) — комплекс, включающий SCA, SCS и анализ лицензионных рисков. Совокупность этих инструментов Application Security позволяет убедиться в безопасности используемых Open source-компонентов программного кода, которые зачастую содержат различные уязвимости.
В процессе SCA-анализа и анализа лицензионных рисков, выполняемых с помощью Solar appScreener, обнаруживаются все заимствованные компоненты и библиотеки-источники, выявляются программные закладки, проблемы с лицензированием (устаревшие лицензии, несовместимость лицензий разных компонентов и др). Благодаря этим технологиям выясняется, какие сторонние фрагменты уже являются небезопасными или могут с негативной стороны проявиться после ввода ПО в эксплуатацию.
Анализ SCS в рамках AppSec позволяет просчитать риски Supply Chain-атак (атак на цепочку поставок). Каждому звену цепочки поставок (используемым компонентам, технологиям, инструментам, причастным к разработке лицам и т.д.) присваиваются оценки доверия на основе различных метрик. Например, анализатор Solar appScreener учитывает даты создания библиотек компонентов, количество проектов авторов, соблюдении требований к безопасности и другие объективные факторы.
Преимущества комплексного подхода (SAST+DAST+OSA) к безопасности приложений
AppSec — это именно комплекс технологий, поскольку с помощью какого-то одного тестирования невозможно сделать объективный вывод о безопасности приложения.
Например, SAST и DAST дают представление о тех уязвимостях, которые уже есть в программном продукте. Если проводить только статический анализ, не получится обнаружить бреши безопасности, проявляемые уже при эксплуатации. А DAST, например, не даст представление о логических ошибках кода, поскольку анализатор может воспринять их как истинные условия.
AppSec также предполагает комплексные исследования рисков использования заимствованных компонентов с помощью тестирований SCA, SCS и анализа лицензионных рисков. Каждый инструмент по отдельности не даст желаемой эффективности.
Комплексный подход к контролю безопасности программных продуктов позволит сократить время на устранение уязвимостей, быстрее выпустить на рынок качественные и надежное ПО, соблюсти требования регуляторов отрасли.
Использование платформы Solar appScreener в рамках подхода Application Security
Отечественная сертифицированная ФСТЭК России платформа для всестороннего контроля безопасности ПО предоставляет все необходимые инструменты для проведения перечисленных методов анализа. Чтобы пользоваться анализатором, не нужно прибегать к услугам security-инженеров, знать английский язык и разбираться в тонкостях тестирований. После несложных настроек платформа запускает проверки автоматически, пользовательский интерфейс полностью русскоязычный, отчеты по результатам содержат детальный перечень уязвимостей и экспертные рекомендации по устранению брешей безопасности.
Также преимуществом Solar appScreener для Application Security является поддержка 36 языков программирования и практически всех существующих форматов файлов. Кроме того, платформа интегрируется со всеми распространенными инструментами разработки.
