Центр контроля безопасности ПО

Центр контроля безопасности ПО

На базе анализатора безопасности приложений Solar appScreener

Внедрение непрерывного процесса проверки ПО

Апробированная методология анализа ПО

Проверки заказного и унаследованного ПО

Обеспечение соответствия требованиям регуляторов
Solar JSOC

Назначение

Организациям, которые зависят от безопасности используемого ПО, необходимо системно работать над выявлением и устранением возможных уязвимостей и недекларированных возможностей (НДВ). В этом поможет корпоративный или ведомственный Центр контроля безопасности ПО, предоставляющий совокупность технических инструментов, практик и процессов анализа ПО. Такой комплекс средств позволяет вносить изменения в ПО или настройки WAF и обеспечивать надлежащий уровень безопасности.


Центр контроля безопасности ПО необходим, если организация:


Разрабатывает
собственное ПО

Использует заказное ПО
от внешних подрядчиков

Применяет унаследованное или старое ПО

Использует ПО в ключевых бизнес-процессах

Сталкивается с инцидентами, влияющими на репутацию

Не может обновить критически важное ПО


Должна оперативно блокировать уязвимости


Обязана выполнять требования регуляторов

Скачать листовку

Принцип работы Центра контроля безопасности ПО

Основа Центра контроля безопасности ПО — статический анализатор для проверки ПО на наличие уязвимостей и НДВ. При этом необходимо применять правильную методологию анализа ПО, использовать подходящую ролевую модель, учитывающую всех участников процесса разработки или приемки ПО, а также соблюдать все регламенты проверки кода.


Для успешной работы Центра контроля безопасности ПО крайне важно встроить его в жизненный цикл разработки ПО (SDLC), обеспечив взаимодействие с репозиторием исходного кода, интегрированными средами разработки, серверами непрерывной интеграции и доставки (CI/CD) и системой отслеживания ошибок. Кроме того, необходима поддержка взаимодействия с другими системами с помощью открытого API.


Компания «Ростелеком-Солар» предлагает услуги по созданию корпоративного или ведомственного Центра контроля безопасности ПО на основе собственного статического анализатора кода Solar appScreener. Его уникальная особенность — возможность анализа не только исходного, но и бинарного кода (исполняемых файлов), что облегчает анализ унаследованного ПО и заказных разработок.


Концептуальная схема работы Центра контроля безопасности ПО
Подробнее о Solar appScreener

Эффекты внедрения

Развертывание Центра контроля безопасности ПО позволяет:


1
Перейти на цикл безопасной разработки ПО (Secure SDLC) для оперативного устранения уязвимостей и НДВ
2
Применять концепции непрерывной интеграции и поставки (CI/CD), сокращая время разработки ПО без ущерба для безопасности
3
Регулярно анализировать безопасность кода и исполняемых файлов от сторонних разработчиков
4
Максимально быстро закрывать уязвимости и НДВ компенсационными мерами, оперативно перенастраивая WAF
5
Обеспечить соответствие требованиям методических рекомендаций по созданию ведомственных и корпоративных центров ГосСОПКА № 149/2/7-200 от 27.12.2017 г., согласно которым необходимо выявлять известные уязвимости ПО
6
Обеспечить соответствие требованиям ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», обязывающего контролировать отсутствие уязвимостей и НДВ

Актуальность

ПО используется в деятельности любой организации. С его помощью осуществляются все ключевые бизнес-процессы — прием и обработка заявок клиентов, финансовые транзакции, бухгалтерский учет и т. д. При этом любое ПО содержит уязвимости — неумышленные ошибки, нестыковки и неточности, которые позволяют его взломать, и НДВ — скрытую функциональность, умышленно внесенную в код.


Большинство используемого ПО имеет веб-доступ или работает на устройствах, подключенных к корпоративной сети — а значит, его безопасность может повлиять на непрерывность бизнес-процессов и финансовую стабильность организации.


  • 1
    веб-атаки — главный инструмент взломов и утечек

  • 72%
    вторжений за периметр связаны с веб-уязвимостями

  • 65%
    вторжений приводят к полному контролю данных

  • 100%
    веб-приложений содержат уязвимости

Данные: Solar JSOC и Positive Technologies, 2018

Этапы построения

1
Разработка ролевой модели функционирования Центра с учетом организационно-штатной структуры организации
2
Развертывание программно-аппаратной инфраструктуры на базе Solar appScreener в формате внутрикорпоративного облака
3
Адаптация методологии контроля ПО под текущие процессы и ИТ-ландшафт организации
4
Создание компетенций Центра на базе сотрудников организации с привлечением экспертов Ростелеком-Solar
5
Внедрение и запуск процессов непрерывного анализа ПО на уязвимости и закладки

Хочу, чтобы со мной
связались

Отправить

Указан неверный адрес подписки.

Первыми получайте новости о наших продуктах на свой e-mail.

Спасибо!
Ваша заявка принята

В ближайшее время с Вами свяжется наш менеджер

Спасибо!

Теперь вы будете в числе первых получать новости о наших продуктах