Центр контроля безопасности ПО
Внедрение непрерывного процесса проверки ПО
Апробированная методология анализа ПО
Проверки заказного и унаследованного ПО
Обеспечение соответствия требованиям регуляторов
Назначение
Организациям, которые зависят от безопасности используемого ПО, необходимо системно работать над выявлением и устранением возможных уязвимостей и недекларированных возможностей (НДВ). В этом поможет корпоративный или ведомственный Центр контроля безопасности ПО, предоставляющий совокупность технических инструментов, практик и процессов анализа ПО. Такой комплекс средств позволяет вносить изменения в ПО или настройки WAF и обеспечивать надлежащий уровень безопасности.
Центр контроля безопасности ПО необходим, если организация:
Разрабатывает
собственное ПО
Использует заказное ПО
от внешних подрядчиков
Применяет унаследованное или старое ПО
Использует ПО в ключевых бизнес-процессах
Сталкивается с инцидентами, влияющими на репутацию
Не может обновить критически важное ПО
Должна оперативно блокировать уязвимости
Обязана выполнять требования регуляторов
Принцип работы Центра контроля безопасности ПО
Основа Центра контроля безопасности ПО — статический анализатор для проверки ПО на наличие уязвимостей и НДВ. При этом необходимо применять правильную методологию анализа ПО, использовать подходящую ролевую модель, учитывающую всех участников процесса разработки или приемки ПО, а также соблюдать все регламенты проверки кода.
Для успешной работы Центра контроля безопасности ПО крайне важно встроить его в жизненный цикл разработки ПО (SDLC), обеспечив взаимодействие с репозиторием исходного кода, интегрированными средами разработки, серверами непрерывной интеграции и доставки (CI/CD) и системой отслеживания ошибок. Кроме того, необходима поддержка взаимодействия с другими системами с помощью открытого API.
Компания Ростелеком-Solar предлагает услуги по созданию корпоративного или ведомственного Центра контроля безопасности ПО на основе собственного статического анализатора кода Solar appScreener. Его уникальная особенность — возможность анализа не только исходного, но и бинарного кода (исполняемых файлов), что облегчает анализ унаследованного ПО и заказных разработок.
Эффекты внедрения
Развертывание Центра контроля безопасности ПО позволяет:
Актуальность
ПО используется в деятельности любой организации. С его помощью осуществляются все ключевые бизнес-процессы — прием и обработка заявок клиентов, финансовые транзакции, бухгалтерский учет и т. д. При этом любое ПО содержит уязвимости — неумышленные ошибки, нестыковки и неточности, которые позволяют его взломать, и НДВ — скрытую функциональность, умышленно внесенную в код.
Большинство используемого ПО имеет веб-доступ или работает на устройствах, подключенных к корпоративной сети — а значит, его безопасность может повлиять на непрерывность бизнес-процессов и финансовую стабильность организации.
-
№1веб-атаки — главный инструмент взломов и утечек
-
72%вторжений за периметр связаны с веб-уязвимостями
-
65%вторжений приводят к полному контролю данных
-
100%веб-приложений содержат уязвимости
Данные: Solar JSOC и Positive Technologies, 2018
Этапы построения
Первыми получайте новости о наших продуктах на свой e-mail.