Центр контроля безопасности ПО

Внедрение непрерывного процесса проверки ПО

Апробированная методология анализа ПО

Проверки заказного и унаследованного ПО

Обеспечение соответствия требованиям регуляторов

Назначение
Организациям, которые зависят от безопасности используемого ПО, необходимо системно работать над выявлением и устранением возможных уязвимостей и недекларированных возможностей (НДВ). В этом поможет корпоративный или ведомственный Центр контроля безопасности ПО, предоставляющий совокупность технических инструментов, практик и процессов анализа ПО. Такой комплекс средств позволяет вносить изменения в ПО или настройки WAF и обеспечивать надлежащий уровень безопасности.
Центр контроля безопасности ПО необходим, если организация:

Разрабатывает
собственное ПО

Использует заказное ПО
от внешних подрядчиков

Применяет унаследованное или старое ПО

Использует ПО в ключевых бизнес-процессах

Сталкивается с инцидентами, влияющими на репутацию

Не может обновить критически важное ПО

Должна оперативно блокировать уязвимости

Обязана выполнять требования регуляторов
Принцип работы Центра контроля безопасности ПО
Основа Центра контроля безопасности ПО — статический анализатор для проверки ПО на наличие уязвимостей и НДВ. При этом необходимо применять правильную методологию анализа ПО, использовать подходящую ролевую модель, учитывающую всех участников процесса разработки или приемки ПО, а также соблюдать все регламенты проверки кода.
Для успешной работы Центра контроля безопасности ПО крайне важно встроить его в жизненный цикл разработки ПО (SDLC), обеспечив взаимодействие с репозиторием исходного кода, интегрированными средами разработки, серверами непрерывной интеграции и доставки (CI/CD) и системой отслеживания ошибок. Кроме того, необходима поддержка взаимодействия с другими системами с помощью открытого API.
Компания Ростелеком-Solar предлагает услуги по созданию корпоративного или ведомственного Центра контроля безопасности ПО на основе собственного статического анализатора кода Solar appScreener. Его уникальная особенность — возможность анализа не только исходного, но и бинарного кода (исполняемых файлов), что облегчает анализ унаследованного ПО и заказных разработок.

Эффекты внедрения
Развертывание Центра контроля безопасности ПО позволяет:
Актуальность
ПО используется в деятельности любой организации. С его помощью осуществляются все ключевые бизнес-процессы — прием и обработка заявок клиентов, финансовые транзакции, бухгалтерский учет и т. д. При этом любое ПО содержит уязвимости — неумышленные ошибки, нестыковки и неточности, которые позволяют его взломать, и НДВ — скрытую функциональность, умышленно внесенную в код.
Большинство используемого ПО имеет веб-доступ или работает на устройствах, подключенных к корпоративной сети — а значит, его безопасность может повлиять на непрерывность бизнес-процессов и финансовую стабильность организации.
-
№1веб-атаки — главный инструмент взломов и утечек
-
72%вторжений за периметр связаны с веб-уязвимостями
-
65%вторжений приводят к полному контролю данных
-
100%веб-приложений содержат уязвимости
Данные: Solar JSOC и Positive Technologies, 2018
Этапы построения
Первыми получайте новости о наших продуктах на свой e-mail.