|
|||||||||||||||||||||||
– Еще в 2012-2014 годах в интеграторе «Инфосистемы Джет» мы занимались продажей различных анализаторов кода, предлагали клиентам поставку хороших решений. Но воспользоваться ими могли далеко не все – это было западное нерусифицированное ПО, из-за чего у многих возникали сложности с переводом технической документации на русский язык. Кроме того, зарубежные решения были рассчитаны на специалистов, имеющих опыт разработки: только они могли проверить, являются ли обнаруженные уязвимости истинными, или это ложные срабатывания. Плюс было еще немало технических и организационных сложностей, которые временами казались настолько непреодолимыми, что не всегда удавалось даже «пилот» провести в компании-заказчике. Поэтому в 2014 году мы решили, что у нас есть все необходимое для создания своего продукта – знания, опыт, команда. В 2015 году большая часть специалистов, включая разработчиков анализатора кода, отделилась от интегратора «Инфосистемы Джет» и создала компанию Solar Security. В состав ее технологических решений вошел продукт для анализа кода приложений Solar inCode. Название Solar appScreener появилось уже в 2016 году, когда мы вышли на зарубежные рынки и начали предлагать потенциальным клиентам свой продукт под этой маркой. Теперь он успешно продается и в России, и в мире. – Какова сейчас динамика угроз, эксплуатирующих уязвимости в приложениях, у нас и на Западе? – Когда мы вышли на зарубежные рынки, мне казалось, что там уровень защищенности ПО намного выше российского. Это оказалось не так. С точки зрения развития информационных технологий в банковском секторе мы ушли дальше, чем США, где, например, не все банки предлагают клиентам sms-уведомления о покупках. Интернет-банкинг там не так хорошо развит, как в России.
В целом то же самое наблюдается и в информационной безопасности. Если посмотреть статистику «Ростелеком-Солар» по угрозам мобильных приложений, то видно, что российские компании имеют более защищенный уровень приложений, чем в США. В то же время, если сравнить российское ПО с азиатским, то последнее, я бы сказал, лучше защищено, чем отечественные приложения. Сейчас средний уровень защищенности мобильных приложений в России составляет 2,2 балла по пятибалльной шкале. Этот показатель подрос всего на две десятых пункта за последние три года. По нашему мнению, это связано с тем, что сегодня мало кто из разработчиков создает приложение с нуля, за исключением «истинных гурманов». В основном используются готовые библиотеки, фреймворки, самостоятельно разработанных компонентов в приложении содержится порядка 10-20%. Остальное заимствуется из общедоступных репозиториев. И эти сторонние компоненты вносят основной вклад в распространение уязвимостей и закладок. – Правильно ли я понимаю, что ваше решение Solar appScreener эксклюзивное? – Да, полностью наше, с первых и до последних строк кода. Solar appScreener внесен в Единый реестр отечественного ПО, поэтому он востребован и как высокоэффективный аналог подобных зарубежных решений. – Какое ПО, на Ваш взгляд, больше подвержено уязвимостям? Какое меньше? Открытое? Коммерческое? – Если говорить про открытое ПО, то когда опенсорсное решение достаточно долго существует в сообществе разработчиков, его уязвимости постепенно устраняют за счет обратной связи от массовых пользователей. Но если решение не очень популярно и обратной связью не избаловано, то ситуация с уязвимостями может быть разная, вплоть до весьма плачевной. Положение дел с коммерческими разработками также неоднозначно. Если такое ПО используется в компании, которая уделяет достаточное внимание аспектам безопасности, то оно будет хорошо защищенным. Если компания относится к приложениям по принципу «работает и ладно», уязвимостей скорее всего будет много. Как правило, только после инцидента, который влечет за собой репутационные либо финансовые неприятности, такая компания делает первый шаг для повышения уровня защищенности коммерческого софта. Дальше можно немного детализировать. Если мы говорим о коммерческих приложениях, с помощью которых компания оказывает какие-либо онлайн-сервисы внешним пользователям – интернет-банк, онлайн-продажа товаров и услуг, сервисы мобильной коммерции и т.п. – всё, что на виду, привлекает внимание злоумышленников. Без должной защищенности таких приложений инциденты случаются достаточно быстро. Если же проприетарное ПО используется внутри периметра: внутренний портал, финансовые приложения, система документооборота и тому подобное, его уязвимости проэксплуатировать сложнее.
– Уязвимость – это неумышленная ошибка в коде приложения, как, например, опечатка в тексте. Какие-то нестыковки в коде ведут к тому, что появляются бреши, через которые можно проникнуть внутрь защищенной системы. А бывают и закладки – это лазейки, умышленно включенные разработчиком в код приложения. Например, вносится дополнительный функционал, чтобы система при вводе определенного логина и пароля давала расширенный доступ в приложение на уровне администратора. Либо чтобы система тайно сливала разработчику необходимую ему для каких-то своих целей информацию. Либо разработчик оставляет для себя закладку в коде новой программы, чтобы было удобно его править в первые месяцы техподдержки, а потом забывает про это. Случаются нестыковки, когда в ПО включено много сторонних библиотек, которые кое-как увязаны между собой на скорую руку. В этом случае возникают несовершенства в коде, через которые можно тем или иным образом взломать систему или запустить троян и провести атаку, чтобы получить несанкционированный доступ к ресурсам программы. Мобильное ПО часто уязвимо к атакам типа Man in the middle (человек-посередине), когда приложение, общаясь с сервером, куда оно отправляет основную информацию и от которого получает обработанную, не проверяет подлинность ответа сервера. Тогда злоумышленник может вклиниться в этот процесс, чтобы получить доступ к трафику: например, в качестве посредника пропускать через себя весь трафик, находясь в одной публичной wi-fi сети вместе с телефоном, на котором это приложение используется. – Расскажите об основных возможностях и преимуществах вашего решения. Насколько эффективно оно способно выявлять уязвимости? – Solar appScreener проверяет программное обеспечение на уязвимости и закладки – это его основная функция. Наш инструмент анализирует приложения, написанные на 35 языках программирования, определяя язык автоматически. Также возможен анализ приложений, написанных сразу на нескольких языках. Solar appScreener поддерживает популярные типы приложений, скомпилированные в одном из девяти различных форматов исполняемых файлов, в том числе для Google Android, Apple iOS и Apple macOS. Каждый квартал мы выпускаем очередную версию анализатора, добавляя новые языки и технологии. На сегодняшний день это самый обновляемый программный продукт компании «Ростелеком-Солар». Уникальной возможностью нашего решения является анализ не только исходного кода программного обеспечения, но и исполняемых файлов, если исходный код отсутствует. Без какой-либо дополнительной информации, имея на входе по сути черный ящик, анализатор может провести проверку приложения, изучить перечень уязвимостей и закладок, а потом автоматически восстановить исходный код уязвимых участков. Затем система изучает уязвимости, оттранслированные в автоматически восстановленный исходный код, и может реализовать новые сценарии анализа, недоступные тем, кто проверяет только по исходным кодам. покупках. Интернет-банкинг там не так хорошо развит, как в России.
Например, сценарий, который когда-то считался достаточно экзотическим, а в последнее время на него обращают все больше внимания, – это поиск уязвимостей, которые внес сам компилятор. Компилятор – это программа, которая переводит исходный код приложения в машинный, «понимаемый» компьютером или мобильным устройством. Поскольку компилятор сам является программным обеспечением, то в нем тоже возможны ошибки. В процессе своей работы он способен в полностью безопасный исходный код внести какие-то уязвимости, которые будут видны только в работающей программе. Такие бреши умеет выявлять Solar appScreener. Второй сценарий связан с практикой заимствований кода из сторонних библиотек. Нередко вместе с наборами исходного кода разработчики берут из общих библиотек части кода, выполняющие какую-либо необходимую приложению функцию. Разработчики порой и сами не знают, что это за код – получается такой маленький черный ящик. В этот черный ящик можно заглянуть, восстановить исходный код и проверить его на уязвимости. Третий сценарий касается проверки исходного кода, поступающего в рабочую версию приложений. Случается, что безопасники проверяют исходный код, представленный разработчиками, но далеко не всегда можно убедиться в том, что тот же самый код попал в итоговую версию программы. Разработчики могут внести исправления в уже проверенный ИБ-специалистом код, что-то дописать, умышленно или нет, поправить какие-то баги, а может, и лазеечку себе оставить. Наш анализатор позволяет выявить такие «сюрпризы» в итоговой версии приложения. И, наконец, четвертый сценарий позволяет обнаруживать уязвимости в унаследованном ПО. Это приложение, которое давно используется компанией, по каким-то причинам его исходный код утрачен, однако отказаться от его применения нельзя. Такой код тоже можно проверить на уязвимости и закладки с помощью бинарного анализа. – Хорошо, ваш анализатор проверил приложение, нашел в нем множество уязвимостей, разработчики схватились за голову. Ведь невозможно же исправить все сразу, что делать в первую очередь? И не является ли половина из обнаруженных брешей ложными срабатываниями? – В начале беседы я уже упоминал, что в решениях западных компаний было немало технических сложностей, одной из них было большое количество ложных срабатываний. Обычно в сканерах кода имеется инструмент фильтрации обнаруженных уязвимостей, и, как правило, фильтрация эта линейная. Если вендор хочет, чтобы его решение выдавало меньше ложных срабатываний, он фильтр «загрубляет», но это приводит к снижению качества распознавания реальных уязвимостей, что еще хуже, чем ложное срабатывание. Мы же разработали алгоритм, который позволяет значительно снизить ложные срабатывания, не теряя качества работы. Этот модуль называется Fuzzy Logic Engine, модуль нечеткой логики, который использует математический аппарат нечетких множеств и является технологическим ноу-хау «Ростелеком-Солар». Он успешно справляется со своей задачей, поэтому у нас очень низкий показатель по ложным срабатываниям, сейчас лучший на рынке. покупках. Интернет-банкинг там не так хорошо развит, как в России.
А теперь поговорим о том, что можно быстро сделать с обнаруженными уязвимостями. По окончании проверки любой сканер даст стандартные рекомендации, как исправить уязвимость в коде. Наш инструмент помимо классических советов подскажет, как закрыть самые критичные уязвимости веб-приложений при помощи Web Application Firewall (WAF). Мы поддерживаем три популярных фаервола: Imperva, ModSecurity и F5. ModSecurity – это открытое ПО, которое любой может бесплатно использовать. Для чего мы это сделали? Для исправления уязвимостей в приложениях требуются усилия разработчиков и довольно много времени. И чтобы дать им возможность переписать код, надо обеспечить приложению временную защиту. – Много ли подобных решений в России и в мире? Дороже ли Solar appScreener своих аналогов или нет? – Аналоги существуют. Российских решений всего два, но, как правило, мы конкурируем не с ними, а с западными системами, которые на рынке уже около 20 лет. Мы конкурируем в части анализа по исходным кодам, а там, где исходные коды отсутствуют и необходим бинарный анализ, у нас пока конкурентов нет. Бывает даже так, что у клиента стоит решение конкурента, и он покупает наше, чтобы проводить бинарный анализ, дополняя уже используемый инструмент. Активных игроков суммарно на мировом рынке немного, в пределах пяти. Если учитывать и не очень активных, то всего порядка десяти. Наше решение по цене ниже, чем предложения конкурентов, потому что мы хотим дать рынку массовый продукт. В России цены номинированы в рублях и не зависят от курсов валют. – Для каких компаний предназначены подобные решения? Кто из ваших крупных заказчиков использует Solar appScreener? – Наш продукт полезен для любой компании, в которой есть либо внутренняя разработка, либо разработка на заказ. В первую очередь, он необходим для решений, имеющих цифровой фасад, через который потребителям предлагается какой-либо монетизируемый сервис. У 90-95% компаний на рынке есть либо внутренняя, либо внешняя разработка. покупках. Интернет-банкинг там не так хорошо развит, как в России.
Как правило, внутри компании продукт интересен сотрудникам, отвечающим за информационную безопасность. Достаточно редко наш анализатор востребован разработчиками. Офицеры информационной безопасности стремятся минимизировать количество инцидентов. Для них разработка является областью, которую они напрямую не контролируют, а делать это необходимо. Наше решение позволяет им проверять безопасность разрабатываемого ПО. При этом анализатор может использовать специалист, не имеющий опыта в разработке, интерфейс решения прост и удобен, а сам анализ максимально автоматизирован. Если говорить о конкретных компаниях, то среди наших клиентов есть, например, АО «Федеральная пассажирская компания» (брэнд «РЖД»), Аэропорт Домодедово, МТС-Банк, ПАО «АК БАРС» БАНК, АО «ББР Банк», разработчик каршеринговой платформы CarTrek. Из зарубежных компаний можно назвать Сингапурские авиалинии – это очень крупная компания со штатом в 45000 сотрудников, у них мощнейшая разработка. GNP Seguros, вторая по величине страховая компания Мексики, южнокорейский ИБ-регулятор Korean Internet&Security Agency (KISA). В 2018 году мы стали лидерами на российском рынке. А сейчас наш продукт продается в 18 странах мира. – А есть ли требования к такого рода продуктам у российских регуляторов? – Специально для отечественных компаний мы сделали один из форматов отчетности в продукте в соответствии с классификацией уязвимостей по версии БДУ ФСТЭК России. Solar appScreener сертифицирован этим регулятором как программное средство контроля защищенности, соответствующее требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1» по 4 уровню контроля отсутствия НДВ и ТУ. В последнем релизе нашего анализатора добавлена отчетность в формате ОУД4, по которой ЦБ проводит проверки банков и страховых компаний. Для них это очень актуально. Можно проанализировать код приложения, и Solar appScreener выдаст отчет о содержащихся в приложении уязвимостях в этом формате. – Как работает Центр контроля безопасности ПО на базе Solar appScreener, для чего он создан, кому помогает? – Когда разработчиков в компании больше 15-20 человек и ведется масштабная разработка с постоянными обновлениями программного обеспечения, становится тяжело вручную запускать сканирования, просматривать отчеты. В этом случае гораздо удобнее встроить систему в цикл разработки. Представьте: разработчики пишут новые части кода, вносят их в репозитории, проверяют на программные ошибки и выкладывают обновление. В этот процесс можно встроить Solar appScreеner и автоматизировать проверку кода на уязвимости. покупках. Интернет-банкинг там не так хорошо развит, как в России.
Один из возможных сценариев выглядит так: разработчик пишет код, например, для внутреннего или внешнего портала, и по окончании публикует его в репозитории. Сервер непрерывной интеграции и доставки CI/CD понимает, что в репозитории появился новый код. Наш анализатор предварительно уже интегрирован и с репозиторием, и с CI/CD сервером, и с любыми другими необходимыми компании компонентами разработки. Поэтому, когда появляется новая часть кода, CI/CD сервер забирает его, отправляет в Solar appScreener, анализатор проверяет код и передает сводный отчет об уязвимостях, например, тимлиду или сразу безопаснику. Ролевая модель процесса безопасной разработки создается для каждой конкретной компании. Если по результатам проверки исходного кода анализатором его защищенность оценивается, например, ниже четырех баллов по пятибалльной шкале, то процесс сборки останавливается и в продуктив ничего не разворачивается. О низком уровне защищенности проверенного кода автоматически уведомляются все ответственные сотрудники. В целом это позволяет специалистам по информационной безопасности автоматически проверять все коды, которые написаны разработчиками, и дальше принимать решения: пропускать или не пропускать проверенный код в продуктив. – Как долго проверяется код? Это зависит от сложности задачи? – Да, это очень зависит от объема кода, который сканируется, от языков программирования, потому что они бывают разные по сложности синтаксиса, семантике. Например, мобильное приложение проверяется за 20-30 минут. Запуск сканирования можно настроить по расписанию, не нагружая ресурсы компании, чтобы процесс был удобен и прозрачен для всех участников. – Может ли компания самостоятельно развернуть решение на собственных вычислительных мощностях? Или вы помогаете в развертывании? – Это решает сама компания: мы готовы помочь, однако часто сотрудники клиента справляются сами. Локальной версии Solar appScreener не нужен доступ в интернет. Дистрибутив очень нетребователен к аппаратным ресурсам и может спокойно работать даже на мощном ноутбуке. Кроме того, мы можем предоставлять анализ кода на уязвимости как услугу из облака «Ростелеком-Солар» по модели SaaS, облака у нас есть в России, в США, в Сингапуре. покупках. Интернет-банкинг там не так хорошо развит, как в России.
– Частые обновления, о которых Вы рассказывали, конечно, хорошая практика. Но, с другой стороны, мы знаем, что обновления кроме новых возможностей могут вызвать и новые неприятности - ломается или исчезает что-то старое, необходимое пользователю. В вашем случае, в обновлении сохраняются достоинства предыдущей версии? – Да, мы следуем принципу наследования функциональности версий. Заранее до обновления мы присылаем нашим клиентам информацию о том, что изменится в продукте с точки зрения интеграции. Тем заказчикам, которые выстроили у себя процесс безопасной разработки, важно получить эту информацию заранее, чтобы внести изменения в настройки интеграции. А о функциональных изменениях в продукте сообщаем непосредственно в день выхода новой версии. – Вы предупреждаете заранее клиентов, что предполагаете выпустить обновление? – Да, клиенты получают письмо с полным описанием обновления, с Release Notes и ссылкой, по которой можно скачать и запустить обновление. Автоматически ничего не происходит, потому что система полностью локальна. Клиент изучает, что именно изменилось в продукте, и, когда ему удобно, накатывает обновление. – Вы постоянно поддерживаете контакты с клиентами? – Стараемся держать связь постоянно, но не все клиенты испытывают такую потребность. Есть заказчики, которые нечасто что-то проверяют. Они могут пропустить обновление, поскольку анализируют лишь два-три необходимых им языка. А с активными клиентами созданы отдельные чаты поддержки в удобных мессенджерах, где присутствуют сотрудники клиента, наши эксперты, в том числе специалисты техподдержки. Основное общение происходит в мессенджерах, однако некоторые заказчики пишут в support и по электронной почте. В облачной версии анализатора можно нажать специальную иконку и обратиться в техподдержку прямо из продукта. – Техподдержка осуществляется круглосуточно? – У нас стандартная техподдержка – для России 5 дней в неделю по рабочим часам. При этом наши сотрудники работают круглосуточно, поскольку мы поддерживаем клиентов из разных часовых поясов. Конечно, если кому-то понадобится техподдержка 24/7, мы готовы ее предоставить по отдельному соглашению, хотя для таких систем она, как правило, не требуется. – Когда вы задумались о создании решения, стали его разрабатывать, вы сразу планировали, что будете его масштабировать на международный рынок? покупках. Интернет-банкинг там не так хорошо развит, как в России.
– На этапе, когда мы сделали прототип, не предполагали, а на момент публичного релиза в октябре 2015 года мы уже понимали, что хотим выходить на международный рынок. И фактически наша вторая версия продукта уже была двуязычная. С тех пор мы поддерживаем две языковые версии: двуязычную для российского рынка, в которой в любой момент можно переключить интерфейс с русского на английский. И отдельную версию на английском для зарубежных рынков. Возможности экспортного и российского продукта идентичны. А недавно у нас был интересный кейс: мы продали наше решение в крупную израильскую компанию, предложили им экспортную версию, но поскольку в компании много выходцев из России, заказчик попросил поставить двуязычную версию продукта. – В каких странах ваше решение наиболее востребовано? Где удается лучше продавать? – У нас больше всего продаж в Азии: на рынке Сингапура, Малайзии, а также во Вьетнаме. Есть продажи в Германии, Италии, Штатах, Канаде, Мексике, в Австралии, Южной Корее, Узбекистане, Белоруссии, Казахстане. География очень широкая. – Вы продаете в эти страны напрямую или через посредников? – Иногда продаем напрямую, но больше через партнеров-реселлеров либо дистрибьютеров. Это классическая вендорская модель, удобная тем, что позволяет масштабировать продажи. Партнер, который массово продает, уже обучен, у него есть выделенные ресурсы, которые позволяют проводить пресейл, вести первую линию техподдержки. Это для нас наиболее удобная модель, мы ее активно используем. – Зарубежный опыт продаж привносит что-либо новое в продукт? Насколько продажи на международном рынке обогащают ваше решение? – Колоссально обогащают, ведь некоторые страны с точки зрения безопасной разработки опережают Россию. У зарубежных пользователей возникают запросы, которые на нашем рынке появляются только спустя какое-то время. Поэтому обратная связь из разных стран позволяет нам обогащать продукт новыми функциями, видеть намного дальше, чем, если бы мы варились в собственном соку на своем локальном рынке. Например, у Solar appScreener сейчас третье поколение интерфейса, его мы сделали с учетом анализа около 700 пользовательских сессий. Во многих разделах продукта появились всплывающие подсказки, указывающие на содержание раздела, его функции, и как ими можно воспользоваться. Многие клиенты говорят, что это лучший интерфейс продукта, который они видели. – Что бы вы еще хотели добавить в Solar appScreener, и как предполагаете его улучшать? – План развития продукта у нас формируется на три месяца вперед с учетом либо потребностей существующих клиентов, либо планов потенциальных заказчиков. Если до недавнего времени мы активно наращивали количество языков и интеграций, то сейчас работаем над улучшениями уже заложенной в продукте функциональности, которые нам подсказывают наши пользователи. Мы делаем ставку на улучшение опыта взаимодействия пользователя с нашим продуктом. Плюс, конечно, сами языки программирования не стоят на месте, равно как и уязвимости. Появляются новые фреймворки для отчетов. Это все тоже важно поддерживать, обеспечивать обратную совместимость с предыдущими версиями. В общем, есть чем заняться.
Вакансии на сайте Jooble
|
|
||||||||||||||||||||||
|
|||||||||||||||||||||||
Ассоциация разработчиков «Отечественный софт» отметила 15-летие 
РДТЕХ представил Технологическую карту российского ПО 2023 
RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool 
На RIGF 2024 обсудили ключевые вопросы цифрового развития России 
_cover.jpg)
