PT Application Inspector

Сергей Гордейчик

технический директор

О компании

10+ лет, 300+ сотрудников/1000+ клиентов

ОфисыMoscow & Saint-Petersburg, Russia/London, UKDubai, UAE/Seoul, Korea/Tunis, Tunisia/Rome, Italy/Mumbai, India

Лидирующие продукты и сервисыMaxPatrol XSpider Анализ защищенности

Крупнейший исследовательский центр в Европе

• 100+ новых уязвимостей 0-day ежегодно

Мы помогаем индустрии стать безопасней

Тенденции ИТ

Высокая мобильность, BYOD, доступ к информации из любой точки вселенной

Решение

Использование Web-технологий, мобильных система

Все через Web:

• Почта

• Порталы

• Доступ к ERP

• VPN

• …

Перенос клиентских сервисов в Web:

• онлайн-магазины

• интернет-банкинг

• электронное правительство

• порталы госуслуг

А атаки?

Verizon 2013 Data Breach Investigations Report

Регуляторы

Раздел 6 PCI DSS

Раздел 7.3.5 СТО БР ИББС 1.0

Приказ ФСТЭК России №17

Требования по НДВ

Новые инициативы Банка России

Сложность обнаружения уязвимостей

Для взлома достаточно найти одну «дыру»

Для защиты нужно устранять (почти) все

Сложность современных приложений

Высокая динамика внесения изменений

Результат

Анализ безопасности проводится редко

• Однократно, при приемке…или после инцидента…

Подмена поиска уязвимостей тестированием функций защиты

PT – автоматизация анализа защищенности

Сканер безопасности Web-приложений в режиме «черного ящика»

• Входит в состав XSpider/MaxPatrol с 2005 года, в 2013 полностью обновлен

Система статического/динамического и интерактивного анализа исходных кодов PT AI

Наш подход

Основные принципы

Безопасный и быстрый анализ

Поиск уязвимостей, а не «проблем кода»

Комбинация статического, динамического и интерактивного анализа

Простота конфигурирования (режим Big Red Button)

Масштабируемость под различные языки и платформы

Не ищем общий подход, решаем частные задачи

Генерация эксплойта

Классы уязвимостей

WASC/OWASP

• XSS/SQLi/XXE/…

Собственные наработки

Платформозависимые уязвимости

Признаки НДВ

Ограничения

RBAC

Сложные функциональные уязвимости

Что такое НДВ?

«Закладка»!

Генерация эксплойтов

Автоматическая генерация возможных векторов атак

Учёт механизмов фильтрации и островных грамматик

Результат

Облегчение процесса тестирования

Необязательно понимать код

Автоматизированная верификация

Интеграция с средствами защиты

Все вместе

Редакции

Базовая

- Основные языки клиент-серверной и Web-разработки (Java, .NET, PHP, T-SQL, PL/SQL, JavaScript, XML, HTML…)

ERP

- SAP ABAP и SAP Java

- Oracle EBS Java, Oracle EBS PL/SQL

Mobile

- Android Java

- Windows Mobile .NET

- Objective-C

Спасибо!

gordey@ptsecurity.com

http://sgordey.blogspot.com