PT BlackBox

Основная статья: Уязвимости в ПО и оборудовании

Облачный сервис PT BlackBox Scanner

Основная статья: PT BlackBox Scanner

2024: PT BlackBox версии 2.7 с увеличенной скоростью анализа веб-приложений под управлением «1С-Битрикс»

Positive Technologies выпустила обновление PT BlackBox — динамического анализатора приложений, сканера безопасности, работающего методом чёрного ящика. Начиная с версии 2.7 продукт можно установить в изолированной сети компании. Также среди важных улучшений – на 90% повышена скорость сканирования сайтов на «1С-Битрикс». Об этом Positive Technologies сообщили 5 февраля 2024 года.

PT BlackBox теперь можно установить автономно в изолированном сегменте сети компании без использования локального зеркала обновлений. Это важно в случае, когда сканер анализирует приложение в среде, которая развернута внутри компании, без доступа в Интернет. Именно такая практика распространена в крупных организациях с высокими требованиями к безопасности.

В версии PT BlackBox 2.7 повышена эффективность работы продукта по нескольким направлениям:

• На 90% выросла скорость анализа веб-приложений под управлением «1С-Битрикс», системы, которую используют большинство потенциальных пользователей продуктов Positive Technologies. Это стало возможным за счет создания специального профиля сканирования «Битрикс», в котором подобран максимально релевантный для этой CMS набор проверок.
• В три раза повышена точность определения скорости сканирования для типовых целей.
• Улучшено обнаружение вредоносного кода благодаря оптимизации формирования URL-адресов и HTTP-запросов, что позволяет точнее выявлять уязвимости на ранних этапах разработки веб-ресурса.

Кроме того, обновленный PT BlackBox стал удобнее для работы администратора. Добавлена функция восстановления предыдущей версии базы знаний версионных уязвимостей – это важно, если необходимо сканировать приложение с набором накопленных данных. На страницу с результатами сканирования добавлен фильтр, с помощью которого можно классифицировать найденные уязвимости по уровню опасности: они маркируются «высокий», «средний» или «низкий» в соответствии с собственной классификацией Positive Technologies.

После ухода зарубежных вендоров решений класса DAST, компании в России по-прежнему могут использовать продукты со свободной лицензией. Однако доработка и непрерывное обслуживание open source решений требует дополнительных ресурсов и навыков, поэтому зачастую выгоднее приобрести готовое решение, — прокомментировал Сергей Синяков, руководитель продукта PT BlackBox.

2022

Включение в единый реестр российского ПО

Динамический анализатор приложений PT BlackBox внесен в единый реестр отечественного ПО. В соответствии с приказом Минкомсвязи РФ с 5 декабря 2022 года PT BlackBox включен в класс средств обнаружения угроз и расследования инцидентов. Об этом компания Positive Technologies сообщила 21 декабря 2022 года.

Уязвимости в веб-приложениях несут реальную угрозу для бизнеса. Эксплуатация уязвимостей может привести к проникновению злоумышленников во внутреннюю инфраструктуру, краже конфиденциальных данных, атакам на пользователей сервисов. По нашим данным, в среднем на один сайт приходится 15 уязвимостей, две из которых высокой степени риска, — сказал Иван Соломатин, руководитель развития бизнеса защиты приложений компании Positive Technologies. — Включение PT BlackBox в реестр позволяет нашим клиентам снизить расходы на внедрение. Согласно документу, компании, использующие отечественные решения, в том числе в области ИБ, освобождаются от уплаты налога на добавленную стоимость.

С момента выхода PT BlackBox на российский рынок в августе 2022 года он получил два обновления. Начиная с версии 2.4 продукт генерирует запросы для подтверждения версионных уязвимостей, которые обнаруживаются с помощью сигнатурного анализа. Динамический анализатор определяет версию сервера или программы, составляет список известных уязвимостей, которым они могут быть подвержены, и проверяет, закрыты ли эти уязвимости в сканируемом приложении.

Помимо этого, PT BlackBox теперь анализирует защищенность веб-сайтов с последовательной авторизацией. Прохождение цепочек авторизаций позволяет сканеру проверить полностью всё приложение на наличие уязвимостей, в том числе и закрытые разделы, к которым, как правило, имеют доступ только администраторы. Многоступенчатая авторизация чаще всего используется в случае, если необходимо продемонстрировать веб-сайт, который еще разрабатывается, неограниченному кругу лиц.

Пользователи обновленной версии PT BlackBox могут переиспользовать профиль авторизации для сканирования. Это наиболее актуально в конвейере разработки, когда один и тот же набор тестовых данных используется на разных этапах проверки приложения.

Итого с версией 2.4 пользователи получат возможность:

• переиспользования авторизации;
• добавления последовательности авторизаций;
• проверки части версионных уязвимостей;
• улучшенного поиска SQL-инъекций;
• использования предустановленных профилей сканирования.

Анонс on-premise-сканера для динамического анализа приложений

23 августа 2022  года компания Positive Technologies сообщила о выходе on-premise-сканера DAST, ориентированного на поиск уязвимостей методом черного ящика.

PT BlackBox

По информации компании, ключевые возможности PT BlackBox — встраивание в процессы непрерывной интеграции и непрерывной доставки, эвристический и сигнатурный поиск уязвимостей, а также простота использования. Установить продукт можно за 30 минут, за час внедрить в контур, а уже через 7 часов с начала сканирования начать работу по устранению уязвимостей.

По результатам исследования Positive Technologies, на август 2022 года в среднем на один сайт приходится 15 уязвимостей, две из которых — высокой степени риска. Уязвимости в приложениях (а именно ошибки в коде или проблемы рабочего окружения уже развернутой программы) грозят бизнесу серьезными последствиями: проникновением злоумышленников во внутреннюю инфраструктуру, кражей конфиденциальных данных или атаками на пользователей сервисов. С учетом непростой ситуации на российском рынке, когда многие зарубежные ИБ-вендоры ушли, отечественные компании лишились возможности обеспечивать защиту приложений с помощью внедренных ранее иностранных DAST-продуктов. Решение в данной ситуации — продукт от российского ИБ-вендора.

Сканер безопасности PT BlackBox обнаруживает уязвимости и ошибки окружения приложения во время его выполнения (из списка OWASP Top 10, а также самые популярные и трендовые уязвимости), например такие как RCE, SQLi, file inclusion, OS commanding. При этом PT BlackBox выполняет сканирование в два раза быстрее доступных на август 2022 года на российском рынке DAST-решений, которые в основной массе являются open source.

Тренд на использование ПО с открытым кодом в динамическом тестировании сформировался весной 2022 года, когда зарубежные поставщики DAST ушли с российского рынка. Однако помимо возможностей, которые открывает использование ПО с открытым кодом, обнажились и обязательства, возлагаемые на компании. К ним относятся доработка ПО под задачи продукта, наличие команды узкой специализации, обеспечение ИБ конкретных библиотек и принятие рисков, связанных с возросшим количеством уязвимостей в открытом коде. Так, согласно аналитике Swordfish Security, на август 2022 года в России для создания программных продуктов используется не менее 30-40% компонент из репозиториев, которые содержат опасные уязвимости. Поэтому уровень развития ПО с открытым кодом стимулирует компании смещать фокус на российские продукты, основанные на экспертизе вендоров ИБ.

Для удобства работы с PT BlackBox, а также для надежности развертывания ПО предусмотрено внедрение сканера в процессы непрерывной интеграции (сontinuous integration, CI) и непрерывной доставки (сontinuous delivery, CD): запуск сканирования возможен параллельно с приемочным тестированием, а также после тестирования и установки приложения. Кроме того, PT BlackBox можно применять для ручного сканирования приложений в интернете.

Преимущество использования динамического анализатора Positive Technologies разработчиками, тестировщиками, специалистами по ИБ и DevOps (development & operations) состоит в том, что продукт выполняет роль дополнительного проверяющего: за счет использования метода черного ящика он не только обнаруживает проблемы конфигурации в инфраструктуре, но и определяет, какие уязвимые места, например, выявленные при статическом анализе, действительно могут эксплуатироваться злоумышленниками в атаках. Это позволяет устранять уязвимости на ранних этапах, а также обнаруживать ошибки и уязвимости, которые не получилось найти другими методами.

По результатам наших тестов, DAST-решения лучше выявляют уязвимости, связанные с недостатками конфигурации защитных механизмов, ошибками идентификации и аутентификации, а также с устаревшими версиями используемого ПО (все угрозы входят в OWASP Top 10). Уязвимости этих классов обнаруживаются за счет работы сканера с уже развернутым приложением. Многие из этих уязвимостей имеют среднюю или высокую степень риска из-за возможности несанкционированного доступа к приложению или личному кабинету пользователя, а значит, требуют незамедлительного устранения. поведал Олег Халаджиев, руководитель группы обеспечения качества PT BlackBox

PT BlackBox позволит организациям любого масштаба, в том числе сегмента large enterprise, оптимизировать уровень защищенности приложений и эффективнее выстроить процесс безопасной разработки.

PT BlackBox построен на технологии динамического анализа приложений и содержит экспертизу специалистов исследовательского центра по анализу защищенности PT SWARM и экспертного центра кибербезопасности (PT Expert Security Center). Технология динамического анализа применяется и в других продуктах Positive Technologies, что оптимизирует их эффективность. В частности, она используется в системе анализа защищенности PT Application Inspector для подтверждения уязвимостей, найденных в исходном коде. При этом PT Application Inspector сохраняет ядро DAST в составе, но с точки зрения построения DevSecOps-процессов в компании именно PT BlackBox в сочетании с PT Application Inspector способен выявлять уязвимости максимально эффективно. Кроме того, ядро DAST применяется в межсетевом экране уровня приложений PT Application Firewall для сканирования серверной части приложений и в системе контроля защищенности и соответствия стандартам MaxPatrol 8 для поиска веб-уязвимостей внутри периметра.