Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2022/08/23 |
Дата последнего релиза: | 2024/02/05 |
Технологии: | TMS - Test Management System |
Содержание |
Основная статья: Уязвимости в ПО и оборудовании
Облачный сервис PT BlackBox Scanner
Основная статья: PT BlackBox Scanner
2024
Интеграция с Dev Platform
VK Tech интегрировал Dev Platform с инструментами безопасной разработки Positive Technologies и ГК Swordfish Security. Платформа интегрирована в том числе и с PT BlackBox. Об этом VK Tech сообщил 26 июня 2024 года. Подробнее здесь.
Интеграция с платформой «Сфера»
Система анализа защищенности кода приложений PT Application Inspector и сканер для динамического тестирования веб-ресурсов PT BlackBox интегрированы с Платформой Сфера. Об этом Positive Technologies (Позитив Текнолоджиз) сообщили 18 июня 2024 года. Подробнее здесь.
PT BlackBox версии 2.7 с увеличенной скоростью анализа веб-приложений под управлением «1С-Битрикс»
Positive Technologies выпустила обновление PT BlackBox — динамического анализатора приложений, сканера безопасности, работающего методом чёрного ящика. Начиная с версии 2.7 продукт можно установить в изолированной сети компании. Также среди важных улучшений – на 90% повышена скорость сканирования сайтов на «1С-Битрикс». Об этом Positive Technologies сообщили 5 февраля 2024 года.
PT BlackBox теперь можно установить автономно в изолированном сегменте сети компании без использования локального зеркала обновлений. Это важно в случае, когда сканер анализирует приложение в среде, которая развернута внутри компании, без доступа в Интернет. Именно такая практика распространена в крупных организациях с высокими требованиями к безопасности.
В версии PT BlackBox 2.7 повышена эффективность работы продукта по нескольким направлениям:
- На 90% выросла скорость анализа веб-приложений под управлением «1С-Битрикс», системы, которую используют большинство потенциальных пользователей продуктов Positive Technologies. Это стало возможным за счет создания специального профиля сканирования «Битрикс», в котором подобран максимально релевантный для этой CMS набор проверок.
- В три раза повышена точность определения скорости сканирования для типовых целей.
- Улучшено обнаружение вредоносного кода благодаря оптимизации формирования URL-адресов и HTTP-запросов, что позволяет точнее выявлять уязвимости на ранних этапах разработки веб-ресурса.
Кроме того, обновленный PT BlackBox стал удобнее для работы администратора. Добавлена функция восстановления предыдущей версии базы знаний версионных уязвимостей – это важно, если необходимо сканировать приложение с набором накопленных данных. На страницу с результатами сканирования добавлен фильтр, с помощью которого можно классифицировать найденные уязвимости по уровню опасности: они маркируются «высокий», «средний» или «низкий» в соответствии с собственной классификацией Positive Technologies.
После ухода зарубежных вендоров решений класса DAST, компании в России по-прежнему могут использовать продукты со свободной лицензией. Однако доработка и непрерывное обслуживание open source решений требует дополнительных ресурсов и навыков, поэтому зачастую выгоднее приобрести готовое решение, — прокомментировал Сергей Синяков, руководитель продукта PT BlackBox. |
2022
Включение в единый реестр российского ПО
Динамический анализатор приложений PT BlackBox внесен в единый реестр отечественного ПО. В соответствии с приказом Минкомсвязи РФ с 5 декабря 2022 года PT BlackBox включен в класс средств обнаружения угроз и расследования инцидентов. Об этом компания Positive Technologies сообщила 21 декабря 2022 года.
Уязвимости в веб-приложениях несут реальную угрозу для бизнеса. Эксплуатация уязвимостей может привести к проникновению злоумышленников во внутреннюю инфраструктуру, краже конфиденциальных данных, атакам на пользователей сервисов. По нашим данным, в среднем на один сайт приходится 15 уязвимостей, две из которых высокой степени риска, — сказал Иван Соломатин, руководитель развития бизнеса защиты приложений компании Positive Technologies. — Включение PT BlackBox в реестр позволяет нашим клиентам снизить расходы на внедрение. Согласно документу, компании, использующие отечественные решения, в том числе в области ИБ, освобождаются от уплаты налога на добавленную стоимость. |
С момента выхода PT BlackBox на российский рынок в августе 2022 года он получил два обновления. Начиная с версии 2.4 продукт генерирует запросы для подтверждения версионных уязвимостей, которые обнаруживаются с помощью сигнатурного анализа. Динамический анализатор определяет версию сервера или программы, составляет список известных уязвимостей, которым они могут быть подвержены, и проверяет, закрыты ли эти уязвимости в сканируемом приложении.
Помимо этого, PT BlackBox теперь анализирует защищенность веб-сайтов с последовательной авторизацией. Прохождение цепочек авторизаций позволяет сканеру проверить полностью всё приложение на наличие уязвимостей, в том числе и закрытые разделы, к которым, как правило, имеют доступ только администраторы. Многоступенчатая авторизация чаще всего используется в случае, если необходимо продемонстрировать веб-сайт, который еще разрабатывается, неограниченному кругу лиц.
Пользователи обновленной версии PT BlackBox могут переиспользовать профиль авторизации для сканирования. Это наиболее актуально в конвейере разработки, когда один и тот же набор тестовых данных используется на разных этапах проверки приложения.
Итого с версией 2.4 пользователи получат возможность:
- переиспользования авторизации;
- добавления последовательности авторизаций;
- проверки части версионных уязвимостей;
- улучшенного поиска SQL-инъекций;
- использования предустановленных профилей сканирования.
Анонс on-premise-сканера для динамического анализа приложений
23 августа 2022 года компания Positive Technologies сообщила о выходе on-premise-сканера DAST, ориентированного на поиск уязвимостей методом черного ящика.
По информации компании, ключевые возможности PT BlackBox — встраивание в процессы непрерывной интеграции и непрерывной доставки, эвристический и сигнатурный поиск уязвимостей, а также простота использования. Установить продукт можно за 30 минут, за час внедрить в контур, а уже через 7 часов с начала сканирования начать работу по устранению уязвимостей.
По результатам исследования Positive Technologies, на август 2022 года в среднем на один сайт приходится 15 уязвимостей, две из которых — высокой степени риска. Уязвимости в приложениях (а именно ошибки в коде или проблемы рабочего окружения уже развернутой программы) грозят бизнесу серьезными последствиями: проникновением злоумышленников во внутреннюю инфраструктуру, кражей конфиденциальных данных или атаками на пользователей сервисов. С учетом непростой ситуации на российском рынке, когда многие зарубежные ИБ-вендоры ушли, отечественные компании лишились возможности обеспечивать защиту приложений с помощью внедренных ранее иностранных DAST-продуктов. Решение в данной ситуации — продукт от российского ИБ-вендора.
Сканер безопасности PT BlackBox обнаруживает уязвимости и ошибки окружения приложения во время его выполнения (из списка OWASP Top 10, а также самые популярные и трендовые уязвимости), например такие как RCE, SQLi, file inclusion, OS commanding. При этом PT BlackBox выполняет сканирование в два раза быстрее доступных на август 2022 года на российском рынке DAST-решений, которые в основной массе являются open source.
Тренд на использование ПО с открытым кодом в динамическом тестировании сформировался весной 2022 года, когда зарубежные поставщики DAST ушли с российского рынка. Однако помимо возможностей, которые открывает использование ПО с открытым кодом, обнажились и обязательства, возлагаемые на компании. К ним относятся доработка ПО под задачи продукта, наличие команды узкой специализации, обеспечение ИБ конкретных библиотек и принятие рисков, связанных с возросшим количеством уязвимостей в открытом коде. Так, согласно аналитике Swordfish Security, на август 2022 года в России для создания программных продуктов используется не менее 30-40% компонент из репозиториев, которые содержат опасные уязвимости. Поэтому уровень развития ПО с открытым кодом стимулирует компании смещать фокус на российские продукты, основанные на экспертизе вендоров ИБ.
Для удобства работы с PT BlackBox, а также для надежности развертывания ПО предусмотрено внедрение сканера в процессы непрерывной интеграции (сontinuous integration, CI) и непрерывной доставки (сontinuous delivery, CD): запуск сканирования возможен параллельно с приемочным тестированием, а также после тестирования и установки приложения. Кроме того, PT BlackBox можно применять для ручного сканирования приложений в интернете.
Преимущество использования динамического анализатора Positive Technologies разработчиками, тестировщиками, специалистами по ИБ и DevOps (development & operations) состоит в том, что продукт выполняет роль дополнительного проверяющего: за счет использования метода черного ящика он не только обнаруживает проблемы конфигурации в инфраструктуре, но и определяет, какие уязвимые места, например, выявленные при статическом анализе, действительно могут эксплуатироваться злоумышленниками в атаках. Это позволяет устранять уязвимости на ранних этапах, а также обнаруживать ошибки и уязвимости, которые не получилось найти другими методами.
По результатам наших тестов, DAST-решения лучше выявляют уязвимости, связанные с недостатками конфигурации защитных механизмов, ошибками идентификации и аутентификации, а также с устаревшими версиями используемого ПО (все угрозы входят в OWASP Top 10). Уязвимости этих классов обнаруживаются за счет работы сканера с уже развернутым приложением. Многие из этих уязвимостей имеют среднюю или высокую степень риска из-за возможности несанкционированного доступа к приложению или личному кабинету пользователя, а значит, требуют незамедлительного устранения. поведал Олег Халаджиев, руководитель группы обеспечения качества PT BlackBox |
PT BlackBox позволит организациям любого масштаба, в том числе сегмента large enterprise, оптимизировать уровень защищенности приложений и эффективнее выстроить процесс безопасной разработки.
PT BlackBox построен на технологии динамического анализа приложений и содержит экспертизу специалистов исследовательского центра по анализу защищенности PT SWARM и экспертного центра кибербезопасности (PT Expert Security Center). Технология динамического анализа применяется и в других продуктах Positive Technologies, что оптимизирует их эффективность. В частности, она используется в системе анализа защищенности PT Application Inspector для подтверждения уязвимостей, найденных в исходном коде. При этом PT Application Inspector сохраняет ядро DAST в составе, но с точки зрения построения DevSecOps-процессов в компании именно PT BlackBox в сочетании с PT Application Inspector способен выявлять уязвимости максимально эффективно. Кроме того, ядро DAST применяется в межсетевом экране уровня приложений PT Application Firewall для сканирования серверной части приложений и в системе контроля защищенности и соответствия стандартам MaxPatrol 8 для поиска веб-уязвимостей внутри периметра.
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Setl Group (Сэтл Групп) | Positive Technologies (Позитив Текнолоджиз) | 2024.05 |
Подрядчики-лидеры по количеству проектов
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Тест АйТи (Test IT) (2, 6)
Positive Technologies (Позитив Текнолоджиз) (4, 1)
Мобильные ТелеСистемы (МТС) (2, 1)
Performance Lab (Перфоманс Лаб) (2, 1)
1С-ИжТиСи (1, 1)
Другие (40, 2)
1С-ИжТиСи (1, 1)
Мобильные ТелеСистемы (МТС) (1, 1)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (0, 0)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Test IT TMS (Test Management System) - 6 (6, 0)
Gurock Software TestRail - 1 (1, 0)
Performance Lab Boomq Enterprise - 1 (1, 0)
МТС: Ocean Облачная платформа - 1 (1, 0)
PT BlackBox - 1 (1, 0)
Другие 2
1С:Автоматическое тестирование конфигураций - 1 (1, 0)
МТС: Ocean Облачная платформа - 1 (1, 0)
Другие 0