Разработчики: | Appercut Security, InfoWatch (ИнфоВотч), Attack Killer (Атак Киллер) |
Дата последнего релиза: | 2018/12/21 |
Технологии: | SaaS - Программное обеспечение как услуга, ИБ - Антивирусы |
Содержание |
Облачный сервис Appercut Custom Code Scanner (ACCS) позволяет пользователям почти любого бизнес-приложения самостоятельно и практически мгновенно проанализировать его исходный код и обнаружить уязвимости, нарушения корпоративных стандартов ИБ и требований регуляторов. При этом сервис способен выявлять бреши, которыми могут воспользоваться как злоумышленники извне, так и инсайдеры.
2019: Методология Security development lifecycle с применением Appercut
Компания Attack Killer 19 февраля 2019 года представила методологию встраивания сканеров кода в процесс разработки программного обеспечения.
По словам представителей компании, методология встраивания безопасности в процесс разработки ПО, предлагаемая компанией Attack Killer, отличается от обычной практики, когда выявление и устранение неисправностей выделяется в отдельный этап и увеличивает срок до вывода нового продукта на рынок. Предложенная методология SDL (Security development lifecycle) предполагает использование сканера кода Appercut и инструментов комплексной безопасности Attack Killer на 7 основных этапах разработки: обучение, формирование требований, проектирование, реализация, верификация, выпуск и реагирование. Предложенный метод позволит надежно защитить продукты, независимо от используемой разработчиком модели SDLC (Software Development Life Cycle), утверждают в Attack Killer.
В рамках нашей методологии мы исходим из принципа, что в процессе разработки приложение должно быть защищено от раскрытия информации, изменения и разрушения; должна обеспечиваться корректная аутентификация и управление правами пользователей, а также конфигурациями, сеансами и ошибками, — подчеркнул директор по развитию продуктов Attack Killer Михаил Бубнов. |
Вице-президент ГК InfoWatch Рустэм Хайретдинов рассказал о подходе компании Attack Killer к управлению безопасностью веб-ресурсов, который заключается во встраивании систем защиты в цикл создания и использования программного обеспечения. Эксперт отметил, что при создании методологии необходимо учитывать анализ платформы разработки, организационные меры, управление версиями, инструменты обеспечения безопасности в различных точках разработки и использования ИТ-систем.
2018: Получение сертификата ФСТЭК России
21 декабря 2018 года компания Attack Killer сообщила о получении сертификата ФСТЭК России InfoWatch Appercut Custom Code Scanner 4.0 — системы автоматизированного контроля исходного кода бизнес-приложений на соответствие требованиям по безопасной разработке программного обеспечения. По информации компании, данный сертификат подтверждает, что комплекс InfoWatch Appercut Custom Code Scanner соответствует нормативной документации и регламентирующим требованиям к программному обеспечению, используемому для защиты от несанкционированного доступа к информации.
На декабрь 2018 года массовая цифровизация стала причиной появления большого количества заказных разработок программного обеспечения, которые необходимо проверять на безопасность и качество кода. Получение сертификата ФСТЭК России гарантирует уровень защищенности и позволяет использовать InfoWatch Appercut в государственных, финансовых, промышленных и других организациях. Генеральный директор компании Attack Killer, вице-президент ГК InfoWatch Рустэм Хайретдинов |
InfoWatch Appercut соответствует требованиям руководящего документа ФСТЭК России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» для 4 уровня контроля.
Результат анализа кода приложения или его фрагмента представляет собой отчет с рекомендациями по исправлению ошибок. На декабрь 2018 года InfoWatch Appercut интегрируется в любой этап жизненного цикла разработки между программированием и приемкой заказчиком, поддерживает более 20 языков программирования, а лицензия позволяет исследовать любое количество приложений бесконечное количество раз.
На декабрь 2018 года, решение поддерживает требования международных стандартов PCI DSS, практики CERT, OWASP и CWE, рекомендации SDLC, производителей платформ 1С, SAP, Oracle, Microsoft. Пользователи InfoWatch Appercut могут добавлять в базу данных некорректных программных конструкций собственные шаблоны, отражающие специфику бизнес-процессов организации.
2012: Поддержка 20 языков программирования
На октябрь 2012 года сервис поддерживает более 20 языков программирования, включая основные языки бизнес-приложений. Среди них: ABAP/4 платформы SAP R/3, PeopleCode систем Oracle CRM/HRMS, VBScript компании Microsoft, LotusScript платформы IBM Lotus Notes, а также внутренний язык «1С: Предприятие». Благодаря архитектуре сканнера (наличие встроенного нормализатора, переводящего анализируемую программу с исходного языка в унифицированное внутреннее представление) добавление новых языков является относительно простой задачей и происходит ежеквартально.
Не менее важно, что сканнер ACCS выявляет уязвимости, сверяя анализируемый код с шаблонами, хранящимися в базе данных. Компания Appercut Security располагает одной из самых полных в индустрии коллекций уязвимостей и сотрудничает с ведущими мировыми лабораториями, проводящими аудит ПО, что позволяет максимально оперативно добавлять в этот список описания новых угроз. Кроме того, пользователи коммерческой версии сканнера могут вносить в базу данных собственные шаблоны интересующих их фрагментов исходного кода, тонко настраивая ACCS и адаптируя его к корпоративным стандартам ИБ и требованиям регуляторов. А для крупных корпоративных заказчиков и организаций со спецтребованиями к ИБ разработана специальная версия сканнера, которую можно установить в «частное облако», находящееся внутри периметра безопасности.
Всем известны масштабы киберпреступности – и в нашей стране, и за рубежом. Но, как ни странно, многие недооценивают риски, связанные с этим. Те же, кто уже понимает, какие угрозы исходят от современного бизнес-ПО, – не видят практического способа противодействия. Одни методы слишком медленны, другие выявляют лишь малую часть брешей, третьи – дают результаты, которые, фактически, относятся к далекому прошлому. И все методы слишком дороги для большинства российских предприятий, – говорит Рустэм Хайретдинов, CEO компании Appercut Security. – Мы понимали это и создавали наш сервис, встав на сторону заказчика, поставив именно его интересы во главу угла. И решили, что правильнее дать рынку инструмент, позволяющий буквально за минуту выявить порядка 70% уязвимостей, чем бороться за каждый процент, теряя простоту, оперативность, доступность. Уверен, что Appercut Custom Code Scanner – именно тот инструмент защиты, которого так недоставало российскому бизнесу. |
В России и странах ближнего зарубежья сервисы Appercut Security будут продвигаться под маркой InfoWatch Appercut Security – в рамках партнерской программы с системными интеграторами. Ее запуск намечен на октябрь 2012 года.
Подрядчики-лидеры по количеству проектов
ВидеоМост (VideoMost) (1767)
Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
TrueConf (Труконф) (1593)
Террасофт (Terrasoft, ТС-Консалтинг) (1147)
Directum (Директум) (606)
Другие (8595)
Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
Террасофт (Terrasoft, ТС-Консалтинг) (186)
ВидеоМост (VideoMost) (181)
Directum (Директум) (110)
QuickBPM (83)
Другие (759)
Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
ВидеоМост (VideoMost) (101)
Directum (Директум) (80)
1С-Рарус (30)
Projecto (Проджекто) (26)
Другие (561)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (35, 2813)
ВидеоМост (VideoMost) (3, 1818)
Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1766)
TrueConf (Труконф) (3, 1609)
Creatio (12, 1238)
Другие (1932, 7342)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
Directum (Директум) (2, 233)
Creatio (1, 200)
ВидеоМост (VideoMost) (2, 183)
1С Акционерное общество (13, 145)
Другие (154, 503)
Directum (Директум) (2, 236)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
ВидеоМост (VideoMost) (1, 102)
1С Акционерное общество (9, 98)
Projecto (Проджекто) (1, 26)
Другие (95, 340)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
Directum (Директум) (1, 147)
1С Акционерное общество (12, 86)
Naumen (Наумен консалтинг) (5, 22)
1С-Битрикс (1, 21)
Другие (80, 260)
Directum (Директум) (1, 119)
1С Акционерное общество (7, 47)
1С-Битрикс (1, 17)
Naumen (Наумен консалтинг) (3, 14)
БизнесАвтоматика НПЦ (5, 12)
Другие (60, 138)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
ВидеоМост (VideoMost) ВКС - 1818 (1817, 1)
ELMA BPM Suite - 1770 (1431, 339)
1С:Предприятие 8.3 - 1660 (205, 1455)
TrueConf Server - 1609 (1593, 16)
Creatio (ранее bpm’online) - 1238 (944, 294)
Другие 4506
ELMA BPM Suite - 327 (241, 86)
Directum RX - 233 (233, 0)
Creatio (ранее bpm’online) - 200 (200, 0)
ВидеоМост (VideoMost) ВКС - 183 (182, 1)
1С:Предприятие 8.3 - 137 (4, 133)
Другие 222
Directum RX - 236 (236, 0)
ELMA BPM Suite - 234 (151, 83)
ВидеоМост (VideoMost) ВКС - 102 (102, 0)
1С:Предприятие 8.3 - 93 (4, 89)
Projecto - 26 (26, 0)
Другие 121
ELMA BPM Suite - 183 (22, 161)
Directum RX - 147 (147, 0)
1С:Предприятие 8.3 - 76 (3, 73)
1С-Битрикс24 - 21 (21, 0)
Advanta (Адванта) - система управления проектами - 20 (20, 0)
Другие -9
Directum RX - 119 (119, 0)
1С:Предприятие 8.3 - 43 (3, 40)
1С-Битрикс24 - 17 (17, 0)
HRlink Система электронного кадрового документооборота - 10 (10, 0)
B2B-Center: Мои поставщики - 10 (10, 0)
Другие 82
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (77)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (893)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (3)
Инфосистемы Джет (3)
Другие (53)
А-Реал Консалтинг (3)
Deiteriy (Дейтерий) (2)
Информзащита (2)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 366)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (365, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Лаборатория Касперского (Kaspersky) (1, 1)
Другие (0, 0)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
ESET NOD32 - 140 (26, 114)
Kaspersky Business Space Security - 87 (87, 0)
Kaspersky Endpoint Security - 81 (81, 0)
Kaspersky Security - 81 (81, 0)
Dr.Web антивирус - 62 (12, 50)
Другие 126
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
Kaspersky Industrial CyberSecurity (KICS) - 2 (2, 0)
Trend Micro: Deep Discovery - 2 (2, 0)
FortiGate - 1 (1, 0)
FortiManager - 1 (1, 0)
Другие 4
А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
Kaspersky Endpoint Security - 3 (3, 0)
UserGate Proxy & Firewall - 1 (1, 0)
Kaspersky IoT Secure Gateway - 1 (1, 0)
Kaspersky Industrial CyberSecurity (KICS) - 1 (1, 0)
Другие 2
UserGate UTM - 4 (4, 0)
Kaspersky Endpoint Security - 3 (3, 0)
Kaspersky Security - 2 (2, 0)
F.A.C.C.T. Business Email Protection - 1 (1, 0)
Другие 0