Новый продукт для создания безопасных приложений Positive Technologies

Новый продукт для создания безопасных приложений Positive Technologies

PT Application Inspector Enterprise позволяет построить процессы безопасной разработки и массовой приемки кода приложений в организациях любого масштаба. Продукт в автоматическом режиме выявляет уязвимости, имея при этом все необходимые инструменты для их верификации специалистами. Кроме того, PT Application Inspector Enterprise предоставляет возможность трекинга уязвимостей и дает рекомендации по их исправлению. Все это позволяет с самого начала создавать защищенное приложение.

Также в числе особенностей Enterprise-версии — легкость интеграции в процесс разработки, ролевая модель доступа, возможность командной работы над проектом без ограничения числа пользователей, удобный интерфейс, наличие информационной панели со статистикой.

PT AI Enterprise является развитием PT Application Inspector — единственного российского анализатора кода, попавшего в магический квадрант Gartner 2018 года по тестированию безопасности приложений. PT AI помогает выпускать защищенные приложения компаниям и организациям по всему миру.

Как и предыдущие версии Application Inspector, новое решение использует технологию абстрактной интерпретации с целью повышения точности результатов анализа кода, что позволяет отфильтровывать ложные срабатывания и автоматически подтверждать возможность эксплуатации обнаруженных уязвимостей. Кроме того, PT AI Enterprise определяет лучшее место для одновременного исправления множества уязвимостей, способен сканировать как веб, так и мобильные приложения.

«Учитывая, что каждая команда разработки и каждый продукт, который она создает, уникальны, важно, чтобы решение для создания безопасных приложений гибко встраивалось в их среду и бизнес-процессы. Это дает возможность не только повышать безопасность, но и быстрее доставлять продукт и его обновления конечному потребителю, — говорит Антон Александров, руководитель направления по развитию бизнеса продукта Application Inspector компании Positive Technologies. — PT Application Inspector Enterprise позволяет не только качественно выявлять уязвимости на любом этапе жизненного цикла продукта, но и дает рекомендации по проверке этих уязвимостей и наиболее качественному их устранению».

В крупных компаниях приходится осуществлять параллельный аудит десятков веб-приложений подрядчиков или проверять значительное число одновременно разрабатываемых приложений. PT Application Inspector Enterprise позволяет масштабировать сканирование — чем больше сканирующих агентов, тем больше приложений могут одновременно анализироваться. Система дает возможность, в том числе, сканировать только измененный код, что позволяет освободить ресурсы для анализа других приложений.

PT Application Inspector Enterprise поддерживает интеграцию с современными CI/CD-системами (непрерывной интеграции и доставки): Jenkins, TFS, TeamCity, Gitlab CI и другими, что позволяет автоматизировать процесс поиска уязвимостей на этапе сборки приложения. А интеграция с баг-трекинговыми системами (Jira, TFS и другие) дает возможность создавать задачи для разработчиков по исправлению уязвимостей.

По статистике Positive Technologies, в 2018 году доля веб-приложений с критически опасными уязвимостями увеличилась до 67%. В настоящее время 75% векторов проникновения в корпоративную сеть связаны с недостатками защиты веб-приложений, что представляет реальную опасность для бизнеса и государственных организаций. Например, в 2018 году атакам с использованием уязвимостей веб-приложений подвергались интернет-магазин Newegg, авиакомпания British Airways, онлайновый продавец билетов Ticketmaster и другие крупные компании.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперт показал, как фишеры могут маскировать URL с помощью Google Meet

Шон Райт, специалист в области кибербезопасности, выявил уязвимость в популярном сервисе для видеоконференций Google Meet. Проблема кроется в конвертации URL, поскольку создаваемые редиректы — отличный инструмент для фишинга.

Как отмечает Райт в блоге, открытые редиректы перенаправляют пользователя с URL Google на другой веб-ресурс, выбранный тем, кто генерировал ссылку. Если такой URL запостить в чат Google Meet, он конвертируется в специальную ссылку.

«При переходе по такой ссылке она отредиректит пользователя на нужный адрес. Однако проблема подобных URL в том, что они являются отличным инструментом для фишинга», — пишет исследователь.

«Как правило, пользователи смотрят на начало URL, чтобы убедиться в его легитимности. Но тут все ссылки будут вида meet.google.com, так что многие сразу же отбросят всякие сомнения в безопасности таких URL».

В блоге Райт также продемонстрировал процесс перенаправления пользователя на вредоносный сайт, имитирующий старицу входа в учётную запись Google. По словам специалиста, фишерам поможет ещё одна привычка рядового пользователя — смотреть на ссылку до того, как пройти по ней, но не после.

Проще говоря, Райт пытается указать на способ маскировки вредоносных URL и свободного перенаправления пользователей на фишинговые веб-ресурсы. Google же явно считает проблему надуманной, поскольку в корпорации ответили отказом на просьбу Райта устранить проблему безопасности.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru