Вышел первый в России on-premise-сканер DAST — PT BlackBox

Вышел первый в России on-premise-сканер DAST — PT BlackBox

Positive Technologies расширяет линейку продуктов для защиты приложений и выходит на рынок динамического анализа (DAST). Компания первой в России выпустила on-premise-сканер DAST, ориентированный на поиск уязвимостей методом черного ящика.

Ключевые преимущества PT BlackBox — встраивание в процессы непрерывной интеграции и непрерывной доставки, эвристический и сигнатурный поиск уязвимостей, а также простота использования. Установить продукт можно за 30 минут, за час внедрить в контур, а уже через 7 часов с начала сканирования начать работу по устранению уязвимостей.

По результатам исследования Positive Technologies, в среднем на один сайт приходится 15 уязвимостей, две из которых — высокой степени риска. Уязвимости в приложениях (а именно ошибки в коде или проблемы рабочего окружения уже развернутой программы) грозят бизнесу серьезными последствиями: проникновением злоумышленников во внутреннюю инфраструктуру, кражей конфиденциальных данных или атаками на пользователей сервисов. С учетом непростой ситуации на российском рынке, когда многие зарубежные ИБ-вендоры ушли, отечественные компании лишились возможности обеспечивать защиту приложений с помощью внедренных ранее иностранных DAST-продуктов. Решение в данной ситуации — продукт от российского ИБ-вендора.

 

Сканер безопасности PT BlackBox обнаруживает уязвимости и ошибки окружения приложения во время его выполнения (из списка OWASP Top 10, а также самые популярные и трендовые уязвимости), например такие как RCE, SQLi, file inclusion, OS commanding. При этом PT BlackBox выполняет сканирование в два раза быстрее доступных на российском рынке DAST-решений, которые в основной массе являются open source.

Тренд на использование ПО с открытым кодом в динамическом тестировании сформировался весной 2022 года, когда зарубежные поставщики DAST ушли с российского рынка. Однако помимо возможностей, которые открывает использование ПО с открытым кодом, обнажились и обязательства, возлагаемые на компании. К ним относятся доработка ПО под задачи продукта, наличие команды узкой специализации, обеспечение ИБ конкретных библиотек и принятие рисков, связанных с возросшим количеством уязвимостей в открытом коде.

Для удобства работы с PT BlackBox, а также для надежности развертывания ПО предусмотрено внедрение сканера в процессы непрерывной интеграции (сontinuous integration, CI) и непрерывной доставки (сontinuous delivery, CD): запуск сканирования возможен параллельно с приемочным тестированием, а также после тестирования и установки приложения. Кроме того, PT BlackBox можно применять для ручного сканирования приложений в интернете.

Преимущество использования динамического анализатора Positive Technologies разработчиками, тестировщиками, специалистами по ИБ и DevOps (development & operations) состоит в том, что продукт выполняет роль дополнительного проверяющего: за счет использования метода черного ящика он не только обнаруживает проблемы конфигурации в инфраструктуре, но и определяет, какие уязвимые места, например, выявленные при статическом анализе, действительно могут эксплуатироваться злоумышленниками в атаках. Это позволяет устранять уязвимости на ранних этапах, а также обнаруживать ошибки и уязвимости, которые не получилось найти другими методами.

«По результатам наших тестов, DAST-решения лучше выявляют уязвимости, связанные с недостатками конфигурации защитных механизмов, ошибками идентификации и аутентификации, а также с устаревшими версиями используемого ПО (все угрозы входят в OWASP Top 10), — рассказывает Олег Халаджиев, руководитель группы обеспечения качества PT BlackBox. — Уязвимости этих классов обнаруживаются за счет работы сканера с уже развернутым приложением. Многие из этих уязвимостей имеют среднюю или высокую степень риска из-за возможности несанкционированного доступа к приложению или личному кабинету пользователя, а значит, требуют незамедлительного устранения».

PT BlackBox позволит организациям любого масштаба, в том числе сегмента large enterprise, повысить уровень защищенности приложений и эффективнее выстроить процесс безопасной разработки.

«PT BlackBox — сканер, который требует минимум ресурсов серверного оборудования, времени установки и сканирования — комментирует выпуск нового продукта Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies. — Установить PT BlackBox можно за 30 минут, за 1 час внедрить его в контур, запустить и уже через 7 часов с начала сканирования специалист может начать работу по устранению уязвимостей. Такой простоты и скорости работы с продуктом удалось добиться благодаря тому, что мы уже 10 лет создаем передовые решения для информационной безопасности приложений. Мы разработали и много лет в рамках других своих продуктов непрерывно развиваем технологию динамического анализа, которую сейчас решили выделить в самостоятельное решение — PT BlackBox».

PT BlackBox построен на технологии динамического анализа приложений и содержит экспертизу специалистов исследовательского центра по анализу защищенности PT SWARM и экспертного центра кибербезопасности (PT Expert Security Center). Технология динамического анализа применяется и в других продуктах Positive Technologies, что повышает их эффективность. В частности, она используется в системе анализа защищенности PT Application Inspector для подтверждения уязвимостей, найденных в исходном коде. При этом PT Application Inspector сохраняет ядро DAST в составе, но с точки зрения построения DevSecOps-процессов в компании именно PT BlackBox в сочетании с PT Application Inspector способен выявлять уязвимости максимально эффективно. Кроме того, ядро DAST применяется в межсетевом экране уровня приложений PT Application Firewall для сканирования серверной части приложений и в системе контроля защищенности и соответствия стандартам MaxPatrol 8 для поиска веб-уязвимостей внутри периметра.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В даркнете расцвел рынок веб-инжектов для мобильных зловредов

Исследователи из Resecurity обнаружили в сети Tor новый маркетплейс, ориентированный на разработчиков и пользователей вредоносных программ для мобильных устройств. Сайт InTheBox снабжает подписчиков веб-инжектами — типовыми или сделанными на заказ; использование такого подспорья, по оценке экспертов, помогает преступникам проводить атаки на 300+ финансовых институтов, платежных систем, соцсетей и ретейла в 43 странах.

Первое упоминание InTheBox в крупных хакерских сообществах датируется январем 2020 года. На тот момент оператор нового сервиса предлагал свои услуги по созданию веб-инжектов только персонально. Со временем доверие к нему как к разработчику выросло, и криминальное предприятие превратилось в полностью автоматизированный маркетплейс.

Сейчас готовые либо заказные шаблоны для подмены страниц онлайн-сервисов в браузере можно приобрести по подписке, в том числе безлимитной (позволяет генерировать неограниченное число веб-инжектов в течение оплаченного периода_. Для активации аккаунта пользователь должен связаться с администратором сайта через Jabber или Telegram —таким образом производится проверка на благонадежность.

Большой популярностью пользуются веб-инжекты для Alien, Cerberus, Ermac, Hydra, Octopus, он же Octo, а также Poison и MetaDroid. Готовые шаблоны можно использовать по отдельности или в связке; по типам они разделены на следующие группы:

  • Authorization data — для кражи учетных данных;
  • Ask only PIN — для кражи пин-кодов;
  • With Credit Card data — форма с дополнительными полями для кражи данных банковских карт;
  • With Credit Card data + ATM PIN — с дополнительными полями для ввода данных карты и пин-кода;
  • Ask Full Data — для кражи ПДн жертвы.

В настоящее время InTheBox, по словам исследователей, предлагает более 400 профессионально выполненных веб-инжектов для атак на интернет-сервисы США, Великобритании и еще трех десятков стран. Наибольшим спросом пользуются имитации систем онлайн-банкинга и криптообменников.

Из других категорий доступны фейки ecommerce-сайтов (Amazon, Alibaba, магазины стильной одежды, авторынки), соцсетей, мессенджеров (WhatsApp), сайтов знакомств (Tinder), платформ для видеоконференций (Zoom), стриминговых сервисов (Netflix, Spotify).

Сведения о новом мощном даркнет-сервисе переданы в глобальный Центр анализа и обмена информацией между финансовыми службами (FS-ISAC), а также в Google, поскольку большинство вредоносов, поддерживаемых InTheBox, заточены под Android.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru