Специалисты полагают, что новые разработки российских исследователей серьёзно изменят рынок информационной безопасности - как российский, так и мировой. Дело в том, что системы для защиты приложений Positive Technologies сумели найти и закрыть ShellShock без дополнительных настроек, в базовой конфигурации. Подобные «навыки», характерные для опытного эксперта, наверняка найдут применение в самых разных отраслях, включая интернет-банкинг и ERP-системы, порталы госуслуг и веб-сервисы телекомов.
Причина появления PT Application Inspector и PT Application Firewall связана с падением реальной защищенности информационных систем. Так, в 2014 году 77% критически важных приложений крупных компаний и госпредприятий России содержали опасные уязвимости согласно отчету Positive Technologies. Исследователи в области информационной безопасности вынуждены играть в догонялки с десятками тысяч черных хакеров, работающими на теневой бизнес и разведслужбы. Ситуацию с безопасностью внутри страны может осложнить и курс на импортозамещение, направленный вроде бы на повышение уровня национальной безопасности. Только вот строительство систем из «сырого» отечественного ПО создаст новые угрозы. Чтобы решить эти проблемы, необходимы защитные решения нового поколения, сочетающие серьезный научный подход и высокую степень автоматизации для раннего обнаружения угроз. Об этих технологиях эксперты Positive Technologies и рассказали журналистам на пресс-конференции 8 октября.
«Продавцы страха» - об этом термине напомнила Евгения Поцелуевская, руководитель отдела аналитики компании. Именно так называют некоторых ИБ-аналитиков, обвиняя их в том, что они искусственно нагнетают панику. Однако Positive Technologies отличается тем, что собирает свои данные в ходе реальных тестов на проникновение. И в отношении реальных уязвимостей ситуация в 2014 году ухудшилась вполне естественным путем - компании активнее выходят в интернет и используют больше приложений, но исследовать защищенность этих приложений не торопятся.
Полное исследование уязвимостей 2014 года, данные которого были представлены на пресс-конференции, будет опубликовано чуть позже; исследования 2013 года можно найти на сайте компании. Евгения Поцелуевская также представила статистку уязвимостей популярных систем с открытым кодом. Существует миф, что сам факт использования модели open source делает продукты «более безопасными», но на практике это не всегда так.
Заменить иностранную аппаратную базу и системное ПО не удастся еще долго, поэтому они переходят в статус «недоверенных продуктов», в которых могут находиться закладки зарубежного производителя. В этом уверен Сергей Гордейчик, заместитель генерального директора Positive Technologies по развитию технологий. А замещение высокоуровневого ПО будет происходить с помощью отечественных продуктов, созданных в спешке, не прошедших достаточного тестирования и зачастую использующих сторонний код. В результате создается ситуация высокого риска, или «модель нарушителя H6» - когда «чужой» уже проник в систему, но еще не начал активных действий.
Денис Баранов, директор по безопасности приложений исследовательского центра компании, рассказал о практической реализации вышеупомянутых принципов защиты в двух новых продуктах. Система PT Application Inspector, аббревиатура которой (AI) не случайно совпадает с аббревиатурой «искусственного интеллекта», сочетает в своей работе статический (SAST), динамический (DAST) и интерактивный (IAST) методы анализа защищенности приложений. А результатом работы анализатора становятся эксплойты, которые показывают разработчикам, как именно нужно исправить код.
Те же эксплойты позволяют устранить угрозу до исправления кода: они передаются другому продукту компании - межсетевому экрану PT Application Firewall, который использует их для виртуального патчинга. Кроме того, PT AF применяет поведенческий анализ трафика, что позволяет выявлять новые атаки, для которых еще нет сигнатур, что и продемонстрировал Денис на примере атаки ShellShoсk.