Безпековий підхід у тестуванні програмного забезпечення продуктами Micro Focus.
Із практичного погляду кібербезпека — це широкий спектр рішень, що спрямовані на контролювання інформаційного простору підприємства. Це може бути: контроль доступу до мережі, даних та файлів; регулювання користування та процесингу так званої чутливої інформації, наприклад, даними кредитних карток; перевірка мережевого трафіку та трафіку між додатками на різновиди вірусів та вектори атак; блокування веб-вразливостей за допомогою фаєрволів тощо. Але всі ці рішення не дають об’єктивного розуміння ризиків та безпосередньої оцінки безпеки саме додатків. Тобто контролювати поведінку додатка та трафік, який він віддає до мережі, ми можемо, але заглибитися саме в принцип роботи, на жаль, без додаткового рішення неможливо.
Процес створення веб-ресурсів та додатків є таким зручним і легким, що нові продукти можуть бути написані менше ніж за добу в стилі «клудж» (тобто непрофесійно). Оцінити, наскільки написаний код є безпечним, зручним і чи має ознаки професійної роботи може тестувальник або QA. Але інструменти або результати тестування не завжди можуть бути актуальними або такими, що зроблені найефективнішим методом.
Наприклад, нещодавно вибухнув скандал щодо авіакатастрофи 2019 року, найвірогіднішою причиною якої могла бути несправність у програмному забезпеченні моделі літака, створеного компанією Boeing — 737 Max 8. Загалом, цю модель розроблено так, що під час підняття в повітря, двигуни, які розташовано доволі низько відносно фюзеляжу, тягнули ніс літака занадто догори і створювали ситуацію «звалювання», коли літак просто падає. Для компенсації цього ефекту було розроблено спеціальне програмне забезпечення під назвою «Поліпшення характеристик системи маневрування» — Maneuvering Characteristics Augmentation System (MCAS), яке за допомогою гідравлічних вузлів опускало ніс, і літак припиняв «звалюватися». Але, на думку експертів, саме ця система і стала причиною трагедії — датчики видавали неправильні дані, а система не змогла оцінити, що ці дані — неправильні або суперечливі.
Цей приклад є доказом того, що недостатньо якісно розроблене програмне забезпечення, веб-ресурс або додаток можуть стати причинами невідворотних трагічних наслідків. Фактично тестування функцій та аналіз початкового коду — запорука не просто стабільної роботи ПЗ, а й відповідності стандартам безпеки та безпечної розробки (PCI DSS, CERT). Найбільшим та найпопулярнішим у цій галузі є виробник рішень для безпекового тестування ПЗ — Micro Focus. У портфелі цього виробника є комплекс продуктів для виконання всіх завдань у циклі розроблення програмного забезпечення (SDLC) — починаючи від аналізу початкового коду й до контролю роботи ПЗ у продуктиві.
Fortify Static Code Analyzer (Fortify SCA), Static Application Security Testing (SAST) | овноцінне рішення рівня enterprise для аналітики безпеки початкового коду. Найчастіше плутають безпосередньо перевірку синтаксису та перевірку на безпеку. Fortify не є продуктом для відслідковування помилок у коді, а є аналітикою роботи коду з погляду безпеки. Наприклад, чи є ґешування паролів під час введення користувача? Чи є валідними ті дані, що вводить користувач або треба запровадити додаткові кроки для їхньої валідації? На ці питання можна відповісти, використавши функції тестування безпеки додатку Micro Focus Fortify. |
WebInspect Dynamic Application Security Testing (DAST) | Умовно «тестування методом чорної скриньки», тобто продукт, який дає змогу протестувати вже готовий додаток на різні вразливості, найпопулярніші є в переліку OWASP Top 10. Багато хто поділяє думку, що це рішення створено на основі методу сканування «crawl», але це не зовсім так. За допомогою WebInspect можна не тільки реалізувати якісну аналітику веб-ресурсу чи додатку, але й поексплуатувати різні вразливості, які будуть знайдені. Тобто завдяки цьому продукту є можливість спровокувати різного роду атаки та подивитися, що саме відбувається внаслідок їх дії. |
Runtime Application Defender | Це кінцевий етап циклу розроблення, коли вже готове ПЗ працює, але треба дивитися, які можливі ризики несе та чи інша поведінка. Application Defender має висновки Fortify SCA або WebInspect та може спостерігати, чи правильно працює та чи інша функція й наскільки це безпечно. |
Родина продуктів для тестування безпеки додатків Fortify WebInspect є повністю рішенням корпоративного класу, що забезпечує:
Micro Focus надає гнучкі умови ліцензування цих продуктів, але це залежить від самого завдання. Основні моделі — це ліцензії згідно з кількістю розробників, додатків та сканувань. До того ж у компанії Micro Focus є центр компетенції, де можна замовити сервіс, щоб отримати висновок фахівців безпеки щодо результатів тестування, якщо є потреба в об’єктивному аналізі.
ERC є авторизованим дистриб’ютором Micro Focus і надає бізнес-партнерам повний комплекс послуг на кожному етапі від вивчення і використання до впровадження продуктів Micro Focus.
Співпрацюючи з ERC, можна отримати:
Якщо є запитання щодо програмного забезпечення Micro Focus, звертайтеся на адресу software@erc.ua