Защита приложений и систем

Связаться

О решении

Одним из ключевых аспектов управления корпоративным приложением является обеспечение информационной безопасности на всех стадиях его жизненного цикла.

Если на ранней стадии разработки программного обеспечения не уделяется должного внимания безопасности исходного кода, это увеличивает количество уязвимостей и риски возникновения инцидентов информационной безопасности в ходе его последующей эксплуатации.

Когда бизнес-приложение уже внедрено на предприятии, зачастую отсутствует возможность внесения изменений и корректировка кода решений, а в связи с требованиями к непрерывности сервисов отсутствует возможность установки последних обновлений информационной безопасности. С течением времени число уязвимостей в таком приложении увеличивается, снижается его надежность.

По данным компании Аcunetix, при сканировании порядка 45 000 сайтов с апреля 2015 по март 2016 года 55% сайтов имеют критические уязвимости и порядка 84% имеют уязвимости средней величины.

Анализ исходного кода приложения на стадии его разработки, развертывание специализированных межсетевых экранов для приложений и баз данных, проведение тестирования на проникновение из вне может в значительной степени снизить риски нарушения конфиденциальности, доступности и целостности информации в бизнес-приложениях.

Технологии

  • Компания Digital Design предлагает, как реализацию технических мер защиты приложений, с использованием сертифицированных российских решений от компании Positive Technologies и зарубежных решений от компании Imperva, так и выполнение тестов на проникновение (pentest).

Технические меры защиты приложений:

  • Система анализа исходного кода приложения:
    Positive Technologies Application Inspector.
  • Специализированный межсетевой экран уровня приложений для контроля защищенности и обнаружение уязвимостей, сертифицированный по новым требованиям ФСТЭК:
    Positive Technologies Application Firewall.
  • Специализированный межсетевой экран уровня баз данных:
    Imperva SecureSphere Database Security.

Проведение тестов на проникновение:

  • Данный метод симулирует набор атак злоумышленника, цель которого – проникновение во внутреннюю инфраструктуру сети компании, кража и/или модификация конфиденциальных данных, нарушение работы критических бизнес процессов компании.
    Для решения текущих задач предприятия можно провести технологический и социотехнический тесты. Первый выявляет уязвимости в информационной инфраструктуре, второй – уровень осведомленности персонала в вопросах информационной безопасности с помощью методов социальной инженерии.

Преимущества Digital Design

  • Партнерства с ведущими производителями отечественных и зарубежных решений в области защиты бизнес-приложений и систем.
  • Многолетний опыт реализации проектов по информационной безопасности и по защите корпоративных приложений.

Функциональность

Система анализа исходного кода на базе Positive Technologies Application Inspector:

  • Поиск уязвимостей в исходном коде;
  • Возможность составления отчета и демонстрации уязвимых мест;
  • Формирование эксплойтов для проверки опасности найденных уязвимостей и дальнейшего контроля закрытия найденной уязвимости;
  • Использование базы уязвимостей веб-приложений WASC и классификатора CWE;
  • Возможность визуализации программного кода и поиска программных закладок.

Специализированный межсетевой экран уровня приложений для контроля защищенности и обнаружение уязвимостей на базе Positive Technologies Application Firewall:

  • Блокировка атак нулевого дня за счет статистической модели функционирования приложения;
  • Антивирусная проверка загружаемых в веб-приложение файлов;
  • Поведенческий анализ для противодействия автоматизированным атакам;
  • Создание виртуальных патчей выявленных в исходном коде веб-приложения уязвимостей.

Специализированный межсетевой экран уровня баз данных Imperva SecureSphere Database Firewall, включающий в себя следующие компоненты:

  • Database Activity Monitor – полный аудит и обзор использования пользователями данных.
  • Database Firewall – мониторинг активности и защита в реальном времени для критичных БД.
  • Database Assessment – оценка уязвимости, управление конфигурациями и классификация данных для БД.
  • User Rights Management for Databases – пересмотр и управление правами доступа пользователей к критичным БД ADC Insights. Предустановленные отчеты и правила по безопасности и соблюдению требований для SAP, Oracle EBS и PeopleSoft.

Эксперт по решению

Лучко Дмитрий Сергеевич

Руководитель проектов

Написать письмо