PT Application Inspector (PT AI)

Продукт
Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата премьеры системы: 2014
Дата последнего релиза: 2023/09/11
Технологии: ИБ - Межсетевые экраны

Содержание

Основная статья: Межсетевой экран (Firewall)

2023: PT Application Inspector 4.5 с добавлением Web IDE

Positive Technologies представила 11 сентября 2023 года обновленную версию системы анализа защищенности кода приложений PT Application Inspector — 4.5. Ключевыми изменениями с момента запуска четвертой версии продукта стали интеграция со средами разработки, добавление Web IDE и сканирующего агента для ОС Linux, возможность переключения интерфейса на темную тему и обновленный редактор правил поиска по шаблонам.

По данным исследования «Центра стратегических разработок», рынок решений для безопасности приложений (application security) растет примерно на 20% в год, а по оценкам экспертов Positive Technologies, динамика его роста еще выше. Прежде всего, это связано с изменением киберклимата и ростом количества кибератак: число инцидентов в 2022 году увеличилось на 20,8% по сравнению с показателем 2021 года, в частности рост атак на веб-приложения достиг 56%. В связи с уходом западных игроков с отечественного рынка российские компании сфокусировали свои усилия на внутренней разработке и, как следствие, вырос их интерес к безопасным методам создания ПО. Чтобы существенно облегчить работу всех групп пользователей, которые внедряют процессы безопасной разработки (DevSecOps), включая разработчиков, специалистов по информационной безопасности и DevOps-инженеров, компания Positive Technologies выпустила обновленную версию своего продукта PT Application Inspector 4.5, значительно расширив его функционал. В данной версии PT Application Inspector появилась возможность интеграции cо средами разработки Visual Studio Code и IntelliJ IDEA.

«
В 2022 году мы выпустили бесплатные плагины, позволяющие сделать разработку программного обеспечения безопаснее. Теперь эти плагины обмениваются данными с PT Application Inspector — это дает возможность всем участникам сразу же в IDE видеть результаты работы всей команды по анализу найденных уязвимостей. Встроенные в плагины модули анализа обнаруживают уязвимости исходного кода, опасные сторонние библиотеки и ошибки конфигурационных файлов,
отметил Антон Володченко, руководитель продукта PT Application Inspector компании Positive Technologies.
»

Теперь код в PT Application Inspector 4.5 можно просматривать в Web IDE. Модуль не требует установки дополнительного программного обеспечения и при этом позволяет пользователям получить все особенности работы с кодом в IDE.Трендвотчинг рынка CRM. Аналитический отчет TAdviser 10.6 т

Также в PT Application Inspector появился сканирующий агент для ОС семейства Linux. Благодаря этому все компоненты продукта могут быть развернуты на компьютерах с ОС Linux. Это важно для государственных компаний, которые по требованию Указа Президента РФ от 30.03.2022 № 166 к 1 января 2025 года должны перейти на использование российских операционных систем.

В версии PT Application Inspector 4.5 появилась возможность подключить базу данных пользователей под управлением СУБД PostgreSQL для хранения параметров проектов и сканирований. Это актуально для крупных компаний, в которых уже есть готовая инфраструктура с базами данных PostgreSQL

Также в данной версии продукта была улучшена и работа с Docker-контейнерами. Теперь для их функционирования заданы ограничения ресурсов — алгоритм вычисления лимитов для сервисов базируется на основании общего объема занимаемой памяти с учетом весовых коэффициентов, что позволяет решить проблему неравномерного распределения ресурсов между сервисами и риска нехватки ресурсов для работы. Чтобы сделать обращения пользователей в службу поддержки Positive Technologies удобнее и проще, в версию продукта была добавлена утилита diagtool, позволяющая собирать данные о среде функционирования и сервисах PT Application Inspector в зашифрованный архив для последующей отправки в службу поддержки.

Еще одно обновление PT Application Inspector — возможность создания правил поиска уязвимостей по шаблонам. Собственные правила помогают расширять базу знаний, находить другие и релевантные для конкретного пользователя типы уязвимостей.  По результатам опроса ключевых клиентов Positive Technologies, более половины из них на регулярной основе пользуются темной темой IDE. Теперь такой вид оформления интерфейса стал доступен и в PT Application Inspector 4.5, также в продукте появилась панель информации сканирования, что сделает работу пользователей комфортнее. Версионность конфигурационных файлов и API упрощает интеграцию PT Application Inspector, сокращает издержки на внедрение, а также исключает риск длительного простоя в случае обновления формата взаимодействия продукта с внешними системами.

2022: PT Application Inspector 4.0 - доступность в веб-версии

7 апреля 2022 года компания Positive Technologies представила очередную версию системы анализа защищенности кода приложений - PT Application Inspector 4.0. В числе ключевых изменений - появление веб-версии продукта, работа в Docker-контейнерах и поддержка языка TypeScript.

Исследование Positive Technologies, посвященное развитию DevSecOps (Development Security Operations), показало, что более трети (36%) опрошенных специалистов российских организаций уже включили меры по обеспечению безопасности в цикл разработки ПО и наработали определенную практику. В то же время эксперты подчеркнули, что им не хватает информации о практических кейсах внедрений (35%), процессах (22%), инструментах (20%), формальных методиках и архитектуре DevSecOps (18%). Поэтому большинство изменений в PT Application Inspector 4.0 были направлены на то, чтобы сделать работу по анализу защищенности кода более понятной - как для специалистов по ИБ, так и для разработчиков.

Представленная версия PT Application Inspector, помимо уже имеющейся поддержки ОС Windows, включает работу с ОС Linux. По оценкам экспертов Positive Technologies, ОС семейства Linux предпочитают использовать для работы около 83% разработчиков в мире, а на российском рынке Astra Linux - официальный дистрибутив Debian - входит в число наиболее распространенных ОС в государственном секторе. Таким образом с продуктом теперь могут работать компании, использующие Linux, и организации, заинтересованные в оптимизации расходов на IT, так как:

  • системы на базе Linux имеют открытый исходный код, распространяются в основном бесплатно в виде готовых дистрибутивов и менее требовательны к ресурсам;
  • работа в Docker-контейнерах сокращает трудозатраты на настройку, поддержку и сопровождение PT Application Inspector 4.0 за счет автоматизации части этих операций;
  • в продукте не предусмотрены ограничения по количеству пользователей или проектов - сканер уязвимостей от Positive Technologies могут одновременно использовать участники распределенных команд.

В PT Application Inspector 4.0 доступ к результатам сканирования возможен в веб-версии, что позволяет всей команде работать с найденными уязвимостями, не разворачивая дополнительное ПО на рабочей станции.

Веб-интерфейс PT Application Inspector 4.0

PT Application Inspector сочетает ключевые методы анализа с технологией абстрактной интерпретации, что обеспечивает высокую точность результатов и минимальное число ложных срабатываний. Так, согласно бенчмарку международного сообщества Open Web Application Security Project (OWASP - открытый проект обеспечения безопасности веб-приложений) PT Application Inspector имеет средний балл анализа кода на уровне 85% - показывает 100% true positive и 14,7% - false positive; по этому показателю PT Application Inspector, по утверждению компании, опережает большинство представленных на рынке анализаторов кода. Продукт автоматически создает безвредные эксплойты, благодаря которым можно подтвердить уязвимость и доказать возможность ее эксплуатации в реальной атаке.

Результаты оценки качества анализа PT Application Inspector, сделанные на основе сканирования публичного кода OWASP Benchmark
«
«Незащищенные приложения представляют реальную опасность для бизнеса. Согласно исследованию Positive Technologies, в 2021 году в 100% приложений, проанализированных нашими экспертами, были выявлены уязвимости, которые давали возможность злоумышленникам проводить на клиентов атаки разного уровня сложности. PT Application Inspector 4.0 комбинирует четыре технологии анализа кода: SAST, DAST, IAST и SCA, и за счет этого обеспечивает высокое качество анализа, что подтверждено бенчмарком OWASP и кейсами за девять лет существования PT Application Inspector», -

рассказывает Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
»

В представленной версии продукта добавлена поддержка языка TypeScript - он входит в десятку достаточно известных языков программирования в мире и используется для создания как клиентской (frontend), так и серверной (backend) частей веб-приложений. TypeScript стал вторым, после JavaScript языком, который продукт поддерживает на основе JSA-модуля поиска уязвимостей (технология для статического анализа Just Static Analyzer). JSA-модуль универсален и гибок в плане производительности - его можно использовать для быстрого и тщательного анализа кода. В планах Positive Technologies перевести на этот модуль все поддерживаемые языки и перейти на плагины по IDE, которые позволяют анализировать безопасность приложения прямо в процессе написания кода.

2019: Отчет по анализу уязвимостей прикладного ПО

18 декабря 2019 года компания Positive Technologies сообщила, что в анализаторе защищенности приложений PT Application Inspector обновлен набор преднастроенных отчетов. Теперь по результатам работы анализатор в числе прочих выдает отчет, соответствующий требованиям Банка России по анализу уязвимостей прикладного ПО, использующегося для проведения финансовых операций. Этот отчет может являться доказательством проведенного анализа уязвимостей в соответствии с требованиями ОУД4 ГОСТ 15408-3-2014, принимаемым аудиторами и регулятором.

С 1 января 2020 года в силу вступают положения Банка России, согласно которым финансовые организации будут обязаны проводить анализ уязвимостей прикладного ПО, которое используется для проведения платежных и других финансовых операций. При этом, ПО должно соответствовать оценочному уровню доверия (ОУД) не ниже четвертого – требования к уровням доверия описаны в ГОСТ 15408-3.

В соответствии с данным стандартом разработчики программного обеспечения должны реализовывать в своих продуктах определенный набор функций безопасности, доказать их работоспособность и обеспечить невозможность отключения или обхода злоумышленниками. Соответственно, финансовые организации должны разрабатывать собственные приложения и проводить анализ уязвимостей в соответствии с требованиям ОУД4.

На практике это означает необходимость проведения сканирования исходного кода, которое позволит обнаружить уязвимости, и повторного сканирования для подтверждения их устранения. По итогам этой работы разработчик ПО (то есть финансовая организация) готовит отчет в произвольной форме. Это трудоемкий процесс, требующий значительного времени. Оптимизировать подготовку отчета на соответствие ОУД4 позволяет анализатор защищенности PT Application Inspector (PT AI).

«
PT AI позволяет автоматически проводить сканирование исходного кода финансового приложения, а затем повторно проверять уже измененные участки кода для экономии времени. Кроме того, он позволяет создавать эксплойты для проверки найденных уязвимостей, то есть в контексте требований ОУД4 разработчики могут подтвердить, что найденные уязвимости действительно можно использовать,
говорит руководитель направления развития бизнеса безопасности приложений Positive Technologies Антон Александров
»

Система автоматически находит уязвимые библиотеки, проводит динамический и статический анализ кода. В итоге PT AI может находить как известные, так и неизвестные уязвимости нулевого дня (0-day). По результатам работы анализатор выдает отчет в удобном формате, который соответствует требованиям Банка России. Для аудитора и регулятора именно этот отчет может являться доказательством проведенного анализа уязвимостей и соответствия требования ОУД4.

2018

PT Application Inspector получил сертификат ФСТЭК

20 сентября 2018 года компания Positive Technologies сообщила о том, что разработанный компанией анализатор исходного кода приложений PT Application Inspector успешно прошел испытания в системе сертификации ФСТЭК России. Сертификат соответствия № 4000 действителен до 3 сентября 2023 года.

Как отметили в Positive Technologies, сертификат подтверждает, что PT Application Inspector соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» по 4-му уровню контроля, а также заявленным техническим условиям.

Описание технологии

По информации на апрель 2018 года использование технологии абстрактной интерпретации позволяет PT AI отфильтровывать ложные срабатывания и автоматически подтверждать возможность эксплуатации обнаруженных уязвимостей. Эта же технология лежит в основе поведенческого анализа мобильных приложений для iOS и Android (для приложений, написанных на C# с использованием Xamarin и на Android Java), выполняемого PT AI.

PT AI обеспечивает высочайшую точность обнаружения уязвимостей за счет сочетания нескольких методов анализа наряду с разработками в области фильтрации и подтверждения уязвимостей. Решение позволяет выявлять недостатки в безопасности на разных стадиях разработки и поддерживает как веб-, так и мобильные приложения.

Отличие самообучающегося межсетевого экрана PT AF заключается в том, что он способен устранять угрозы без обновления ПО защищаемого приложения. Механизм виртуальных патчей блокирует атаки через известные уязвимости до того, как будет исправлен небезопасный код. Вместе с системой анализа исходного кода PT AI данная функция обеспечивает непрерывный процесс выявления и блокирования уязвимостей. При этом вместо применения классического сигнатурного метода PT AF анализирует сетевой трафик и системные журналы для создания актуальной модели функционирования приложений и на ее основе выявляет аномальное поведение системы. В сочетании с другими защитными механизмами это позволяет блокировать 80% атак нулевого дня «из коробки» без специальной настройки и адаптации под защищаемую прикладную систему.

Системы PT Application Firewall и PT Application Inspector эффективно взаимодействуют друг с другом и могут использоваться на оборудовании различных производителей. Например, межсетевой экран PT AF полностью совместим с платформой Cisco Unified Computing System Express.

При совместном использовании систем межсетевой экран PT AF может получать информацию о наличии уязвимостей в приложении непосредственно из системы анализа исходного кода и выявления уязвимостей PT AI, в которой реализован уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также использующий огромную базу знаний уязвимостей, накопленную экспертами Positive Technologies.

2016: PT Application Inspector 2.4

28 июня 2016 года компания Positive Technologies сообщила о выпуске версии анализатора защищенности исходного кода PT Application Inspector 2.4.

Модифицированная версия системы содержит более 60 изменений, нацеленных на повышение эффективности и легкости использования продукта. В PT Application Inspector 2.4 добавлена подсветка синтаксиса, улучшен вывод диагностической информации, проверка всех уязвимостей исходного кода в развернутом приложении выполняется одним нажатием.

«
В исходном коде могут быть обнаружены сотни уязвимостей. На их проверку в собранном приложении тратилось немало времени. Автоматическая валидация уязвимостей исходного кода и другие новые функции позволяют сократить трудозатраты на 20—30%.

Антон Володченко, руководитель группы обеспечения качества анализа приложений Positive Technologies
»

В составе PT Application Inspector версии 2.4 модернизирован мастер отчетов. Пользователь может создавать отчеты в форматах OWASP Top 10 и PCI DSS, отчеты, содержащие только автоматически подтвержденные уязвимости. Кроме того, новая версия позволяет генерировать свои типы отчетов с помощью XSLT. Развитие этой функциональности помогает при сертификации кода упростить выполнение требований регулирующих органов, в том числе РС БР ИББС 2.6, приказов ФСТЭК № 17 и 21, требований об отсутствии НДВ.

Продолжает развитие база знаний PT Application Inspector: реализована поддержка дополнительных типов уязвимостей, таких как Cookie Injection, ORM Injection, LINQ Injection, time-based инъекций для MSSQL, HTTP Request Splitting.

В этой версии улучшена совместимость с различными языками программирования и платформами. Увеличена глубина и скорость анализа веб-приложений на языке PHP — за счет полностью обновленного ядра поиска уязвимостей в PHP-коде; расширена поддержка библиотеки Hibernate для языка Java, что позволяет получить более точные данные об использующих ее уязвимостях веб-приложений; добавлена поддержка C# 6.

Для безопасной проверки веб-приложений продукт использует blackbox-сканер, который осуществляет динамический анализ веб-приложения методом черного ящика на тестовом стенде. Эффективность и удобство такого сканирования значительно выросли благодаря использованию произвольного набора заголовков и аутентификации по cookie. Кроме того, был оптимизирован поиск SQL-инъекций при blackbox-сканировании.

«
Незащищенные веб-приложения — огромная проблема для государственных институтов, крупного и малого бизнеса. Так, в 2015 году критически опасные уязвимости были обнаружены нашими исследователями в 71% веб-ресурсов. Расширяющемуся спектру угроз мы противопоставляем высокую эффективность системы PT Application Inspector 2.4, которая стала более доступной. Для работы с продуктом не требуется экспертная квалификация, а новые типы лицензий заинтересуют не только организации с большими объемами разработки ПО, но и компании, которые проводят анализ кода один-два раза в год или сканируют небольшое число приложений.

Олег Матыков, руководитель направления безопасности приложений Positive Technologies
»

2015

PT Application Inspector и PT Application Firewall - решения для обеспечения безопасности систем ДБО и АБС, а также корпоративных приложений и порталов электронного правительства. На февраль 2015 года продукты используются для защиты веб-приложений и предоставляемых онлайн-сервисов не только в России, но и в Индии, Италии, Корее. Такие компании, как «Мегафон» и Postel (подразделение государственной почтовой службы Италии), уже применяют продукты Application Security.

Как показывает практика, основной мишенью киберпреступников сегодня являются прикладные сервисы, ставшие неотъемлемой частью IT-систем крупного и среднего бизнеса. Все активнее используются веб-технологи: интернет-банкинг, мобильные сервисы для клиентов, портальные ERP-решения для взаимодействия с поставщиками, онлайновые сервисы операторов связи, удаленные терминалы АСУ ТП. Однако они не только повышают эффективность бизнес-процессов, но и дают новые возможности злоумышленникам.

Согласно исследованию Positive Technologies, в 2014 году свыше половины инцидентов ИБ в крупных российских компаниях были связаны с интернетом, причем большая их часть привела к серьезным проблемам, включая финансовые и репутационные потери. На ситуацию не влияет применение компаниями традиционных межсетевых экранов и систем предотвращения вторжений. Злоумышленники успешно обходят классические сигнатурные методы защиты, используя уязвимости нулевого дня. Исправление обнаруженных ошибок и уязвимостей в бизнес-приложениях и установка обновлений в системах ERP, АСУ ТП, ДБО может занимать месяцы, а иногда и более года, и все это время уязвимость остается незакрытой.


ПРОЕКТЫ (10) ИНТЕГРАТОРЫ (2) СМ. ТАКЖЕ (16)
ОТРАСЛИ (6)


Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  UserGate, Юзергейт (ранее Entensys) (2, 3)
  Другие (0, 0)