Сервисы

Kaspersky Application Security Assessment

Обнаружение всех потенциальных уязвимостей в ваших приложениях.

Обзор

Организация может разрабатывать корпоративные приложения самостоятельно или приобретать их у сторонних поставщиков, но в обоих случаях достаточно одной-единственной ошибки в программном коде, чтобы появилась уязвимость, делающая возможными атаки, которые приведут к значительным финансовым и репутационным потерям.

Скачать Обзор

Сервис «Лаборатории Касперского» по анализу защищенности приложений позволяет

Избежать финансовых, операционных и репутационных потерь

заблаговременно обнаруживая и устраняя уязвимости, посредством которых проводятся атаки на приложения

Обеспечить непрерывность бизнес-процессов и поддержку жизненного цикла безопасной разработки ПО

за счет обнаружения уязвимостей в приложениях, которые еще находятся на этапах разработки и тестирования, и не попали в пользовательскую среду

Обеспечить соответствие требованиям

в том числе требованиям государственных, отраслевых или внутренних корпоративных стандартов, например GDPR или PCI DSS

Как это устроено

Анализ защищенности приложений проводится экспертами «Лаборатории Касперского», которые обладают практическим опытом и глубокими знаниями о механизмах работы различных приложений, и могут оценить их функции и бизнес-логику. Для анализа они используют различные инструменты автоматизации, анализаторы и сценарии.

Приложения
- Официальные веб-сайты
- Новостные порталы
Тип злоумышленника
- Пользователь, у которого нет учетной записи;
- Пользователь, который ранее не знал о приложении
Подход к оценке
Анализ методом «черного ящика» выполняется без использования учетных данных пользователей с целью обнаружения уязвимостей, которыми могут воспользоваться злоумышленники, находящиеся вне тестируемой системы и не имеющие прав:
- - Проверка всех точек входа и входных параметров
- - Глубокий фаззинг и поведенческий анализ
- - Идентификация компонентов приложения (фреймворков, плагинов, библиотек и т. д.)
- - Выявление рисков утечки данных и потенциального мошенничества
- - Анализ инструментов и сценариев управления или отладки

Приложения
- Клиентские/корпоративные порталы;
- ERP/CRM;
- Система онлайн-банкинга
Тип злоумышленника
- Типичный пользователь с базовым набором прав;
- Пользователь, имеющий конкретную роль (например, администратор или партнер)
Подход к оценке
Анализ методом «серого ящика» позволяет обнаружить уязвимости, доступные авторизованным пользователям:
- - Анализ разграничений прав доступа, в том числе горизонтальных и вертикальных, и возможностей повышения уровня прав;
- - Анализ механизмов аутентификации, в том числе технологий единого входа, многофакторной аутентификации и управления сеансами

Приложения
- Решения собственной разработки;
- Решения от ненадежных поставщиков
Тип злоумышленника
- Разработчик с полным набором прав;
- Пользователь с глубокими знаниями о приложении
Подход к оценке
Анализ методом «белого ящика» позволяет использовать полный набор прав для оценки исходного кода и архитектуры:
- - Полное или частичное развертывание в экспериментальной среде
- - Анализ исходного кода, в том числе всех входных параметров, потенциально опасных функций и методов
- - Обнаружение операций с криптовалютой
- - Анализ безопасности данных при хранении и передаче