Разработчики: | Positive Technologies (Позитив Текнолоджиз) |
Дата премьеры системы: | 2022/08/23 |
Дата последнего релиза: | 2024/02/05 |
Технологии: | TMS - Test Management System |
Содержание |
Основная статья: Уязвимости в ПО и оборудовании
Облачный сервис PT BlackBox Scanner
Основная статья: PT BlackBox Scanner
2024
Интеграция с Dev Platform
VK Tech интегрировал Dev Platform с инструментами безопасной разработки Positive Technologies и ГК Swordfish Security. Платформа интегрирована в том числе и с PT BlackBox. Об этом VK Tech сообщил 26 июня 2024 года. Подробнее здесь.
Интеграция с платформой «Сфера»
Система анализа защищенности кода приложений PT Application Inspector и сканер для динамического тестирования веб-ресурсов PT BlackBox интегрированы с Платформой Сфера. Об этом Positive Technologies (Позитив Текнолоджиз) сообщили 18 июня 2024 года. Подробнее здесь.
PT BlackBox версии 2.7 с увеличенной скоростью анализа веб-приложений под управлением «1С-Битрикс»
Positive Technologies выпустила обновление PT BlackBox — динамического анализатора приложений, сканера безопасности, работающего методом чёрного ящика. Начиная с версии 2.7 продукт можно установить в изолированной сети компании. Также среди важных улучшений – на 90% повышена скорость сканирования сайтов на «1С-Битрикс». Об этом Positive Technologies сообщили 5 февраля 2024 года.
PT BlackBox теперь можно установить автономно в изолированном сегменте сети компании без использования локального зеркала обновлений. Это важно в случае, когда сканер анализирует приложение в среде, которая развернута внутри компании, без доступа в Интернет. Именно такая практика распространена в крупных организациях с высокими требованиями к безопасности.Бизнес уходит в облако: стратегии и подходы
В версии PT BlackBox 2.7 повышена эффективность работы продукта по нескольким направлениям:
- На 90% выросла скорость анализа веб-приложений под управлением «1С-Битрикс», системы, которую используют большинство потенциальных пользователей продуктов Positive Technologies. Это стало возможным за счет создания специального профиля сканирования «Битрикс», в котором подобран максимально релевантный для этой CMS набор проверок.
- В три раза повышена точность определения скорости сканирования для типовых целей.
- Улучшено обнаружение вредоносного кода благодаря оптимизации формирования URL-адресов и HTTP-запросов, что позволяет точнее выявлять уязвимости на ранних этапах разработки веб-ресурса.
Кроме того, обновленный PT BlackBox стал удобнее для работы администратора. Добавлена функция восстановления предыдущей версии базы знаний версионных уязвимостей – это важно, если необходимо сканировать приложение с набором накопленных данных. На страницу с результатами сканирования добавлен фильтр, с помощью которого можно классифицировать найденные уязвимости по уровню опасности: они маркируются «высокий», «средний» или «низкий» в соответствии с собственной классификацией Positive Technologies.
После ухода зарубежных вендоров решений класса DAST, компании в России по-прежнему могут использовать продукты со свободной лицензией. Однако доработка и непрерывное обслуживание open source решений требует дополнительных ресурсов и навыков, поэтому зачастую выгоднее приобрести готовое решение, — прокомментировал Сергей Синяков, руководитель продукта PT BlackBox. |
2022
Включение в единый реестр российского ПО
Динамический анализатор приложений PT BlackBox внесен в единый реестр отечественного ПО. В соответствии с приказом Минкомсвязи РФ с 5 декабря 2022 года PT BlackBox включен в класс средств обнаружения угроз и расследования инцидентов. Об этом компания Positive Technologies сообщила 21 декабря 2022 года.
Уязвимости в веб-приложениях несут реальную угрозу для бизнеса. Эксплуатация уязвимостей может привести к проникновению злоумышленников во внутреннюю инфраструктуру, краже конфиденциальных данных, атакам на пользователей сервисов. По нашим данным, в среднем на один сайт приходится 15 уязвимостей, две из которых высокой степени риска, — сказал Иван Соломатин, руководитель развития бизнеса защиты приложений компании Positive Technologies. — Включение PT BlackBox в реестр позволяет нашим клиентам снизить расходы на внедрение. Согласно документу, компании, использующие отечественные решения, в том числе в области ИБ, освобождаются от уплаты налога на добавленную стоимость. |
С момента выхода PT BlackBox на российский рынок в августе 2022 года он получил два обновления. Начиная с версии 2.4 продукт генерирует запросы для подтверждения версионных уязвимостей, которые обнаруживаются с помощью сигнатурного анализа. Динамический анализатор определяет версию сервера или программы, составляет список известных уязвимостей, которым они могут быть подвержены, и проверяет, закрыты ли эти уязвимости в сканируемом приложении.
Помимо этого, PT BlackBox теперь анализирует защищенность веб-сайтов с последовательной авторизацией. Прохождение цепочек авторизаций позволяет сканеру проверить полностью всё приложение на наличие уязвимостей, в том числе и закрытые разделы, к которым, как правило, имеют доступ только администраторы. Многоступенчатая авторизация чаще всего используется в случае, если необходимо продемонстрировать веб-сайт, который еще разрабатывается, неограниченному кругу лиц.
Пользователи обновленной версии PT BlackBox могут переиспользовать профиль авторизации для сканирования. Это наиболее актуально в конвейере разработки, когда один и тот же набор тестовых данных используется на разных этапах проверки приложения.
Итого с версией 2.4 пользователи получат возможность:
- переиспользования авторизации;
- добавления последовательности авторизаций;
- проверки части версионных уязвимостей;
- улучшенного поиска SQL-инъекций;
- использования предустановленных профилей сканирования.
Анонс on-premise-сканера для динамического анализа приложений
23 августа 2022 года компания Positive Technologies сообщила о выходе on-premise-сканера DAST, ориентированного на поиск уязвимостей методом черного ящика.
По информации компании, ключевые возможности PT BlackBox — встраивание в процессы непрерывной интеграции и непрерывной доставки, эвристический и сигнатурный поиск уязвимостей, а также простота использования. Установить продукт можно за 30 минут, за час внедрить в контур, а уже через 7 часов с начала сканирования начать работу по устранению уязвимостей.
По результатам исследования Positive Technologies, на август 2022 года в среднем на один сайт приходится 15 уязвимостей, две из которых — высокой степени риска. Уязвимости в приложениях (а именно ошибки в коде или проблемы рабочего окружения уже развернутой программы) грозят бизнесу серьезными последствиями: проникновением злоумышленников во внутреннюю инфраструктуру, кражей конфиденциальных данных или атаками на пользователей сервисов. С учетом непростой ситуации на российском рынке, когда многие зарубежные ИБ-вендоры ушли, отечественные компании лишились возможности обеспечивать защиту приложений с помощью внедренных ранее иностранных DAST-продуктов. Решение в данной ситуации — продукт от российского ИБ-вендора.
Сканер безопасности PT BlackBox обнаруживает уязвимости и ошибки окружения приложения во время его выполнения (из списка OWASP Top 10, а также самые популярные и трендовые уязвимости), например такие как RCE, SQLi, file inclusion, OS commanding. При этом PT BlackBox выполняет сканирование в два раза быстрее доступных на август 2022 года на российском рынке DAST-решений, которые в основной массе являются open source.
Тренд на использование ПО с открытым кодом в динамическом тестировании сформировался весной 2022 года, когда зарубежные поставщики DAST ушли с российского рынка. Однако помимо возможностей, которые открывает использование ПО с открытым кодом, обнажились и обязательства, возлагаемые на компании. К ним относятся доработка ПО под задачи продукта, наличие команды узкой специализации, обеспечение ИБ конкретных библиотек и принятие рисков, связанных с возросшим количеством уязвимостей в открытом коде. Так, согласно аналитике Swordfish Security, на август 2022 года в России для создания программных продуктов используется не менее 30-40% компонент из репозиториев, которые содержат опасные уязвимости. Поэтому уровень развития ПО с открытым кодом стимулирует компании смещать фокус на российские продукты, основанные на экспертизе вендоров ИБ.
Для удобства работы с PT BlackBox, а также для надежности развертывания ПО предусмотрено внедрение сканера в процессы непрерывной интеграции (сontinuous integration, CI) и непрерывной доставки (сontinuous delivery, CD): запуск сканирования возможен параллельно с приемочным тестированием, а также после тестирования и установки приложения. Кроме того, PT BlackBox можно применять для ручного сканирования приложений в интернете.
Преимущество использования динамического анализатора Positive Technologies разработчиками, тестировщиками, специалистами по ИБ и DevOps (development & operations) состоит в том, что продукт выполняет роль дополнительного проверяющего: за счет использования метода черного ящика он не только обнаруживает проблемы конфигурации в инфраструктуре, но и определяет, какие уязвимые места, например, выявленные при статическом анализе, действительно могут эксплуатироваться злоумышленниками в атаках. Это позволяет устранять уязвимости на ранних этапах, а также обнаруживать ошибки и уязвимости, которые не получилось найти другими методами.
По результатам наших тестов, DAST-решения лучше выявляют уязвимости, связанные с недостатками конфигурации защитных механизмов, ошибками идентификации и аутентификации, а также с устаревшими версиями используемого ПО (все угрозы входят в OWASP Top 10). Уязвимости этих классов обнаруживаются за счет работы сканера с уже развернутым приложением. Многие из этих уязвимостей имеют среднюю или высокую степень риска из-за возможности несанкционированного доступа к приложению или личному кабинету пользователя, а значит, требуют незамедлительного устранения. поведал Олег Халаджиев, руководитель группы обеспечения качества PT BlackBox |
PT BlackBox позволит организациям любого масштаба, в том числе сегмента large enterprise, оптимизировать уровень защищенности приложений и эффективнее выстроить процесс безопасной разработки.
PT BlackBox построен на технологии динамического анализа приложений и содержит экспертизу специалистов исследовательского центра по анализу защищенности PT SWARM и экспертного центра кибербезопасности (PT Expert Security Center). Технология динамического анализа применяется и в других продуктах Positive Technologies, что оптимизирует их эффективность. В частности, она используется в системе анализа защищенности PT Application Inspector для подтверждения уязвимостей, найденных в исходном коде. При этом PT Application Inspector сохраняет ядро DAST в составе, но с точки зрения построения DevSecOps-процессов в компании именно PT BlackBox в сочетании с PT Application Inspector способен выявлять уязвимости максимально эффективно. Кроме того, ядро DAST применяется в межсетевом экране уровня приложений PT Application Firewall для сканирования серверной части приложений и в системе контроля защищенности и соответствия стандартам MaxPatrol 8 для поиска веб-уязвимостей внутри периметра.
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Setl Group (Сэтл Групп) | Positive Technologies (Позитив Текнолоджиз) | 2024.05 |
Подрядчики-лидеры по количеству проектов
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Тест АйТи (Test IT) (2, 6)
Positive Technologies (Позитив Текнолоджиз) (4, 1)
Мобильные ТелеСистемы (МТС) (2, 1)
Performance Lab (Перфоманс Лаб) (2, 1)
1С-ИжТиСи (1, 1)
Другие (40, 2)
1С-ИжТиСи (1, 1)
Мобильные ТелеСистемы (МТС) (1, 1)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (0, 0)