PT Application Inspector

Удобный инструмент для выявления уязвимостей и ошибок в приложениях, поддерживающий процесс безопасной разработки

Бесплатный пилот

Обзор решения

Ключевые возможности

Конкурентные преимущества

Материалы

Бесплатный пилот

Ландшафт угроз

100%

приложений содержат уязвимости

100+

В одном приложении в среднем свыше 100 уязвимостей

100%

финансовых приложений содержат уязвимости высокой степени риска

85%

приложений уязвимы для атак на пользователей

№ 1

Веб-атаки — инструмент взломов и утечек № 1

72%

вторжений за периметр осуществляются через веб-уязвимости

65%

вторжений приводят к полному контролю над данными

3,86

млн $ — средняя цена одной утечки данных

Обзор решения

PT Application Inspector выделяется среди конкурентов исключительной точностью результатов благодаря сочетанию ключевых методов анализа с уникальной технологией абстрактной интерпретации. PT AI позволяет специалистам по ИБ выявлять и подтверждать уязвимости и признаки НДВ, например закладок, оставленных в исходном коде разработчиками или хакерами, а разработчикам — ускорить исправление кода на ранних стадиях разработки.

Анализируйте код, а не ложные срабатывания

Больше всего времени у ваших специалистов уходит на работу с отчетом о найденных уязвимостях, поэтому важно, чтобы результаты анализа кода, окружения и работающего приложения были максимально точными и понятными. PT AI — единственный анализатор исходного кода на рынке, предоставляющий удобные инструменты для автоматического подтверждения уязвимостей, что существенно экономит трудозатраты и облегчает взаимодействие специалистов по ИБ с разработчиками.

Ключевые возможности

Подробное описание уязвимостей и условий их эксплуатации для безопасников и разработчиков.

Только PT AI умеет создавать безопасные запросы-эксплойты, позволяющие специалистам проверить возможность эксплуатации уязвимости.

PT AI не требует установки и настройки приложения или доступа к тестовой среде, что позволяет исправлять код на самых ранних стадиях разработки.

PT AI поддерживает современные методологии разработки и может быть встроен в процессы непрерывной интеграции и непрерывной поставки.

Результаты анализа PT AI автоматически выгружаются в межсетевой экран уровня веб-приложений PT Application Firewall для блокировки обнаруженных уязвимостей.

Полноценная поддержка процесса безопасной разработки (SDL). Интеграция с основными средами разработки, системами контроля версий и отслеживания ошибок.

Сплотите всю команду в борьбе с уязвимостями:
это эффективно!

Безопасность приложений возможна только при активном участии всех членов команды. PT AI — универсальное средство, позволяющее создать культуру безопасной разработки, «подружить» всех участников — QA, разработчиков, безопасников, DevOps-специалистов и руководителей — и вооружить их удобными инструментами, которые не будут отвлекать от прямых обязанностей и позволят эффективно общаться на одном языке.

Конкурентные преимущества

PT AI использует уникальную технологию статического анализа кода — абстрактную интерпретацию, позволяющую смоделировать потоки данных и управления в приложении, включая поведенческие свойства программы (ее семантику). Продукт автоматически создает безопасные эксплойты, благодаря которым можно подтвердить уязвимость и доказать возможность атаки, что значительно повышает точность результатов и позволяет сосредоточиться на устранении уязвимостей, представляющих реальный риск.

Безопасность важна, но так же важно, чтобы затраты на ее обеспечение не стремились к стоимости рисков. Ориентация PT AI на удобство использования экономит ваше время и уменьшает необходимость использования армии экспертов по безопасности. Точность обнаружения, автоматическая проверка уязвимостей, фильтрация и приоритизация, инкрементальное сканирование, интерактивная диаграмма потоков данных (DFD) для обнаруженной уязвимости и многое другое — значительно снижают трудозатраты на разбор результатов анализа.

PT AI не требует наличия специальных технических знаний и экспертизы в области безопасности и предоставляет оптимально спроектированный под каждую роль интерфейс с набором специальных инструментов. Программисты получают подробные рекомендациями по исправлению недостатков кода, специалисты по ИБ работают с понятными для них эксплойтами для подтверждения уязвимостей, DevOps-специалисты используют виртуальные патчи для обеспечения непрерывной защиты без вреда для бизнеса. Это позволяет всем членам команды продуктивно взаимодействовать и вносить свой вклад в улучшение безопасности.

PT AI может использоваться с самой первой строки кода, но также поддерживает непрерывность безопасности и бизнеса благодаря интеграции с межсетевым экраном уровня веб-приложений PT Application Firewall. Результаты анализа PT AI выгружаются в PT AF для блокировки атак на обнаруженные уязвимости. Механизм называется virtual patching и сокращает риски, пока идет исправление кода.

Громкие инциденты, связанные со взломами и утечками данных, привлекают все больше внимания к безопасности приложений, а разработчики сталкиваются с растущим списком местных и международных стандартов безопасности. PT AI не только обнаруживает риски безопасности приложений, но и проверяет наличие НДВ, помогая обеспечить соответствие ключевым положениям стандартов, таких как PCI DSS.

Уникальная комбинация методов сканирования (включая статический, динамический, интерактивный анализ) делает PT AI подходящим для всех видов приложений любого масштаба, независимо от того, к какой отрасли они относятся. PT AI уже используется для защиты множества приложений от сайтов-визиток до корпоративных порталов, интернет-магазинов и банковских систем, облачных сервисов и порталов электронного правительства.

Сопутствующие решения

PT Application Firewall Современный инструмент для защиты от веб-угроз и помощи в соответствии стандартам ИБ. В основе машинное обучение и анализ поведения пользователей для максимально точной и своевременной защиты.

PT Unified Application Security Комплекс продуктов и сервисов для безопасности приложений, позволяющий выявлять уязвимости и обеспечивать всестороннюю защиту от веб-атак.

PT BlackBox Scanner Бесплатный, простой и безопасный инструмент для поиска уязвимостей в сайтах. Без сложной регистрации и подтверждения владения сайтом. Результат — подробный отчет с рекомендациями по исправлениям.

Тестирование на проникновение Тестирование на проникновение за периметр организации, результат которого не просто список уязвимостей, а детальное описание всех возможных сценариев атак плюс экспертный анализ рисков.

Отзывы

Вячеслав Тодоров

начальник отдела информационной безопасности компании «Открытый код»

«В современном мире вопросы обеспечения безопасности информации стоят очень остро, особенно в случаях, когда онлайн-технологии сильно интегрированы в бизнес организаций. В этой связи анализ кода приложений, разрабатываемых для онлайн-сервисов, становится неотъемлемой частью грамотного подхода к построению качественных и безопасных программных продуктов. Выбор в пользу PT Application Inspector был сделан исходя из его функциональных возможностей, которые позволили эффективно решить задачу безопасной разработки программных продуктов компании».

Игорь Беляков

главный специалист по защите информации, управление по обеспечению информационной безопасности банка «Cанкт-Петербург»

«Ввиду специфики отрасли мы тщательно подходим к процессу обеспечения безопасности финансов и конфиденциальной информации наших клиентов, которые пользуются нашими приложениями в повседневной жизни. Для анализа защищенности приложений мы использовали PT Application Inspector, так как этот продукт имеет передовые механизмы, способные обеспечить высокую точность и полноту обнаружения уязвимостей. В результате работы с PT Application Inspector мы убедились в его надежности: количество ложных срабатываний было минимальным, а понятное представление результатов и подробные рекомендации по устранению уязвимостей помогли повысить уровень безопасности наших онлайн-сервисов. Рекомендуем PT Application Inspector всем, кто хочет иметь надежный и удобный инструмент для анализа защищенности приложений».

Леонид Щербаков

руководитель сектора информационной безопасности компании «Медиаскоп»

«Разработанные приложения, не прошедшие проверку с помощью статического анализатора кода, потенциально создают возможности для злоумышленника реализовать атаки, направленные на критически важные ресурсы. Устранение уязвимостей на этапе разработки существенно повышает уровень защиты приложений. Применение качественных анализаторов кода — хорошая и необходимая на сегодняшний день практика обеспечения безопасности информации, создающая дополнительный рубеж противодействия атакам злоумышленников».

Алексей Прохоров

директор центра заказных разработок компании RedSys

«Нам нужно было проверить защищенность пяти систем, предназначенных, среди прочего, для работы с персональными данными и денежными операциями. По итогам проверки в PT Application Inspector мы получили подробный отчет с описанием уязвимостей, информацией об уровне их опасности и способах устранения. Этот отчет и помощь экспертов Positive Technologies в интерпретации и анализе результатов сканирования позволили нам точно определить уровень защищенности ПО и принять меры для устранения обнаруженных рисков. Рекомендуем PT Application Inspector и надеемся на дальнейшее плодотворное сотрудничество с Positive Technologies».

Объединенная компания «Связной — Евросеть»

«Занимая лидирующие позиции в своем сегменте, „Связной“ продолжает развивать собственную платформу онлайн-продаж. Ввиду работы с финансовыми транзакциями и персональными данными пользователей вопросы информационной безопасности при разработке и использовании таких систем являются приоритетными. Чтобы исключить потенциальные риски для нашей компании и наших клиентов, нам важно обеспечивать высокий уровень безопасности веб-приложений. Для анализа их защищенности мы использовали PT Application Inspector, который зарекомендовал себя как профессиональное решение для обнаружения уязвимостей в вопросах обеспечения безопасности наших онлайн-систем».

Т. Т. Абдуллаев

директор государственного предприятия «Инфоком» (Киргизия)

«В условиях непрерывного роста сложности веб-угроз анализ кода веб-приложений становится неотъемлемой частью процессов, связанных с обеспечением безопасности критически важной информации. В ведении ГП „Инфоком“ находится ряд информационных ресурсов, оперирующих, среди прочего, персональными данными граждан. Применение PT Application Inspector в качестве инструмента анализа кода оказало незаменимую помощь в решении задачи повышения общего уровня безопасности веб-приложений».

Айдар Замалиев

руководитель направления информационной безопасности, Ak Bars
Digital Technologies

«Ак Барс Цифровые Технологии уделяет особое внимание информационной безопасности выпускаемых решений. Наши разработчики активно интересуются вопросами безопасной разработки с целью создания более качественного и надежного программного обеспечения. Мы привлекли к обучению сотрудников компании ведущих специалистов Positive Technologies, которые заслужили репутацию экспертов международного уровня в вопросах информационной безопасности. Уверены, что знания, полученные на курсах, будут с пользой применяться сотрудниками и повысят культуру безопасной разработки».

Анатолий Скородумов

начальник управления по обеспечению информационной безопасности банка «Санкт-Петербург»

Читать историю успеха

Служба информационной безопасности банка «Санкт-Петербург» ежеквартально проводит анализ исходного кода разрабатываемых веб-приложений систем ДБО с использованием PT Application Inspector:

«Мы предъявляем высокие требования к разработке ДБО — к качеству кода, скорости выявления и исправления уязвимостей, — так как для нас важно, чтобы все обновления ДБО были надежными и вовремя доходили до наших клиентов. Для проведения регулярного анализа защищенности мы обратились к экспертам Positive Technologies, которые имеют достоверный опыт в вопросах безопасности банковских систем».

Дмитрий Костиков

руководитель направления информационной безопасности НПФ Сбербанка

Читать историю успеха

НПФ Сбербанка начал использовать PT Application Inspector для анализа защищенности кода приложений и внедрил PT Application Firewall для защиты уже выпущенных сервисов:

«Благодаря комплексному решению Positive Technologies мы сохранили темпы вывода на рынок новых сервисов, выстроив эффективный процесс взаимодействия разработки со службой ИБ, и обеспечили надежную защиту как разрабатываемых, так и уже выпущенных приложений».

Илья Мальцев

руководитель отдела информационной безопасности торгового портала «Фабрикант»

Читать историю успеха

Непрерывная безопасность для непрерывной поставки: портал «Фабрикант» автоматизировал приемку кода с помощью PT Application Inspector:

«Интеграция PT Application Inspector и PT Application Firewall в production-окружение позволила нам минимизировать влияние процессов ИБ на скорость разработки новой функциональности и обеспечить защиту портала от современных киберугроз».

Константин Варов

управляющий директор компании «Диасофт»

Читать историю успеха

«Вопросам информационной безопасности должно уделяться основное внимание при разработке банковских информационных систем. Причем забота о безопасности этих решений начинается с самого раннего этапа их производства, уже с первых строк кода. И мы рады, что решения Positive Technologies помогают нам в борьбе за безопасность наших клиентов».

Валерий Маслов

начальник комплексного испытательного управления МОУ ИИФ

Читать историю успеха

Лаборатория сертификации МОУ ИИФ использует PT Application Inspector для выявления уязвимостей исходного кода при анализе НДВ:

«Наши специалисты искали отечественный инструмент для обнаружения уязвимостей в исходном коде, но с принципиально новыми технологиями, которые, в отличие от простого поиска по шаблонам, позволяют вычислять уязвимости, уникальные для сертифицируемого средства защиты. Именно таким инструментом оказался продукт компании Positive Technologies».