Архив метки: ИСПРАН

TAdviser выпустили карту российского рынка информационной безопасности 2024

TAdviser выпустили карту российского рынка информационной безопасности 2024

TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".

В прошлом году там было 15 вендоров, в этом 21.

🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl

Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔

Средства Детектирования Уязвимостей Приложений (СДУП)

Средства Детектирования Уязвимостей Приложений (СДУП).

3. Средства Детектирования Уязвимостей Приложений (СДУП)

Позволяют детектировать неизвестные уязвимости в приложениях (например XSS в самописном веб-приложении или переполнение буфера с перезаписью адреса возврата в серверном/десктопном приложении). Приложения включают в себя веб-приложения, программные интерфейсы (API), десктопные и серверные приложения, приложения для мобильных устройств (Android, iOS, Аврора). Анализ, как правило, динамический без доступа к исходному коду.

Positive Technologies - PT BlackBox, PT Application Inspector. PT BlackBox - сканер безопасности приложений, работающий методом черного ящика. Использует динамический анализ приложений (комбинация сигнатурного и эвристического анализа). Доступ к базовой облачной версии PT BlackBox Scanner предоставляется бесплатно. Расширенная версия PT BlackBox является On-Premise продуктом. PT Application Inspector - инструмент для выявления уязвимостей и тестирования безопасности приложений. Позволяет проводить динамический анализ приложений (DAST) для проверки результатов статического анализа (SAST). Также поддерживает и другие технологии анализа: интерактивный (IAST), анализ сторонних компонентов (SCA).

Ростелеком Солар - Solar appScreener. Комплексное решение для контроля безопасности ПО c применением динамического (DAST) и статического (SAST) анализа кода. Решение обладает широкими возможностями по интеграции с репозиториями, системами отслеживания ошибок, интегрированными средами разработки и сервисами CI/CD.

НПО «Эшелон» - AK-VS 3. Инструмент для выявления дефектов кода и уязвимостей в ПО. Позволяет проводить динамический анализ (DAST) приложений. Также поддерживает и другие технологии анализа: статический (SAST), интерактивный (IAST), автоматизированный контроль полноты и избыточности ресурсов проекта. В состав AK-VS 3 входит модуль автоматизированного построения векторов атак.

ИСП РАН - ИСП Crusher, Natch, Блесна. ИСП РАН предлагает широкий набор технологий для анализа десктопных и серверных приложений, а также решений на основе этих технологий. ИСП Crusher - программный комплекс, комбинирующий несколько методов динамического анализа. Состоит из двух инструментов: ИСП Fuzzer для проведения фаззинг-тестирования и Sydr, отвечающий за автоматическую генерацию тестов для сложных программных систем. Фаззинг осуществляется с использованием исходных кодов в режиме "серого ящика". Решения Natch и Блесна базируются на технологии полносистемной эмуляции и интроспекции виртуальных машин. Natch - инструмент для определения поверхности атаки: исполняемых файлов, динамических библиотек, а также функций, отвечающих за обработку входных данных. Использует технологии анализа помеченных данных, интроспекции виртуальных машин и детерминированного воспроизведения. Блесна - специализированный инструмент, предназначенный для поиска утечек в памяти чувствительных данных, таких как пользовательские пароли и ключи шифрования.

Стингрей. Платформа для автоматизированного анализа защищённости мобильных приложений (iOS, Android). Позволяет проводить динамический анализ приложений (DAST). Также поддерживает и другие технологии анализа: статический (SAST), интерактивный (IAST), анализ программных интерфейсов (API ST). Позволяет интегрировать в DevOps поиск, анализ дефектов и проверку соответствия стандартам для каждой сборки приложения.

Картинка "Средства Детектирования Уязвимостей Приложений (СДУП)" в рамках проекта карты российских около-VM-ных вендоров

Картинка Средства Детектирования Уязвимостей Приложений (СДУП) в рамках проекта карты российских около-VM-ных вендоров

Картинка "Средства Детектирования Уязвимостей Приложений (СДУП)" в рамках проекта карты российских около-VM-ных вендоров.

Это у нас примерно соответствует DAST-ам.

Традиционный disclaimer: Характеристику не нужно воспринимать как описание всех особенностей и возможностей продукта! Тем более не стоит сравнивать продукты между собой только на основе этой характеристики. Характеристика должна показывать почему вендор попал в категорию.

Если какого-то вендора забыл в этой категории или есть вопросы по характеристикам, пишите в личку - обсудим, добавлю/поправлю. Ну или поясню почему получилось так, а не иначе. 🙂

Предыдущие картинки
- СДУИ (Инфраструктуры), обновленная, добавил Cloud Advisor
- СДУСП (Сетевого Периметра), обновленная, добавил сервис от МТС RED

Идея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовываться

Идея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовыватьсяИдея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовыватьсяИдея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовыватьсяИдея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовываться

Идея о том, что поддержкой базового Linux дистрибутива должна заниматься российская НКО похоже начинает реализовываться. Посмотрел выступление директора ИСП РАН Арутюна Аветисяна.

1. Open Source сообщество американоцентрично. Это данность.
2. В некоторой степени компенсировать риски может анализ исходного кода с использованием инструментов ИСП РАН. "Безопасность и доверие не то место, где мы должны конкурировать".
3. Первый успешный проект это доверенное ядро Linux 5.10. Постоянно забираются патчи, в автоматическом режиме проводится анализ, выявленные ошибки/уязвимости исправляются, патчи ИСП РАН отдаются международному сообществу. "Получаем доверенное ядро, которое функционально соответствует тому, что находится в США, но находится под нашем контролем".
4. Компании, которые участвуют в проекте доверенного ядра Linux, войдут в новый "Консорциум доверенного ПО". ИСП РАН может стать апстримом для отечественных дистрибов не только по ядру, но и по критичному системному ПО.