В вопросе обеспечения ИБ банка статус программистов всегда вызывает массу споров. Авторы кода различных систем банка – а сегодня ни один банк не обходится без собственных приложений или модификации лицензированных – являются одновременно и архитекторами систем обеспечения ИБ, и наиболее «глубоко погружёнными» инсайдерами.
Желание контролировать программистов упирается в их многочисленность и огромный объём генерируемого ими кода. Ведь в каждом российском банке работает от двадцати до полутора тысяч программистов – больше, чем в крупнейших российских разработчиках ПО. Руководство банков и сотрудники служб безопасности зачастую вынуждены применять в отношении «кодеров» принцип: «Непонятно как работают, контролю не поддаются».
Это приводит к угрозе эксплуатации «недокументированных возможностей» кода – шантажу заказчика программистом, либо применению этих возможностей для хищения денег со счетов. Да и вполне «невинные» ошибки, проистекающие из халатности программиста, могут вылиться в невосполнимые убытки, лишь только они задействуют чувствительные параметры системы – например, зарплаты сотрудников или стоимость услуг.
В то же время, полную гарантию защищённости предприятия от угроз не способен дать ни один полный аудит информационных систем, вне зависимости от стоимости и глубины анализа. Ведь уже на следующий день после аудита очередные обновления, «заплатки» и надстройки, которыми программисты постоянно снабжают системы, станут источниками новых угроз.
Решением этой извечной проблемы может стать только постоянный анализ «на лету» кода, привносимого разработчиками. Об этом рассказал журналистам 9 октября 2012 г. руководитель разработчика Appercut Security Рустэм Хайретдинов.
Для обнаружения случаев «некорректного программирования», чреватых созданием угроз ИБ предприятия, можно использовать фильтр, через который любой код будет проходить перед имплементацией. Все обнаруженные на этом участке уязвимости могут быть выданы в форме отчёта сотрудникам службы безопасности банка, а «предупреждён – значит вооружён».
По словам Рустэма Хайретдинова, таким потенциалом обладает облачный сервис Appercut Custom Code Scanner. Облачная и коробочная версия системы позволяют обнаружить большинство типичных случаев некорректного программирования, основываясь на обновляемых шаблонах угроз («сигнатурах»). При этом программа «понимает» два десятка языков программирования, и оперирует лексемами в самом «теле» кода, благодаря чему способна выявить модификации типичных нарушений, в том числе перечисленных в стандартах PA DSS и PCI DSS.
Существующие аналогичные решения применяются исключительно в закрытом режиме разработчиками ИБ-систем, и недоступны заказчикам. Заказчики же остро нуждаются в дополнительном инструменте проверки на уязвимости кода, полученного от разработчиков. Поэтому, если пока рынок подобных решений пассивен, считает Рустэм Хайретдинов, в ближайшем будущем его объём быстро увеличится, и уже в следующем году сможет превысить цифру в $10 млн.
- Стоимость медиауслуг (открыть PDF) -
.png)