Группа компаний «Диасофт», один из мировых лидеров в разработке ключевого банковского ПО1, известна не только своей линейкой инновационных АБС-продуктов FLEXTERA и Diasoft FA# для финансовых организаций, но и собственной платформой для разработчиков Diasoft Framework. Изначально этот набор инструментов применялся только в банковском секторе, однако затем развился в расширяемую платформу, которую сегодня используют для разработки различных бизнес-приложений более 40 компаний-партнеров «Диасофт».
Работая в финансовом секторе, компании группы и их партнеры традиционно уделяют большое внимание безопасности на всех этапах жизненного цикла ПО:
?? Поскольку раннее выявление ошибок кода значительно удешевляет их исправление, «Диасофт» давно взял курс на реализацию политики безопасной разработки (Secure Software Development Lifecycle, SSDL). Однако помимо организационных мер необходимы средства автоматизации — в первую очередь, для анализа исходного кода.
?? Предоставление своей платформы партнерам для разработки кастомизированных решений означает, что им также необходимо предоставить инструменты безопасности. При этом нужно иметь возможность удостовериться, что партнеры используют эти инструменты корректно.
?? Внесение изменений в крупные системы управления финансовой деятельностью иногда требует несколько месяцев тестирования и адаптации. Длительный цикл внесения изменений зачастую приводит к тому, что клиенты используют устаревшие версии ПО, не содержащие обновления безопасности. Необходимы механизмы закрытия уязвимостей на клиентских приложениях до исправления кода.
Решения
Группа компаний «Диасофт» и компания Positive Technologies уже значительное время сотрудничают по вопросам повышения защищенности приложений. Данное сотрудничество началось с анализа текущего уровня защиты приложений «Диасофт» от различных угроз информационной безопасности.
На втором этапе стал применяться анализатор кодов PT Application Inspector. Низкий уровень ложных срабатываний, а также возможность генерации эксплойтов позволили эффективно выявлять и исправлять уязвимости на самом раннем этапе разработки. Кроме того, адаптация системы специально под платформу Diasoft Framework помогла выявить не только традиционные дефекты кода, но и специфичные для данной платформы логические ошибки и случаи некорректного использования платформы партнерами.
Для партнеров, которые разрабатывают собственные решения на основе Diasoft Framework, компания «Диасофт» совместно с Positive Technologies разрабатывает методический инструментарий по внедрению элементов безопасной разработки, а также рекомендует PT Application Inspector в качестве инструмента для контроля безопасности кода. Кроме того, данный анализатор стал использоваться и клиентами группы компаний «Диасофт» для проверки созданного их подрядчиками кода.
Следующий уровень мер безопасности связан с тем, что приложения «Диасофт» работают в сферах, где невозможно быстрое обновление ПО для исправления уязвимостей (системы управления бизнесом крупных финансовых структур, системы автоматизации массовых услуг и др.). Для защиты таких клиентских приложений рекомендуется использование межсетевого экрана PT Application Firewall, который адаптирован под платформу Diasoft Framework, и позволяет повысить уровень защиты благодаря пониманию бизнес-логики приложений. А механизм виртуального патчинга, интегрированный с анализатором кода PT Application Inspector, обеспечивает закрытие уязвимостей и блокирование атак ещё до исправления исходного кода.
Результаты
Сотрудничество группы компаний «Диасофт» и компании Positive Technologies позволило решить вопросы обеспечения безопасности приложений сразу на нескольких уровнях - разработка собственных продуктов, использование платформы Diasoft Framework партнёрами, защита приложений, развернутых у клиентов. При этом инструменты Positive Technologies не просто находят уязвимости, но и обеспечивают ежедневную защиту ПО в банках и других финансовых организациях.
Комментируя результаты сотрудничества, управляющий директор компании «Диасофт Платформа» Константин Варов особо подчеркнул, что благодаря совместной работе с Positive Technologies группа компаний «Диасофт» смогла предложить своим клиентам более высокий уровень защиты и более высокую скорость реакции на новые типы атак.
«Банки и другие организации финансового сектора постоянно испытывают на себе все более изощренные попытки найти уязвимости в их информационных системах, – отметил Варов. – Именно поэтому при разработке банковских информационных систем вопросам информационной безопасности должно быть уделено основное внимание. Причем забота о безопасности этих решений начинается с самого раннего этапа их производства, уже с первых строк кода. И мы рады, что решения Positive Technologies помогают нам в борьбе за безопасность наших клиентов».
«Известно, что цена исправления ошибки кода на стадии разработки в десятки раз меньше, чем исправление уже развёрнутой системы, - говорит Максим Филиппов, директор по развитию бизнеса Positive Technologies в России. - Наше сотрудничество с группой компаний «Диасофт» - хороший пример того, как внедрение технологий безопасности приложений непосредственно у разработчика даёт заметные преимущества не только ему, но и его партнерам и клиентам».
.png)