Компания Appercut Security (входит в ГК InfoWatch) — впервые официально представляет на российском рынке облачный сервис Appercut Custom Code Scanner (ACCS). Он позволяет пользователям почти любого бизнес-приложения самостоятельно и практически мгновенно проанализировать его исходный код и обнаружить уязвимости, нарушения корпоративных стандартов ИБ и требований регуляторов. При этом сервис способен выявлять бреши, которыми могут воспользоваться как внутренние, так и внешние злоумышленники.
Как отметил совладелец компании Appercut Security Рустем Харетдинов, появлению данного сервиса и продукта способствовали результаты опроса, который был проведен некоторе время назад. Из 1200 компаний, которые приняли в нем участие, абсолютно все вели разработку или доработку бизнес-приложений. При этом никаких инструментов контроля этого программного кода у конечного заказчика до недавнего времени просто не было. Хотя такие средства существуют у компаний, которые производят тиражное ПО, но данные средства используются исключительно для собственных нужд и не предлагают их на сторону.
Аудит кода также не является выходом из положения. Как правило, эта процедура занимает длительные сроки. Кроме того, она совершенно неэффективна в тех случаях, когда система часто обновляется. Следовательно, аудит кода любой бухгалтерской системы в России просто не даст результатов.
Вместе с тем, ошибки в коде — вещь практически неизбежная. Все точно также, как с написанием обычных текстов, когда даже грамотный человек может по недосмотру или от усталости пропустить описку, речевую ошибку или несогласование слов в предложении. Ошибки же в бизнес-приложениях чреваты прямыми убытками. Тому есть множество примеров. Известен случай, когда дорогостоящие товары предлагались в интернет-магазине за ничтожные деньги, и ушлые покуатели за то время, пока спозватились, успели приобрести их. Причем заставить вернуть этот товар, вообще говоря, невозможно.
Бывают и такие случаи, когда те или иные бреши допускаются намеренно, что используется для хищений денег или товарно-материальных ценностей. Также, как отметил Рустем Хайретдинов, большое распространение получил шантаж со стороны разработчиков.
Однако все же преобладают такие, например, уязвимости, когда для для входа в систему используют технологические учетные записи, минуя средства авторизации. Их появление обычно связано с известным принципом «хотели как лучше, а получилось, как всегда», с тем, чтобы оперативно устранять те или иные проблемы. Тем не менее, это не снижает опасностей, связанных с несанкционированных проникновением в ту или иную систему.
Сервис поддерживает более 20 языков программирования, включая основные языки бизнес-приложений. Среди них: ABAP/4 платформы SAP R/3, PeopleCode систем Oracle CRM/HRMS, VBScript компании Microsoft, LotusScript платформы IBM Lotus Notes, а также внутренний язык «1С: Предприятие». Благодаря архитектуре сканнера (наличие встроенного нормализатора, переводящего анализируемую программу с исходного языка в унифицированное внутреннее представление) добавление новых языков является относительно простой задачей и происходит ежеквартально.
Не менее важно, что сканнер ACCS выявляет уязвимости, сверяя анализируемый код с шаблонами, хранящимися в базе данных. Компания Appercut Security располагает одной из самых полных в индустрии коллекций уязвимостей и сотрудничает с ведущими мировыми лабораториями, проводящими аудит ПО, что позволяет максимально оперативно добавлять в этот список описания новых угроз. Кроме того, пользователи коммерческой версии сканнера могут вносить в базу данных собственные шаблоны интересующих их фрагментов исходного кода, тонко настраивая ACCS и адаптируя его к корпоративным стандартам ИБ и требованиям регуляторов. А для крупных корпоративных заказчиков и организаций со спецтребованиями к ИБ разработана специальная версия сканнера, которую можно установить в частное облако, находящееся внутри периметра безопасности.
В России и странах ближнего зарубежья сервисы Appercut Security будут продвигаться под маркой InfoWatch Appercut Security — в рамках партнерской программы с ведущими системными интеграторами. Ее запуск намечен на октябрь этого года.