Positive Technologies запустила услугу по анализу защищенности приложений на мобильных платформах
Компания Positive Technologies объявила о запуске услуги по анализу защищенности критических приложений на мобильных платформах. Основная цель развития нового направления — комплексная оценка безопасности различных систем, клиентская часть которых все чаще используется на портативных устройствах.
Помимо анализа защищенности систем дистанционного банковского обслуживания, интернет-платежей, управления услугами мобильной связи, ERP-систем и информационных инфраструктур, Positive Technologies будет оказывать услуги по оценке уровня безопасности и поиску уязвимостей в мобильных приложениях для операционных систем Apple iOS, Google Android, Windows Phone и др. — в зависимости от потребностей заказчика, говорится в сообщении компании.
Анализ защищенности приложений на мобильных платформах, предложенный Positive Technologies, включает в себя всестороннее исследование информационной безопасности приложения — как клиентской, так и серверной его части. В процессе анализа осуществляется поиск программных уязвимостей в приложении и исследование логики его работы, что позволяет обнаруживать сложные проблемы, такие как возможность несанкционированного проведения транзакций.
Для каждой используемой мобильной платформы проводится самостоятельный комплекс работ, учитывающий специфику ее архитектуры и реализации, подчеркнули в компании.
При анализе защищенности серверной части системы Positive Technologies применяет методики и инструменты собственной разработки, включая систему анализа защищенности и соответствия стандартам MaxPatrol. В работе используются методологии международных организаций — Web Application Security Consortium (WASC), Open Web Application Security Project (OWASP) — и передовой опыт в области безопасности приложений.
Анализ защищенности мобильных приложений может проводиться экспертами компании как методом «серого ящика» (со стороны нарушителя, обладающего пользовательским доступом к приложению), так и методом «белого ящика», который подразумевает анализ исходного кода и архитектуры приложения.
В результате проведения работ клиент получает объективную и независимую оценку уровня защищенности приложения, которая может послужить основой для разработки программы мероприятий по повышению уровня ИБ приложения и снижению соответствующих рисков. При проведении анализа с использованием метода «белого ящика» дополнительным результатом работ могут стать «патчи» — специализированные исправления обнаруженных ошибок.
«Сегодня мы используем смартфоны и планшетные компьютеры для совершенно разных задач — от просмотра фильмов до платежей в банке и доступа к критическим корпоративным данным. Фактически мобильное устройство — это офис в кармане и отношение к его защите должно быть не менее серьезным, чем к защите офисных систем и приложений, — считает Борис Симис, директор по развитию компании Positive Technologies. — Однако наш опыт показывает, что при разработке мобильных версий платформ практически не учитываются те наработки, которые накоплены в области безопасности традиционных приложений и веб-систем. Парадоксально, но мобильная программа может содержать ошибки, уже устраненные в версии для настольных компьютеров».
«Мы регулярно проводим анализ защищенности различных систем ДБО. Сегодня этот процесс немыслим без тщательного изучения безопасности приложений для самых популярных мобильных устройств. То же самое можно сказать о телекоммуникационной, промышленной и многих других сферах, где терминалами для доступа к критической для бизнеса информации все чаще становятся мобильные устройства», — отметил Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies.
Помимо анализа защищенности систем дистанционного банковского обслуживания, интернет-платежей, управления услугами мобильной связи, ERP-систем и информационных инфраструктур, Positive Technologies будет оказывать услуги по оценке уровня безопасности и поиску уязвимостей в мобильных приложениях для операционных систем Apple iOS, Google Android, Windows Phone и др. — в зависимости от потребностей заказчика, говорится в сообщении компании.
Анализ защищенности приложений на мобильных платформах, предложенный Positive Technologies, включает в себя всестороннее исследование информационной безопасности приложения — как клиентской, так и серверной его части. В процессе анализа осуществляется поиск программных уязвимостей в приложении и исследование логики его работы, что позволяет обнаруживать сложные проблемы, такие как возможность несанкционированного проведения транзакций.
Для каждой используемой мобильной платформы проводится самостоятельный комплекс работ, учитывающий специфику ее архитектуры и реализации, подчеркнули в компании.
При анализе защищенности серверной части системы Positive Technologies применяет методики и инструменты собственной разработки, включая систему анализа защищенности и соответствия стандартам MaxPatrol. В работе используются методологии международных организаций — Web Application Security Consortium (WASC), Open Web Application Security Project (OWASP) — и передовой опыт в области безопасности приложений.
Анализ защищенности мобильных приложений может проводиться экспертами компании как методом «серого ящика» (со стороны нарушителя, обладающего пользовательским доступом к приложению), так и методом «белого ящика», который подразумевает анализ исходного кода и архитектуры приложения.
В результате проведения работ клиент получает объективную и независимую оценку уровня защищенности приложения, которая может послужить основой для разработки программы мероприятий по повышению уровня ИБ приложения и снижению соответствующих рисков. При проведении анализа с использованием метода «белого ящика» дополнительным результатом работ могут стать «патчи» — специализированные исправления обнаруженных ошибок.
«Сегодня мы используем смартфоны и планшетные компьютеры для совершенно разных задач — от просмотра фильмов до платежей в банке и доступа к критическим корпоративным данным. Фактически мобильное устройство — это офис в кармане и отношение к его защите должно быть не менее серьезным, чем к защите офисных систем и приложений, — считает Борис Симис, директор по развитию компании Positive Technologies. — Однако наш опыт показывает, что при разработке мобильных версий платформ практически не учитываются те наработки, которые накоплены в области безопасности традиционных приложений и веб-систем. Парадоксально, но мобильная программа может содержать ошибки, уже устраненные в версии для настольных компьютеров».
«Мы регулярно проводим анализ защищенности различных систем ДБО. Сегодня этот процесс немыслим без тщательного изучения безопасности приложений для самых популярных мобильных устройств. То же самое можно сказать о телекоммуникационной, промышленной и многих других сферах, где терминалами для доступа к критической для бизнеса информации все чаще становятся мобильные устройства», — отметил Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies.
Ещё новости по теме:
18:20