«Фабрикант» автоматизировал приемку кода c помощью PT Application Inspector

Электронная торговая площадка «Фабрикант» создала систему защиты своих приложений на базе технологий Positive Technologies ― PT Application Inspector и PT Application Firewall. Внедрение анализатора исходного кода PT Application Inspector в процесс непрерывной интеграции (Continuous Integration, CI) позволило выстроить регулярный процесс приемки кода и безопасной разработки, а связка анализатора с межсетевым экраном уровня веб-приложений — обеспечить защиту от эксплуатации обнаруженных уязвимостей на время их исправления. На торговой площадке производят электронные закупки крупнейшие российские и зарубежные компании. У «Фабриканта» собственная команда разработчиков, в задачи которой входит улучшение сервиса и добавление новой функциональности. Специалисты по информационной безопасности регулярно проводили ручной анализ защищенности веб-приложения. Однако при таком подходе результаты быстро теряли актуальность из-за регулярных обновлений портала. В связи с этим появилась необходимость максимально автоматизировать проверку кода и внедрить ее в процесс разработки ПО. «Доступность и безопасность площадки, которую ежедневно посещают тысячи людей, является для нас приоритетом. Злоумышленники постоянно совершенствуют свои методы, поэтому мы искали такие инструменты, которые не только помогут нам оперативно анализировать исходный код приложения, но и обеспечат защиту от атак на время исправления ошибок, — сказал Илья Мальцев, руководитель отдела информационной безопасности торгового портала «Фабрикант». — Интеграция PT Application Inspector и PT Application Firewall в production-окружение позволила нам минимизировать влияние процессов ИБ на скорость разработки новой функциональности и обеспечить защиту портала от современных киберугроз». PT Application Inspector сочетает методы статического (SAST), динамического (DAST) и интерактивного (IAST) анализа, что значительно снижает количество ложных срабатываний. Это дает возможность специалистам по безопасности и команде разработки работать только с актуальными угрозами. Для проверки найденных уязвимостей PT Application Inspector формирует тестовые запросы, которые помогают подтвердить возможность эксплуатации этих уязвимостей злоумышленником, а также определить условия выполнения атаки. Площадка «Фабрикант» построена на базе микросервисной архитектуры, состоящей из более чем 100 независимых внутренних сервисов. Учитывая столь большое число регулярно обновляемых сервисов, для автоматизации процесса тестирования исходного кода PT Application Inspector был внедрен в сам процесс сборки приложений путем объединения с системой непрерывной интеграции. Это позволило максимально упростить поиск уязвимостей и сократить время на их верификацию, исправление или патчинг, что в конечном итоге ускорило процесс разработки и развертывания приложений. Кроме того, интеграция PT Application Inspector с межсетевым экраном уровня веб-приложений PT Application Firewall обеспечивает защиту приложений на то время, пока разработчики устраняют уязвимости в коде. «Электронные торговые площадки привлекают не только участников торгов, но и киберпреступников — наибольшее распространение получили атаки с использованием уязвимостей веб-приложений. Как показывают наши ежегодные исследования, практически все приложения содержат уязвимости разной степени критичности. По данным за 2016 год, в 94% случаев они позволяли атаковать пользователей приложений, в 20% случаев — получить доступ к базам данных. При успешной атаке злоумышленники могут получить полный контроль над приложением и его исходным кодом, а также доступ к персональным данным и другой конфиденциальной информации, — отметил Александр Прошкин, ведущий менеджер по работе с ключевыми клиентами компании Positive Technologies. — Связка решений PT Application Inspector и PT Application Firewall помогла электронной торговой площадке "Фабрикант", не нарушая процессов разработки, соответствовать требованиям по информационной безопасности, быть устойчивой к кибератакам и гарантировать сохранность данных». Ссылка на источник