PT Application Inspector — инструмент для выявления уязвимостей в приложениях с использованием статического (SAST), динамического (DAST) и интерактивного (IAST) методов анализа.
Positive Technologies Application Inspector — инструмент для выявления уязвимостей в приложениях с использованием статического (SAST), динамического (DAST) и интерактивного (IAST) методов анализа, комбинация которых позволяет добиться синергетического эффекта. В рамках статического анализа помимо данных о типе уязвимости и её координат в коде, Application Inspector генерирует эксплойты — безопасные и эффективные тестовые запросы, которые помогают подтвердить или опровергнуть её. А с помощью модуля динамического анализа можно провести автоматическую проверку на основе этих запросов, тем самым сократив трудозатраты экспертов на ручную верификацию.
Возможности
Защита приложений любого масштаба.
Обнаруживание всех основных типов уязвимостей веб-приложений (SQLi, XSS, XXE и т. п.). Вы можете использовать его для защиты любых приложений — от лендингов до корпоративных порталов, облачных сервисов и систем электронного правительства.
Автоматическая проверка уязвимостей.
PT Application Inspector генерирует эксплойты — максимально безопасные тестовые запросы для проверки найденных уязвимостей. Эксплойты помогают подтвердить наличие уязвимости, поставить задачу для исправления кода и проконтролировать результат.
Сокращение трудозатрат.
За счет комбинации статических, динамических и интерактивных методов проверки кода (SAST и DAST), PT Application Inspector находит только реальные уязвимости. Это помогает разработчикам сконцентрироваться на важных проблемах и снижает затраты экспертов на ручную проверку результатов.
Минимизация рисков и возможного ущерба.
Выявление и устранение уязвимостей на всех этапах разработки сокращает вероятность ошибок в готовом ПО и стоимость их исправления. Это снижает риски и величину возможного ущерба, повышает лояльность пользователей.
Поддержка SSDL.
Интеграция версии PT Application Inspector Enterprise Edition в цикл разработки позволяет сократить расходы и повысить эффективность безопасной разработки и тестирования.
Банк России, ФСТЭК и PCI Council требуют выявления уязвимостей согласно своим стандартам. PT AI помогает выполнять РС БР ИББС-2.6-2014, приказы ФСТЭК и требования PA DSS и PCI DSS, что особенно актуально при сертификации.
Преимущества
Простота использования. PT Application Inspector не требует погружения в исходныйкод и процесс его разработки. Он позволяет получать понятные результаты и визуализацию уязвимостей без дополнительных настроек.
Широкий охват и глубина анализа. PT Application Inspector не требует погружения в исходныйкод и процесс его разработки. Он позволяет получать понятные результаты и визуализацию уязвимостей без дополнительных настроек.
Непрерывная защита. Результаты анализа PT Application Inspector могут быть загружены в межсетевой экран уровня веб-приложений PT Application Firewall для блокировки обнаруженных уязвимостей. Механизм называется virtual patching и сокращает риски, пока идет исправление кода.
Вопрос-ответ
Из каких модулей состоит PT Application Inspector?
PT Application Inspector состоит из трёх отдельно устанавливаемых модулей:
PT Application Inspector Server — предоставляет другим модулям и веб-интерфейсу доступ к данным в PT Application Inspector 4.0, управляет этими данными.
PT Application Inspector Agent — проверяет исходный код на наличие уязвимостей и передаёт результаты сканирования модулю PT Application Inspector Enterprise Server.
PT Application Inspector Shell Agent — выполняет функции настройки проектов, добавления задач анализа в очередь и получения отчётов по завершении сканирования.
Принцип работы PT Application Inspector?
В Application Inspector реализован подход, позволяющий совместить преимущества SAST, DAST и IAST и при этом снизить недостатки этих методов. Основным способом анализа безопасности исходных кодов в Application Inspector является SAST, что позволяет избежать развертывания приложения: для анализа достаточно файлов с исходными кодами. Дополнительным механизмом к простому сигнатурному анализу является компиляция частей анализируемой программы и абстрактное выполнение ее скомпилированных частей и модулей в виртуальной среде. При этом проводится анализ потока управления и потока данных. Такой подход позволяет одновременно снизить как количество ложных срабатываний, так и число пропущенных уязвимостей.
Веб-приложения часто используют несколько языков. Например, серверная логика может быть представлена на языке PHP, код для выполнения браузером может использовать сценарии HTML, JavaScript, jQuery, а для обращения к СУБД − языки SQL92, T-SQL или PL/SQL. При анализе основного кода веб-приложения необходимо учитывать смежные языки. Для этого в Application Inspector используются островные грамматики, что позволяет оптимизировать ресурсы при построении дерева разбора для приложения на основном и второстепенных языках.
Какие задачи решает Application Inspector?
Отличительной особенностью Application Inspector является решение не только задачи по определению и демонстрации достижимости строки кода с уязвимостью, но и задачи по определению условий достижимости найденной уязвимости. Иными словами, PT AI генерирует HTTP-запрос, эксплуатирующий найденную уязвимость.
А это позволяет решить ряд задач:
• наглядная демонстрация наличия уязвимости в приложении;
• подготовка тестов для проверки наличия уязвимостей в развернутом приложении;
• экспорт правил для межсетевого экрана прикладного уровня (Web Application Firewall) для блокировки эксплуатации обнаруженных уязвимостей.
Из каких шагов состоит работа с PT Application Inspector?
В общем случае работа с PT AI Enterprise Edition состоит из следующих шагов:
Установка модулей системы. Системный администратор разворачивает модули PT AI Enterprise Edition.
Настройка системных параметров. Root-пользователь настраивает PT AI Enterprise Edition в веб-интерфейсе.
Конфигурация ролей. Root-пользователь в веб-интерфейсе назначает глобального администратора, который, в свою очередь, назначает пользователей с другими ролями.
Создание проекта. Проект — это именованная задача, содержащая параметры сканирования исходного кода приложения и результаты сканирования. Глобальный менеджер безопасности создает проект в веб-интерфейсе.
Внедрение PT AI Enterprise Edition в CI-процесс. Системный администратор настраивает механизм запуска проверки кода на наличие уязвимостей на агенте сборки.
Настройка проекта. Возможны два варианта настройки проекта:
В конфигурационном файле. Проектный менеджер безопасности указывает параметры сканирования в конфигурационном файле.
В веб-интерфейсе. Проектный менеджер безопасности настраивает параметры сканирования.
Запуск сканирования проекта для проверки на наличие уязвимостей одним из способов:
в веб-интерфейсе;
с помощью агента AI.Shell из командной строки;
на агенте сборки.
Если проверка на наличие уязвимостей осуществляется на агенте сборки:
PT AI Enterprise Agent получает задачу на проверку кода от агента сборки (например, по коммиту разработчика).
PT AI Enterprise Agent проверяет код на наличие уязвимостей и возвращает результаты агенту сборки.
Результаты проверки отображаются в файле журнала в интерфейсе агента сборки.
В зависимости от настроенных параметров реагирования агента сборки на события, получаемые из файла журнала, сборка проекта останавливается, если политика безопасности в проекте нарушена, или продолжается, если политика безопасности в проекте соблюдена.
Работа с обнаруженными уязвимостями в веб-интерфейсе. Используя представленный набор инструментов, проектный менеджер безопасности проверяет и анализирует найденные уязвимости.
Исправление уязвимостей. Разработчик программного продукта исправляет уязвимости в своей среде разработки и отправляет код на повторное сканирование (делает коммит). Цикл сканирований продолжается до тех пор, пока не будет соблюдена политика безопасности в проекте.
Подготовка отчета по результатам сканирования. Проектный менеджер безопасности или аудитор в веб-интерфейсе формируют отчет о количестве и типах найденных уязвимостей и оценивают качество реализации политики безопасности в проекте.
Из каких этапов состоит процесс развертывания PT Application Inspector?
Процесс развертывания PT AI Enterprise Edition состоит из нескольких этапов:
Установка PT AI Enterprise Server на отдельном компьютере с соответствующими характеристиками.
Настройка системных параметров в веб-интерфейсе, в том числе создание токена доступа для подключения PT AI Enterprise Agent к PT AI Enterprise Server.
Установка PT AI Enterprise Agent и его подключение к PT AI Enterprise Server по токену доступа. Рекомендуется разворачивать PT AI Enterprise Agent на отдельном компьютере, чтобы ресурсоемкий анализ кода, выполняемый PT AI Enterprise Agent, не влиял на производительность PT AI Enterprise Server. PT AI Enterprise Server поддерживает работу нескольких модулей PT AI Enterprise Agent. Увеличение числа установленных модулей PT AI Enterprise Agent позволяет одновременно сканировать несколько проектов.
Установка AI.Shell, если предусмотрена интеграция с CI-системами.
Настройка конфигурационного файла и файла с правилом срабатывания политики безопасности для запуска сканирования с помощью AI.Shell.
Задайте вопрос специалисту!
Менеджер
Ольга Кукунина
Мы заботимся о наших клиентах и принимаем обращения в любой удобной для Вас форме.
Простота использования. 
Широкий охват и глубина анализа.
Непрерывная защита.