Приложения для смартфонов и планшетов: проверено Positive Technologies Компания Positive Technologies объявляет о запуске услуги по анализу защищенности критических приложений на мобильных платформах. Основная цель развития нового направления — эффективная и комплексная оценка безопасности различных систем, клиентская часть которых все чаще используется на портативных устройствах. Помимо анализа защищенности систем дистанционного банковского обслуживания, интернет-платежей, управления услугами мобильной связи, ERP-систем и информационных инфраструктур, Positive Technologies будет оказывать услуги по оценке уровня безопасности и поиску уязвимостей в мобильных приложениях для операционных систем Apple iOS, Google Android, Windows Phone и др. — в зависимости от потребностей заказчика. Эксперты компании обладают успешным опытом выявления и устранения критических ошибок в различных мобильных приложениях — браузерах, антивирусах, почтовых клиентах, клиентах интернет-банков. Комплексное исследование любых мобильных приложений Анализ защищенности приложений на мобильных платформах, предложенный Positive Technologies, включает в себя всестороннее исследование информационной безопасности приложения — как клиентской, так и серверной его части. В процессе анализа осуществляется поиск программных уязвимостей в приложении и исследование логики его работы, что позволяет обнаруживать сложные проблемы, такие как возможность несанкционированного проведения транзакций. Для каждой используемой мобильной платформы проводится самостоятельный комплекс работ, учитывающий специфику ее архитектуры и реализации. При анализе защищенности серверной части системы Positive Technologies использует методики и инструменты собственной разработки, включая систему анализа защищенности и соответствия стандартам MaxPatrol. В работе используются методологии признанных международных организаций — Web Application Security Consortium (WASC), Open Web Application Security Project (OWASP) — и передовой опыт в области безопасности приложений. Анализ защищенности мобильных приложений может проводиться экспертами компании как методом серого ящика (со стороны нарушителя, обладающего пользовательским доступом к приложению), так и методом белого ящика, который подразумевает анализ исходного кода и архитектуры приложения. В результате проведения работ клиент получает объективную и независимую оценку уровня защищенности приложения, которая может послужить основой для разработки программы мероприятий по повышению уровня информационной безопасности приложения и снижению соответствующих рисков. При проведении анализа с использованием метода белого ящика дополнительным результатом работ могут стать «патчи» — специализированные исправления обнаруженных ошибок. Актуальность Активный рост рынка мобильных устройств, наблюдаемый в течение последних нескольких лет, не мог не вызвать возникновения новых услуг в различных сферах бизнеса. Все чаще появляются клиент-серверные приложения, разрабатываемые для мобильных платформ (iOS, Android и др.), которые позволяют пользователям осуществлять финансовые операции. Эти приложения часто содержат уязвимости, использование которых злоумышленниками может привести к ощутимым финансовым и репутационным потерям для компании — владельца системы. По оценкам экспертов в 2011 году средний годовой ущерб крупных компаний, вызываемый инцидентами, связанными с мобильными приложениями, превысил 400 000 долл. США. Комментарии экспертов Борис Симис, директор по развитию компании Positive Technologies: «Сегодня мы используем смартфоны и планшетные компьютеры для совершенно разных задач — от просмотра фильмов до платежей в банке и доступа к критическим корпоративным данным. Фактически мобильное устройство — это офис в кармане и отношение к его защите должно быть не менее серьезным, чем к защите офисных систем и приложений. Однако наш опыт показывает, что при разработке мобильных версий платформ практически не учитываются те наработки, которые накоплены в области безопасности традиционных приложений и веб-систем. Парадоксально, но мобильная программа может содержать ошибки, уже устраненные в версии для настольных компьютеров». Дмитрий Евтеев, руководитель отдела анализа защищенности Positive Technologies: «Мы регулярно проводим анализ защищенности различных систем ДБО. Сегодня этот процесс немыслим без тщательного изучения безопасности приложений для самых популярных мобильных устройств. То же самое можно сказать о телекоммуникационной, промышленной и многих других сферах, где терминалами для доступа к критической для бизнеса информации все чаще становятся мобильные устройства». Подробное описание услуги по анализу защищенности приложений на мобильных платформах представлено на официальном сайте Positive Technologies. О компании Positive Technologies Positive Technologies — лидер европейского рынка систем анализа защищенности и соответствия стандартам. В основе продуктов и услуг компании — экспертиза крупнейшего в Европе исследовательского центра Positive Research, обладающего уникальным опытом в сфере практической информационной безопасности. Positive Technologies — организатор международного форума Positive Hack Days и создатель самого популярного русскоязычного ИБ-портала SecurityLab.ru. Продукты Positive Technologies — MaxPatrol и XSpider — обладают репутацией лучших разработок в этой области. Более подробную информацию можно получить на сайте www.ptsecurity.ru. Источник: www.ptsecurity.ru Дата: 26-07-2012 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|