Автоматизированный анализ защищенности мобильных приложений: обзор платформы Стингрей

Дата: 11.08.2022. Автор: Стингрей. Категории: Главное по информационной безопасности, Обзоры средств защиты информации
Автоматизированный анализ защищенности мобильных приложений: обзор платформы Стингрей

Более 20 лет иностранные вендоры активно работали на российском рынке, а отечественные компании выстраивали инфраструктуру, используя зарубежный софт. Весной этого года в ИТ-секторе разных отраслей произошли глобальные изменения. Большая часть иностранных вендоров ушла, а Россия взяла масштабный курс на импортозамещение.

И сегодня российскому рынку требуются десятки тысяч новых разработок, чтобы заполнить образовавшуюся пустоту и набрать темп для дальнейшего развития. На этом пути особенно важно не забывать о безопасности. За последние полгода число хакерских атак на отечественные мобильные приложения увеличилось на 200%. Эксперты полагают, что до 90% приложений находится под угрозой. 

Зачастую компании торопятся выпустить новый продукт, поэтому создают мобильные приложения и веб-версии на одном интерфейсе, не уделяя достаточного времени тестированию или вовсе отказываясь от него. В результате на рынок выходят разработки с большим количеством уязвимостей. Они могут стать легкой добычей для хакеров. Нередко о безопасности начинают думать уже после релиза, но тогда для исправления требуется гораздо больше ресурсов, чем на этапе разработки. Кроме того, наличие уязвимостей и возможные инциденты могут нанести компании репутационный ущерб. Пользователи начнут сомневаться в надежности продукта и могут отказаться от него. А потому, чтобы снизить риски после запуска приложения, нужно тестировать его до релиза или еще на этапе разработки. 

Как оперативно проанализировать мобильное приложение?

Для повышения уровня безопасности продуктов мы предлагаем использовать платформу Стингрей. Она позволяет проводить автоматизированный анализ защищенности приложений iOS и Android, а также помогает устранять найденные ошибки. Платформа выявляет более 60 типов уязвимостей. Ее можно использовать для тестирования продуктов на любом этапе разработки. При этом компании не придется тратить много времени на безопасность и откладывать дату старта запуска приложений в магазин приложений: анализ проходит оперативно, потому что все процессы проверки на платформе автоматизированы. 

Функциональные особенности платформы Стингрей позволяют:

  • За 2 недели перейти с ручного режима проверок к полноценному автоматизированному анализу приложений на наличие уязвимостей
  • Сократить 60% финансовых расходов на устранение ошибок за счет автоматизации 
  • Снизить на 25% трудозатраты разработчиков на устранение уязвимостей; после проверок сотрудники будут получать подробную информацию о найденных ошибках и рекомендации по их устранению 
  • Сэкономить 90% времени на подготовку тест-кейсов, потому что для формирования автотестов не нужно писать код
  • Сократить на 60% время и трудозатраты на поиск слабых мест за счет того, что в рамках платформы все процессы автоматизированы 

Как работает платформа?

Стингрей автоматизирует анализ мобильных приложений, применяя для этого технологии машинного обучения. Платформа комбинирует несколько методов анализа:

  • DAST (динамический анализ);
  • SAST (статический анализ);
  • IAST (интерактивный анализ);
  • API ST (анализ программных интерфейсов).

Рис. 1. Список сканирований 

Функционал Стингрей позволяет внедрять в DevOps процесс поиска и анализа ошибок, проверки соответствия стандартам для каждой сборки мобильного приложения. Эти возможности платформы помогают сделать безопасность обязательной частью разработки.

С помощью Стингрей каждую сборку приложения можно проверять на соответствие требованиям международных и российских регуляторов. По итогам анализа платформа формирует отчет в соответствии со стандартами:

  • ОУД4;
  • OWASP MASVS​;
  • OWASP Mobile Top 10​;
  • PCI DSS​;
  • ГОСТ 57580.

Рис.2. Дефекты

После каждого этапа анализа Стингрей выдает пользователям список найденных уязвимостей, ранжированный по их критичности. Важно, что для каждого дефекта выдаются рекомендации по устранению. В них содержатся подробные описания ошибок, причины их возникновения и способы решения проблем. Дополнительно в платформу включены интерактивные и видео курсы по безопасной разработке кода для Android и iOS, которые способствуют расширению компетенций команды мобильной разработки. 

Рис.3. Скриншот со списком уязвимостей, предоставляемым Стингрей

Стингрей предусматривает две модели развертывания:

  • On-premise: платформу можно установить в организациях с закрытым контуром разработки;
  • Cloud: инструмент получится внедрить в короткие сроки в облаке и с гибким форматом лицензирования.

Платформа является полностью российской разработкой (принадлежит ООО «Стингрей Технолоджиз», которое входит в ГК Swordfish Security). Но Стингрей подойдет также и тем компаниям, которые используют зарубежные продукты. 

Рис.4. Модели развертывания 

Кому подойдет Стингрей?

Инструментарий Стингрей идеально подойдет для компаний, которые создают собственные мобильные приложения, заказывают их и вообще так или иначе работают с чувствительной информацией пользователей:

  • финансовых компаний;
  • транспортных и логистических организаций;
  • промышленных предприятий;
  • e-commerce. 

Платформа поможет компаниям:

  • снизить риски утечек данных клиентов и обеспечить надежность всех операций в мобильных приложениях;
  • проверить продукты на соответствие международным и внутренним стандартам информационной безопасности и заранее избежать штрафов за возможные нарушения;
  • защитить приложения от сбоев из-за хакерских атак;
  • ускорить выпуск релизов приложений.

В целом, Стингрей могут использовать компании из различных отраслей экономики, поскольку платформа имеет широкий инструментарий, помогает находить и устранять уязвимости в любых мобильных приложениях, независимо от их тематики. 

Выводы

Для того, чтобы создавать и предлагать рынку действительно эффективные высококлассные продукты, необходимо заботиться об их безопасности с первых шагов. Основные этапы разработки из-за этого могут несколько увеличиться по времени, но это поможет избежать задержек на финальной стадии. Ручные проверки по-прежнему актуальны для некоторых видов уязвимостей, однако автоматизация помогает уменьшить время на поиск самых известных из них и, помимо прочего, снизить влияние человеческого фактора. Инструменты, позволяющие разработать безопасные программные продукты, есть. Весь вопрос в том, когда начинать их использовать. Лучше делать это как можно раньше, и тогда финансовые ресурсы и репутация не пострадают из-за возможных перезапусков и рисков возникновения инцидентов. 

Об этом важно помнить, составляя план развития продукта. Платформа Стингрей не только делает мобильные приложения безопасными, но и экономит ресурсы, снижает финансовые и репутационные риски после запуска разработок в магазин приложений. 

Об авторе Стингрей

Эксперты компании «Стингрей Технолоджиз» помогают клиентам снизить риски киберугроз для их мобильной экосистемы. Мы создаем платформу для анализа защищенности мобильных приложений, которая не имеет аналогов в России. Ведем и регулярно обновляем базы данных уязвимостей приложений. Обучаем технические команды принципам безопасной разработки с помощью интерактивных тренингов.
Читать все записи автора Стингрей

Добавить комментарий

Ваш адрес email не будет опубликован.