Стингрей - платформа защищенности анализа приложений

В России сегодня высока потребность в качественном программном обеспечении в различных сферах. Только для недавно открывшегося маркетплейса отечественных программных продуктов требуются десятки тысяч разработок. Также разным отраслям нужны решения для замены ПО иностранных вендоров, да и плановых работ никто не отменял. Проблема в том, что создаваемые продукты зачастую небезопасны: сегодня каждое третье приложение, поступающее в российские сторы, уязвимо. В 2020 году, по статистике Positive Technologies, в 9 из 10 веб-приложений злоумышленники могли проводить атаки на пользователей, и сейчас ситуация существенно не улучшилась.

Для оперативной проверки создаваемых мобильных приложений необходимо решение, которое бы позволило обнаруживать уязвимости до того, как продукты поступят в стор и ими начнут пользоваться. Более того, нужен инструмент, помогающий выявлять проблемы безопасности еще на стадии разработки. Широкое применение такого решения принесет безусловную пользу всем участникам рынка, включая разработчиков, владельцев продукта и инвесторов (которым он, прежде всего, поможет избежать лишних трат), с одной стороны, и пользователей, с другой. Сокращение количества уязвимостей в мобильных приложениях значительно снизит риски хищения конфиденциальной информации их владельцев, нивелирует угрозы захвата аккаунтов и хищения денежных средств третьими лицами.

Инструмент анализа приложений, в котором нуждается рынок

Стингрей – платформа анализа защищённости мобильных приложений, возможности которой позволяют быстро и в любой момент времени проверить решение на наличие проблем безопасности и помочь устранить их. Это можно сделать на любом этапе готовности продукта, и разработчик не теряет время на оперативный выход на рынок, не откладывает старт. Это особенно важно, поскольку именно из-за нежелания дополнительно задерживаться на этапе безопасности многие вендоры закрывают глаза на слабые места, надеются решить все уже после запуска. Но нередко выходит так, что после старта, уже когда приложение имеет десятки, сотни, тысячи скачиваний, обнаруживаются серьезные уязвимости и приходится оповещать о них пользователей, отзывать продукт из стора, что оборачивается тысячами и миллионами рублей дополнительных расходов, которых легко можно было бы избежать, произведя своевременные проверки. Репутационный ущерб в данном случае вообще может лишить реальных и потенциальных клиентов желания продолжать пользоваться продуктом, бизнес потеряет перспективы.

Чтобы избежать всех этих проблем, можно использовать платформу Стингрей. Она позволяет выявлять более 60 типов уязвимостей в iOS и Android-приложениях​, одновременно снижая 60% затрат на устранение проблем безопасности за счет автоматизации​. Стингрей - полностью российское решение, не имеющее аналогов в нашей стране. Платформа реализует полный спектр возможностей зарубежных продуктов в контексте анализа мобильных приложений, включая такие известные разработки, как NowSecure, HCL AppScan Mobile, immuniWeb, AppKnox, MobSF, Checkmarx, Micro Focus Fortif, Sonatype Nexus IQ и др.

Как работает Стингрей?

Платформа позволяет производить поиск уязвимостей в приложениях iOS и Android, применяя технологии машинного обучения, в автоматизированном режиме. ​

Решение комбинирует несколько методов анализа:

• DAST (динамический анализ);
• SAST (статический анализ);
• IAST (интерактивный анализ);
• API ST (анализ программных интерфейсов).

Инструментарий Стингрей позволяет интегрировать в DevOps (development & operations, методологию автоматизации технологических процессов сборки, настройки и развёртывания программного обеспечения) процесс поиска, анализа дефектов и проверки соответствия стандартам для каждой сборки приложения.​ Таким образом, безопасность становится неотъемлемой частью разработки, что в итоге позволяет увеличить скорость вывода на рынок новых версий приложений.

Важно также отметить, что для каждой сборки приложения в Стингрей предусмотрена возможность проверки на соответствие регуляторным стандартам, международным и российским.​​ Предоставляется отчетность в соответствии со следующими стандартами:

• ОУД4;
• OWASP MASVS;​
• OWASP Mobile Top 10;​
• PCI DSS;​
• ГОСТ 57580.

По завершении каждого из этапов проверки, пользователи платформы получают рекомендации по устранению найденных уязвимостей, которые содержат детальные описания, причины возникновения и способы исправления проблем безопасности. Также в Стингрей включены интерактивные и видео-курсы по безопасной разработке кода для Android и iOS, из которых специалисты могут почерпнуть немало полезного.

Платформа Стингрей предусматривает две модели развертывания: On-premise (позволяющую установить решение в организациях с закрытым контуром разработки) и CLOUD, при которой инструмент может быть внедрен максимально быстро и с гибким форматом лицензирования.

Основные преимущества Стингрей в цифрах

За 2 недели можно перейти от ручных проверок к полноценному автоматизированному процессу, тем самым начав экономить ресурсы благодаря уникальному механизму автоматизации поиска уязвимостей.

На 25% снизятся трудозатраты разработчиков на исправление уязвимостей, поскольку они регулярно будут получать полную информацию о найденных уязвимостях с детальными рекомендациями по их устранению.

На 90% может сократиться время подготовки тест-кейсов, поскольку формирование автотестов происходит без написания кода.

На 60% сократится время и трудозатраты на поиск уязвимостей за счет максимальной автоматизации в рамках единой платформы.

Преимущества платформы оценят компании-разработчики из разных сфер, но особенно полезно оно будет организациям сферы финтеха и цифрового бизнеса. Среди клиентов Стингрей такие крупные компании, как Газпромбанк, Россельхозбанк, Почта России и Сбер Маркет.

Меры повышения безопасности мобильных приложений

Эксперты Стингрей Технолоджис рекомендуют использовать пять базовых принципов, которые помогут повысить безопасность мобильной экосистемы компании:

1. Проводить регулярный автоматизированный анализ мобильных приложений на уязвимости в соответствии с практиками MAST. Для этого можно использовать специальные решения вроде платформы Стингрей, позволяющие встроить автоматические проверки в цикл разработки DevOps;
2. Осуществлять регулярную проверку мобильных приложений на соответствие индустриальным стандартам информационной безопасности: ОУД4, OWASP Mobile Top 10, PCI DSS, CWE/SANS Top 25;
3. Реализовывать периодические тесты на проникновение (penetration tests) для ручной внешней проверки программ;
4. Производить регулярные проверки выпущенных мобильных приложений для выявления недавно описанных уязвимостей, в том числе в сторонних компонентах;
5. Развивать компетенции команды для создания безопасного кода на самых ранних стадиях создания мобильных приложений. Именно для этого существуют специальные программы обучения разработчиков.

О компании «Стингрей Технолоджиз»

Эксперты компании «Стингрей Технолоджиз» помогают клиентам снизить риски киберугроз для их мобильной экосистемы. Созданная ими платформа для анализа защищенности мобильных приложений не имеет аналогов в России. Базы данных уязвимостей приложений регулярно обновляются. Технические команды проходят разработанные «Стингрей Технолоджиз» интерактивные тренинги по принципам безопасной разработки.