Positive Technologies представила обновленную версию сканера защищенности веб-приложений PT Application Inspector. Теперь продукт определяет, есть ли в исходном коде учетные данные и другая конфиденциальна информация, и анализирует конфигурационные файлы на наличие угроз. Сканер также пополнился технологиями машинного обучения, которые выявляют вредоносный код на основе цепочек вызовов функций и методов. Кроме того, обновление позволило повысить контролируемость процессов и ускорить запуск сканирования в критически важных проектах.
PT Application Inspector 6.0 автоматически находит скрытую вредоносную логику в исходном коде благодаря модулю, который действует на основе разработанной Positive Technologies модели машинного обучения. ML-компонент, получивший название MOLOT, обнаруживает утечки данных, бэкдоры[1], загрузку и выполнение внешнего кода, а также другие признаки вредоносной активности. Новый модуль дополнил подсистему статического анализа (SAST) — одну из четырех технологий[2], лежащих в основе PT Application Inspector. В текущей версии он работает для Python, JavaScript и TypeScript, которые входят в топ-6 языков программирования. В дальнейшем этот список будет расширен.
Для обнаружения скрытой вредоносной логики новый модуль PT Application Inspector строит на основе исходного кода граф вызовов функций и методов. Вызовы распределяются по группам активностей. Проанализировав их последовательность, ML-компонент сможет обнаружить нехарактерное для исследуемого приложения поведение, которое сложно было бы выявить на основе отдельных признаков. Например, подозрительной будет помечена такая комбинация: динамическая генерация кода, получение доступа к конфиденциальным данным и их отправка по сети. Эта цепочка отобразится в графе вызовов, в карточке уязвимости, из которой можно оперативно локализовать и устранить проблемный код.
Сергей Синяков, руководитель продуктов application security, Positive Technologies
В новой версии PT Application Inspector улучшен поиск секретов за счет JSA-анализа[3]. Специальный модуль сканирует исходный код на наличие конфиденциальных данных, например паролей или комментариев, содержащих чувствительную информацию. Все найденные секреты проверяются на достижимость, что позволяет сфокусироваться на исправлении тех фрагментов кода, которые потенциальный злоумышленник действительно мог бы использовать в случае атаки.
В ответ на запрос пользователей разработчики Positive Technologies повысили контролируемость работы PT Application Inspector. Теперь каждому проекту можно присвоить приоритет, и продукт в первую очередь просканирует наиболее важные из них. Оператор при этом может вручную скорректировать последовательность проверки. Новая функциональность позволяет быстро реагировать на важные изменения в коде, снижая риск упустить критические уязвимости. Еще одно новшество — для каждого проекта можно вручную назначить сканирующие агенты. Возможность подбирать агента под конкретную задачу помогает грамотно распределять ресурсы, избегая простоев и снижения производительности.
В PT Application Inspector 6.0 добавлено ядро Config для поиска небезопасных настроек в конфигурационных файлах. Оно преобразует их во внутреннее XML-представление и ищет уязвимости с помощью XPath-выражений[4], что позволяет не привязывать анализ к конкретному формату. Вместе с ядром доступна пополняемая база знаний с правилами для анализа различных конфигураций. В дальнейшем сотрудники SOC[5] смогут самостоятельно добавлять в нее необходимые проверки, адаптируя базу под внутренние стандарты организации.
С новой версии продукт переходит на модульную схему лицензирования. На начальном этапе новые модули, в том числе ML-компонент MOLOT, будут доступны всем пользователям бесплатно — в рамках бета-версии. В дальнейшем доступ к модулям будет ограничиваться отдельной лицензией, и модули начнут поставляться только по этой лицензии. Компании, которые уже используют PT Application Inspector, могут обновить лицензию продукта и получить доступ к новым функциям на специальных условиях, обратившись к своему менеджеру либо заполнив заявку на сайте Positive Technologies.
[1] Бэкдор — тип вредоносной программы, позволяющей получить несанкционированный доступ к данным или обеспечить удаленное управление ОС. Как правило, устанавливается хакером для повторного подключения к атакованным системам.
[2] PT Application Inspector сочетает в себе механизмы статического (SAST), интерактивного (IAST) и динамического анализ (DAST) кода, а также инструменты анализа сторонних компонентов (SCA).
[3] Just Static Analyzer (JSA) — технология для статического анализа кода.
[4] XPath-выражения — текстовые запросы для поиска элементов или значений в XML- или HTML-документах.
[5] Security Operations Center (SOC) — центр мониторинга кибербезопасности.
