Журнал "Information Security/ Информационная безопасность" #3, 2022

НОВЫЕ ПРОДУКТЫ Программно-аппаратный комплекс "VPN/FW ЗАСТАВА-150" Производитель: АО "ЭЛВИС-ПЛЮС" Сертификаты: № 124–4114 от 30.06.2021 г., выдан ФСБ России; № 4125 от 12.08.2020 г., выдан ФСТЭК России Назначение: защита локальной вычис- лительной сети (ЛВС) предприятия на сетевом уровне с использованием крип- тоалгоритмов ГОСТ и технологий VPN на основе интернет-протоколов семей- ства IPSec Особенности: СКЗИ класса КС3. МЭ 4-го класса тип "А". Наиболее полная реализация про- токола IKEv2/IPSec. Двухфакторная аутентификация. Интегрированный аппаратный ДСЧ. Устойчивость к DDoS- атакам. Гибкое масштабирование. Аппаратные средства контроля вскры- тия корпуса Возможности: неограниченное коли- чество защищаемых узлов. Централи- зованное обновление ПО. Возможность восстановления до заводского образа. Ключи сроком действия до трех лет. Удаленное обновление ключей и сер- тификатов. Режим кластера active/pas- sive или active/active. Полноценная под- держка VLAN (802.1q). Шифрование на уровне L2/L3. Поддержка динами- ческих протоколов маршрутизации Характеристики: скорость шифро- вания до 600 Mбит/с. Сетевые интер- фейсы 6x1 GbE. Пассивное охлаждение. Аппаратный контроль вскрытия корпуса с сигнализацией. Компактный форм- фактор: до двух устройств в стойку 1U Ориентировочная цена: по запросу Время появления на российском рынке: май 2018 г. Подробная информация: www.zas- tava.ru Фирма, предоставившая инфор- мацию: АО "ЭЛВИС-ПЛЮС" См. стр. 9, 41 Программно-аппаратный комплекс "ЗАСТАВА-1500" Производитель: АО "ЭЛВИС-ПЛЮС" Сертификат: ПО АПК № 124-4112 от 30.06.2021 г., выдан ФСБ России Назначение: защита высоконагружен- ных каналов, организация удаленного доступа для большого количества сотрудников и защита каналов между ЦОД на сетевом уровне с использова- нием криптоалгоритмов ГОСТ и техно- логий VPN на основе интернет-протоко- лов семейства IPSec Особенности: СКЗИ класса КС3. Наи- более полная реализация протокола IKEv2/IPSec. Устойчивость к DDoS-ата- кам. Гибкое масштабирование Возможности: Неограниченное количество защищае- мых узлов. Централизованное обновле- ние ПО. Возможность восстановления до заводского образа. Удаленное обнов- ление ключей и сертификатов. Режим кластера active/passive или active/active. Полноценная поддержка VLAN (802.1q). Шифрование на уровне L2/L3. Поддерж- ка динамических протоколов маршру- тизации Характеристики: скорость шифро- вания до 2000 Mбит/с. Сетевые интер- фейсы 4x1 GbE и 2x1Gb SFP. Установка в стойку 1U. Резервный блок питания Ориентировочная цена: по запросу Время появления на российском рынке: сентябрь 2017 г. Подробная информация: www.zastava.ru Фирма, предоставившая инфор- мацию: АО "ЭЛВИС-ПЛЮС" См. стр. 9, 41 Zecurion DCAP Производитель: Zecurion Назначение: аудит и мониторинг кор- поративных ресурсов, защита данных и сбор событий внутри периметра сети Особенности: видимость всех данных и событий с ними. Классификация дан- ных по 10+ технологиям. Собственная риск-модель и обнаружение угроз. Обес- печение соответствия законодательству Возможности: контроль неструктури- Методы выявления дефектов безопасности мобильных приложений В ИТ-индустрии были разработаны подходы к обеспечению защищенности мобильных приложений – практики MAST (Mobile Application Security Testing), которые стали решением многих про- блем с безопасностью приложений. SAST – статический анализ исходного кода приложения. Выявляет небезопас- ную конфигурацию: ищет токены, ключи шифрования и другие конфиденциальные данные, проверяет корректность конфи- гурации сетевого взаимодействия и пр. DAST – динамический анализ прило- жения. Выявляет незащищенный сетевой трафик, точки входа, которые могут быть вызваны сторонними приложениями. API ST – анализ API приложения. Ана- лиз пересылаемых сообщений между приложением и его сервером на предмет наличия чувствительной информации. IAST – интерактивный анализ прило- жения. Мониторинг потоков данных при- ложения, отслеживание движения дан- ных от точек входа до попадания в потен- циально опасные функции. Регулярное использование практик MAST для анализа защищенности помо- жет обеспечить максимальный охват уязвимостей мобильных приложений. Помимо практик MAST в индустрии приняты стандарты безопасности, такие как OWASP Mobile Top 10, PCI DSS, CWE/SANS Top 25 (международные), ОУД4, ГОСТ 57580 (в России). Проверка на соответствие этим стандартам поз- воляет избегать базовых ошибок в без- опасности при разработке приложений. Как повысить безопасность мобильных приложений? Пять базовых принципов, которые помогут повысить безопасность мобиль- ной экосистемы компании. 1. Регулярный автоматизированный анализ мобильных приложений на уязви- мости в соответствии с практиками MAST. Для этого можно использовать специальные решения, позволяющие встроить автоматические проверки в цикл разработки DevOps. 2. Регулярная проверка мобильных приложений на соответствие индустри- альным стандартам информационной безопасности ОУД4, OWASP Mobile Top 10, PCI DSS, CWE/SANS Top 25. 3. Периодические тесты на проникно- вение (penetration tests) для ручной внеш- ней проверки программ. 4. Регулярные проверки выпущенных мобильных приложений для выявления недавно описанных уязвимостей, в том числе в сторонних компонентах. 5. Развитие компетенций команды для создания безопасного кода на самых ранних стадиях разработки мобильных приложений. На это ориентированы спе- циальные программы обучения разра- ботчиков 5 . l Ваше мнение и вопросы присылайте по адресу is@groteck.ru 5 "Обучение процессам безопасной разработки" https://edu.swordfishsecurity.ru/ БЕЗОПАСНАЯ РАЗРАБОТКА 58 • НОВЫЕ ПРОДУКТЫ И УСЛУГИ