Примерно 5 лет назад автор сидел за ноутбуком и с помощью методов динамического обратного анализа кода пытался понять, что и как все таки делает гипотетический "фейк" скайпа китайского происхождения. И хотя уже на следующий день европейская штаб-квартира поняла что задачу лучше отдать китайскому офису глобальной сети, сей опыт оставил у меня неизгладимое впечатление.
Динамический обратный анализ кода (равно как и вся форензик-ориентированная деятельность) весьма быстро становится скучным. Статический анализ кода (пусть и по методу "белого ящика") ушел недалеко. С другой стороны исправление уязвимостей безопасности на этапе программирования априори эффективно, поэтому предложение Solar Security посетить их презентацию продукта по анализу кода InCode не оставило меня равнодушным.
Продукт оказался революционным по подходу - происходит анализ как исходного текста так и уже скомпилированного кода (деобфускация и декомпиляция). Это важно, так как атакующий извне будет в тех же условиях, а барьер входа в тему application security для среднего безопасника снижается в разы. Не надо договариваться с слегка отмороженными программистами, не надо собирать все зависимости - "просто добавь воды" и софт сам проведет аудит и даст фактаж, вооружившись которым возможно уже приступать к внедрению "тяжелых" практик SDLC. Качество анализа может быть спорным, учитывая наличие облачной версии возможно с минимальными затратами понять А) есть ли уязвимости в корпоративном софте Б) этот продукт нашел больше уязвимостей или конкуренты. На самой презентации анализ мобильного приложения индийского банка был сделан за 20 минут.
По словам вендора продукт изначально делался "для себя" во время заказных аудитов защищенности приложений, но с использованием научных подходов. Я так и не понял принципиальную новизну подходов (ни одного конкретного математического закона не было озвучено), но прозвучавшие от техлида термины "народное хозяйство" и "научная среда" убедили как минимум в наличии в команде людей с "научным" культурным кодом.
Корпоративные заказчики обычно готовы выделить 1% от бюджета софтового проекта на аудит, а это значит размер целевого рынка в миллиарды долларов глобально в год. Потенциальных клиентов поделю на 4 категории:
P.S. Для технических людей (к коим отношу и себя) ниже архитектура продукта
Динамический обратный анализ кода (равно как и вся форензик-ориентированная деятельность) весьма быстро становится скучным. Статический анализ кода (пусть и по методу "белого ящика") ушел недалеко. С другой стороны исправление уязвимостей безопасности на этапе программирования априори эффективно, поэтому предложение Solar Security посетить их презентацию продукта по анализу кода InCode не оставило меня равнодушным.
Продукт оказался революционным по подходу - происходит анализ как исходного текста так и уже скомпилированного кода (деобфускация и декомпиляция). Это важно, так как атакующий извне будет в тех же условиях, а барьер входа в тему application security для среднего безопасника снижается в разы. Не надо договариваться с слегка отмороженными программистами, не надо собирать все зависимости - "просто добавь воды" и софт сам проведет аудит и даст фактаж, вооружившись которым возможно уже приступать к внедрению "тяжелых" практик SDLC. Качество анализа может быть спорным, учитывая наличие облачной версии возможно с минимальными затратами понять А) есть ли уязвимости в корпоративном софте Б) этот продукт нашел больше уязвимостей или конкуренты. На самой презентации анализ мобильного приложения индийского банка был сделан за 20 минут.
По словам вендора продукт изначально делался "для себя" во время заказных аудитов защищенности приложений, но с использованием научных подходов. Я так и не понял принципиальную новизну подходов (ни одного конкретного математического закона не было озвучено), но прозвучавшие от техлида термины "народное хозяйство" и "научная среда" убедили как минимум в наличии в команде людей с "научным" культурным кодом.
Корпоративные заказчики обычно готовы выделить 1% от бюджета софтового проекта на аудит, а это значит размер целевого рынка в миллиарды долларов глобально в год. Потенциальных клиентов поделю на 4 категории:
- корпоративные клиенты
- security-компании - деобфускация и декомпиляция вредоносного кода
- разработчики софта - проверка защиты кода от реверс-инжиниринга
- провайдеры услуг по аудиту защищенности приложений
P.S. Для технических людей (к коим отношу и себя) ниже архитектура продукта
Комментариев нет:
Отправить комментарий