пятница, 30 октября 2015 г.

iPhone от анализа кода - новый продукт Solar Security

    Примерно 5 лет назад автор сидел за ноутбуком и с помощью методов динамического обратного анализа кода пытался понять, что и как все таки делает гипотетический "фейк" скайпа китайского происхождения. И хотя уже на следующий день европейская штаб-квартира поняла что задачу лучше отдать китайскому офису глобальной сети, сей опыт оставил у меня неизгладимое впечатление.


    Динамический обратный анализ кода (равно как и вся форензик-ориентированная деятельность) весьма быстро становится скучным. Статический анализ кода (пусть и по методу "белого ящика") ушел недалеко. С другой стороны исправление уязвимостей безопасности на этапе программирования априори эффективно, поэтому предложение Solar Security посетить их презентацию продукта по анализу кода InCode не оставило меня равнодушным.
    Продукт оказался революционным по подходу - происходит анализ как исходного текста так и уже скомпилированного кода (деобфускация и декомпиляция). Это важно, так как атакующий извне будет в тех же условиях, а барьер входа в тему application security для среднего безопасника снижается в разы. Не надо договариваться с слегка отмороженными программистами, не надо собирать все зависимости - "просто добавь воды" и софт сам проведет аудит и даст фактаж, вооружившись которым возможно уже приступать к внедрению "тяжелых" практик SDLC. Качество анализа может быть спорным, учитывая наличие облачной версии возможно с минимальными затратами понять А) есть ли уязвимости в корпоративном софте Б) этот продукт нашел больше уязвимостей или конкуренты. На самой презентации анализ мобильного приложения индийского банка был сделан за 20 минут.
    По словам вендора продукт изначально делался "для себя" во время заказных аудитов защищенности приложений, но с использованием научных подходов. Я так и не понял принципиальную новизну подходов (ни одного конкретного математического закона не было озвучено), но прозвучавшие от техлида термины "народное хозяйство" и "научная среда" убедили как минимум в наличии в команде людей с "научным" культурным кодом.
    Корпоративные заказчики обычно готовы выделить 1% от бюджета софтового проекта на аудит, а это значит размер целевого рынка в миллиарды долларов глобально в год. Потенциальных клиентов поделю на 4 категории:
  1. корпоративные клиенты
  2. security-компании - деобфускация и декомпиляция вредоносного кода
  3. разработчики софта - проверка защиты кода от реверс-инжиниринга
  4. провайдеры услуг по аудиту защищенности приложений
    С другой стороны потенциальные клиенты 2, 3 и 4 и "сами с усами" - могут не только уже решить определенным образом задачу анализа, но и выпустить свой продукт в будушем. Так что Solar следует поторопиться. Мне как-то больше верится в облачный вариант, в основном на Западе. Конечно, в OPEX модели. Вариант хорошо масштабируется, продукт будет продаваться и в средний бизнес, с его коротким циклом принятия решений. Что в свою очередь обеспечит постоянный приток валюты для дальнейшего развития.
P.S. Для технических людей (к коим отношу и себя) ниже архитектура продукта

Комментариев нет:

Отправить комментарий