InfoWatch Appercut Security
Appercut Custom Code Scanner (ACCS)

Продукт
Разработчики: Appercut Security, InfoWatch (ИнфоВотч), Attack Killer (Атак Киллер)
Дата последнего релиза: 2018/12/21
Технологии: SaaS - Программное обеспечение как услуга,  ИБ - Антивирусы

Содержание

Облачный сервис Appercut Custom Code Scanner (ACCS) позволяет пользователям почти любого бизнес-приложения самостоятельно и практически мгновенно проанализировать его исходный код и обнаружить уязвимости, нарушения корпоративных стандартов ИБ и требований регуляторов. При этом сервис способен выявлять бреши, которыми могут воспользоваться как злоумышленники извне, так и инсайдеры.

2019: Методология Security development lifecycle с применением Appercut

Компания Attack Killer 19 февраля 2019 года представила методологию встраивания сканеров кода в процесс разработки программного обеспечения.

По словам представителей компании, методология встраивания безопасности в процесс разработки ПО, предлагаемая компанией Attack Killer, отличается от обычной практики, когда выявление и устранение неисправностей выделяется в отдельный этап и увеличивает срок до вывода нового продукта на рынок. Предложенная методология SDL (Security development lifecycle) предполагает использование сканера кода Appercut и инструментов комплексной безопасности Attack Killer на 7 основных этапах разработки: обучение, формирование требований, проектирование, реализация, верификация, выпуск и реагирование. Предложенный метод позволит надежно защитить продукты, независимо от используемой разработчиком модели SDLC (Software Development Life Cycle), утверждают в Attack Killer.

«
В рамках нашей методологии мы исходим из принципа, что в процессе разработки приложение должно быть защищено от раскрытия информации, изменения и разрушения; должна обеспечиваться корректная аутентификация и управление правами пользователей, а также конфигурациями, сеансами и ошибками, — подчеркнул директор по развитию продуктов Attack Killer Михаил Бубнов.
»

Вице-президент ГК InfoWatch Рустэм Хайретдинов рассказал о подходе компании Attack Killer к управлению безопасностью веб-ресурсов, который заключается во встраивании систем защиты в цикл создания и использования программного обеспечения. Эксперт отметил, что при создании методологии необходимо учитывать анализ платформы разработки, организационные меры, управление версиями, инструменты обеспечения безопасности в различных точках разработки и использования ИТ-систем. Метавселенная ВДНХ 3.2 т

2018: Получение сертификата ФСТЭК России

21 декабря 2018 года компания Attack Killer сообщила о получении сертификата ФСТЭК России InfoWatch Appercut Custom Code Scanner 4.0 — системы автоматизированного контроля исходного кода бизнес-приложений на соответствие требованиям по безопасной разработке программного обеспечения. По информации компании, данный сертификат подтверждает, что комплекс InfoWatch Appercut Custom Code Scanner соответствует нормативной документации и регламентирующим требованиям к программному обеспечению, используемому для защиты от несанкционированного доступа к информации.

«
На декабрь 2018 года массовая цифровизация стала причиной появления большого количества заказных разработок программного обеспечения, которые необходимо проверять на безопасность и качество кода. Получение сертификата ФСТЭК России гарантирует уровень защищенности и позволяет использовать InfoWatch Appercut в государственных, финансовых, промышленных и других организациях.

Генеральный директор компании Attack Killer, вице-президент ГК InfoWatch Рустэм Хайретдинов
»

InfoWatch Appercut соответствует требованиям руководящего документа ФСТЭК России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» для 4 уровня контроля.

Результат анализа кода приложения или его фрагмента представляет собой отчет с рекомендациями по исправлению ошибок. На декабрь 2018 года InfoWatch Appercut интегрируется в любой этап жизненного цикла разработки между программированием и приемкой заказчиком, поддерживает более 20 языков программирования, а лицензия позволяет исследовать любое количество приложений бесконечное количество раз.

На декабрь 2018 года, решение поддерживает требования международных стандартов PCI DSS, практики CERT, OWASP и CWE, рекомендации SDLC, производителей платформ , SAP, Oracle, Microsoft. Пользователи InfoWatch Appercut могут добавлять в базу данных некорректных программных конструкций собственные шаблоны, отражающие специфику бизнес-процессов организации.

2012: Поддержка 20 языков программирования

На октябрь 2012 года сервис поддерживает более 20 языков программирования, включая основные языки бизнес-приложений. Среди них: ABAP/4 платформы SAP R/3, PeopleCode систем Oracle CRM/HRMS, VBScript компании Microsoft, LotusScript платформы IBM Lotus Notes, а также внутренний язык «1С: Предприятие». Благодаря архитектуре сканнера (наличие встроенного нормализатора, переводящего анализируемую программу с исходного языка в унифицированное внутреннее представление) добавление новых языков является относительно простой задачей и происходит ежеквартально.

Не менее важно, что сканнер ACCS выявляет уязвимости, сверяя анализируемый код с шаблонами, хранящимися в базе данных. Компания Appercut Security располагает одной из самых полных в индустрии коллекций уязвимостей и сотрудничает с ведущими мировыми лабораториями, проводящими аудит ПО, что позволяет максимально оперативно добавлять в этот список описания новых угроз. Кроме того, пользователи коммерческой версии сканнера могут вносить в базу данных собственные шаблоны интересующих их фрагментов исходного кода, тонко настраивая ACCS и адаптируя его к корпоративным стандартам ИБ и требованиям регуляторов. А для крупных корпоративных заказчиков и организаций со спецтребованиями к ИБ разработана специальная версия сканнера, которую можно установить в «частное облако», находящееся внутри периметра безопасности.

«
Всем известны масштабы киберпреступности – и в нашей стране, и за рубежом. Но, как ни странно, многие недооценивают риски, связанные с этим. Те же, кто уже понимает, какие угрозы исходят от современного бизнес-ПО, – не видят практического способа противодействия. Одни методы слишком медленны, другие выявляют лишь малую часть брешей, третьи – дают результаты, которые, фактически, относятся к далекому прошлому. И все методы слишком дороги для большинства российских предприятий, – говорит Рустэм Хайретдинов, CEO компании Appercut Security. – Мы понимали это и создавали наш сервис, встав на сторону заказчика, поставив именно его интересы во главу угла. И решили, что правильнее дать рынку инструмент, позволяющий буквально за минуту выявить порядка 70% уязвимостей, чем бороться за каждый процент, теряя простоту, оперативность, доступность. Уверен, что Appercut Custom Code Scanner – именно тот инструмент защиты, которого так недоставало российскому бизнесу.
»

В России и странах ближнего зарубежья сервисы Appercut Security будут продвигаться под маркой InfoWatch Appercut Security – в рамках партнерской программы с системными интеграторами. Ее запуск намечен на октябрь 2012 года.





Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) (1767)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
  TrueConf (Труконф) (1593)
  Террасофт (Terrasoft, ТС-Консалтинг) (1147)
  Directum (Директум) (536)
  Другие (8584)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
  Террасофт (Terrasoft, ТС-Консалтинг) (186)
  ВидеоМост (VideoMost) (181)
  Directum (Директум) (110)
  QuickBPM (83)
  Другие (759)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
  ВидеоМост (VideoMost) (101)
  Directum (Директум) (80)
  1С-Рарус (30)
  Projecto (Проджекто) (26)
  Другие (563)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (179)
  Directum (Директум) (84)
  Naumen (Наумен консалтинг) (22)
  Первый Бит (22)
  Адванта Консалтинг (Advanta) (20)
  Другие (399)

  Directum (Директум) (42)
  Первый Бит (13)
  Naumen (Наумен консалтинг) (11)
  B2B-Center (Центр развития экономики) (10)
  HRlink (Инновации в управлении кадрами) (8)
  Другие (164)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (35, 2810)
  ВидеоМост (VideoMost) (3, 1818)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1766)
  TrueConf (Труконф) (3, 1609)
  Creatio (12, 1238)
  Другие (1929, 7252)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
  Directum (Директум) (2, 233)
  Creatio (1, 200)
  ВидеоМост (VideoMost) (2, 183)
  1С Акционерное общество (13, 145)
  Другие (154, 503)

  Directum (Директум) (2, 236)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
  ВидеоМост (VideoMost) (1, 102)
  1С Акционерное общество (9, 98)
  Projecto (Проджекто) (1, 26)
  Другие (95, 342)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
  Directum (Директум) (1, 147)
  1С Акционерное общество (12, 86)
  Naumen (Наумен консалтинг) (5, 22)
  1С-Битрикс (1, 22)
  Другие (80, 264)

  1С Акционерное общество (7, 44)
  Directum (Директум) (1, 40)
  1С-Битрикс (1, 16)
  Naumen (Наумен консалтинг) (3, 14)
  B2B-Center (Центр развития экономики) (1, 10)
  Другие (62, 126)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) ВКС - 1817
  TrueConf Server - 1593
  ELMA BPM Suite - 1431
  Creatio (ранее bpm’online) - 944
  1С:ERP Управление предприятием 2 - 922
  Другие 8431

  ELMA BPM Suite - 241
  Directum RX - 233
  Creatio (ранее bpm’online) - 200
  ВидеоМост (VideoMost) ВКС - 182
  1С:ERP Управление предприятием 2 - 113
  Другие 571

  Directum RX - 236
  ELMA BPM Suite - 151
  ВидеоМост (VideoMost) ВКС - 102
  ELMA365 - 83
  1С:ERP Управление предприятием 2 - 68
  Другие 364

  ELMA365 - 161
  Directum RX - 147
  1С:ERP Управление предприятием 2 - 52
  ELMA BPM Suite - 22
  1С-Битрикс24 - 22
  Другие 301

  Directum RX - 40
  1С:ERP Управление предприятием 2 - 30
  1С-Битрикс24 - 16
  B2B-Center: Мои поставщики - 10
  HRlink Система электронного кадрового документооборота - 9
  Другие 130

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (203)
  ESET (ИСЕТ Софтвеа) (118)
  Лаборатория Касперского (Kaspersky) (77)
  Инфосистемы Джет (55)
  ДиалогНаука (51)
  Другие (891)

  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (53)

  А-Реал Консалтинг (3)
  Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
  Национальный аттестационный центр (НАЦ) (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Deiteriy (Дейтерий) (2)
  Другие (40)

  Инфосистемы Джет (6)
  Уральский центр систем безопасности (УЦСБ) (4)
  Compliance Control (Комплаенс контрол) (3)
  Inspect (3)
  МСС Международная служба сертификации (3)
  Другие (42)

  Уральский центр систем безопасности (УЦСБ) (4)
  Инфосистемы Джет (4)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  МСС Международная служба сертификации (2)
  Центр инноваций и сертификации (1)
  Другие (28)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (42, 366)
  ESET (ИСЕТ Софтвеа) (21, 141)
  Доктор Веб (Dr.Web) (17, 61)
  UserGate, Юзергейт (ранее Entensys) (3, 19)
  Fortinet (11, 15)
  Другие (365, 140)

  R-Vision (Р-Вижн) (1, 4)
  Trend Micro (2, 3)
  Лаборатория Касперского (Kaspersky) (2, 3)
  Fortinet (2, 1)
  Корп Софт (CorpSoft24) (1, 1)
  Другие (3, 3)

  Лаборатория Касперского (Kaspersky) (4, 5)
  А-Реал Консалтинг (1, 3)
  Научно-производственное объединение Адаптивные промышленные технологии (Апротех) (1, 1)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  UserGate, Юзергейт (ранее Entensys) (1, 1)
  Другие (1, 1)

  Лаборатория Касперского (Kaspersky) (2, 4)
  UserGate, Юзергейт (ранее Entensys) (1, 4)
  CloudLinux (1, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (0, 0)

  UserGate, Юзергейт (ранее Entensys) (1, 3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Лаборатория Касперского (Kaspersky) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Business Space Security - 87
  Kaspersky Security - 81
  Kaspersky Endpoint Security - 81
  ESET NOD32 Business Edition - 51
  Dr.Web Enterprise Security Suite - 35
  Другие 432

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
  Kaspersky Industrial CyberSecurity (KICS) - 2
  Trend Micro: Deep Discovery - 2
  Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
  FortiGate - 1
  Другие 5

  Kaspersky Endpoint Security - 3
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3
  Kaspersky Industrial CyberSecurity (KICS) - 1
  Kaspersky ASAP Automated Security Awareness Platform - 1
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1
  Другие 3

  UserGate UTM - 4
  Kaspersky Endpoint Security - 3
  Kaspersky Security - 2
  F.A.C.C.T. Business Email Protection - 1
  CloudLinux Imunify360 - 1
  Другие 0

  UserGate UTM - 3
  Kaspersky Industrial CyberSecurity (KICS) - 1
  BI.Zone CESP (Cloud Email Security & Protection) - 1
  Другие 0