با Vicarius- سگ ساعت شما در برابر برنامه های کاربردی نرم افزار آسیب پذیر آشنا شوید


من ویكاریوس را با دو دوست در ماه مه 2016 تأسیس كردم. همه ما تجربه كار با سایر بنگاههای امنیت سایبری را داریم و همه ما متعهد هستیم كه بهترین بستر امنیتی اطراف خود را بسازیم. چشم انداز ما این است که از هر برنامه نرم افزاری محافظت کنیم, بدون داشتن کد منبع, پست نصب و راه اندازی.

چالش در مورد برنامه های کاربردی نرم افزاری چیست ، و چگونه Vicarius Topia به شما کمک می کند?

بسیاری از راه حل های امنیتی موجود امروز با ادغام ویژگی های امنیتی در چرخه توسعه نرم افزار (SDLC) کار می کنند. این در واقع به این معنی است که توسعه دهندگان پلاگین هایی را به سیستم های ادغام مداوم (CI / CD) خود برای مبارزه با آسیب پذیری اضافه می کنند. با این حال ، با وجود صدها تهدید جدید روز, اساساً این امر برای توسعه دهندگان نرم افزار غیرممکن است. در نتیجه ، کاربران به هدفهای آسان برای مهاجمین تبدیل نمی شوند و هیچ جایی برای تبدیل شدن به آن وجود ندارد. Topia Vicarius با اجرای طرف مشتری ، فروشندگان را از تصویر به طور کامل حذف می کند. با استفاده از این مدل ، هنگامی که شرکتها به ناچار نتوانند لکه های آسیب پذیری را ارائه دهند ، کاربران مجبور نیستند منتظر ارائه راه حل برای آنها باشند. توپیا از مشکل خبر داشت و قبل از وقوع حمله آن را حل کرده بود. سرپرست IT در سراسر جهان دقیقاً به همین دلیل از ویكاریوس استفاده می كنند - آنها هرگز كاهش نمی یابند و دوباره به خطر نمی افتند.

آیا در نحوه اداره نرم افزارهای منبع باز و اختصاصی تفاوت وجود دارد؟?

نه واقعا. ما به نرم افزار به عنوان یک جعبه مشکی بسته شده پر از gibberish کامپایل شده نگاه می کنیم - باعث تفاوت می شود. ما به جای خواندن کد ، ما روی مصنوعات تغییرناپذیر که در حال حاضر روی دارایی های مشتری نصب و اجرا شده اند تمرکز می کنیم.

ما حملات کنترل شده را بر روی نرم افزار آلوده انجام می دهیم تا بفهمیم کدام بخش مورد سوءاستفاده قرار می گیرد. در مرحله بعد ، ما با نتایج به دست می آوریم و در برنامه هایی که هنوز مورد حمله قرار نگرفته اند ، آنها را جستجو می کنیم.

پس از آن ، ما آسیب پذیری ها را در رابطه با پتانسیل آنها برای صدمه زدن به یک سیستم قرار می دهیم و به مشتریان این امکان را می دهیم تا درک کنند ارتباط بین آسیب پذیری و استثمار.

به عنوان مثال ، اگر دارید مربوط به شبکه آسیب پذیری در دارایی که اجازه نمی دهد شبکه دسترسی به آن داده می شود پایین اولویت بندی ، زیرا نسبتاً بی ضرر است.

ما با استفاده از Topia ، ما قصد داریم تا مسئله را به طور کامل حل کنیم: از پیش بینی ، از طریق اولویت بندی ریسک ، و همه راه های محافظت.

پس از تشخیص ، اطلاعات در اختیار مدیر IT قرار می گیرد ، که این مشکل را تأیید می کند. بینش های سفارشی ما بسته به شدت نقض و احتمال تاثیر آن بر دارایی های مهم ، هشدارهای مختلفی ارائه می دهند. سرپرست فناوری اطلاعات پس از آن می تواند انتخاب کند که آیا مشکل را بطور مستقل حل کند یا از سرویس وصله گیری ما استفاده کند.

چگونه ویکاریوس با تهدیدهای ناشناخته مقابله می کند?

ما تجزیه و تحلیل استاتیک و پویا را در بایناری های طرف مشتری انجام می دهیم ، سعی می کنیم آنچه را که هر قسمت از نرم افزار قصد دارد انجام دهد بفهمیم. سپس الگوریتم یادگیری ماشین-الگوی جستجو را اجرا می کنیم و می بینیم آیا چیزی وجود دارد که شبیه تهدیدهای شناسایی شده قبلی باشد یا خیر؟.

چگونه ویکاریوس دارای نکات مثبت کاذب است?

سیستم مکانهای آسیب پذیر را در نرم افزار پیدا می کند و فرآیندهای اجرای آن و همچنین منابعی که از آن استفاده می کند را جدا می کند. به طور کلی ، هنگامی که یک نرم افزار دارای فرآیندهای معتبر و کتابخانه ها (دسترسی DLL در فایلهای Windows یا SO Linux) دسترسی به آن محدود خواهد بود مگر اینکه یک استثناء منحصر به فرد وجود داشته باشد. به عنوان مثال اگر شما یک Active Directory یا یک سرور SQL دارید ، و کسی در تلاش است تا یکی از ماژول های آن را دستکاری یا سوءاستفاده کند ، بیشتر ابزارهای امنیتی پاسخی نخواهند داشت. از نظر مثبت کاذب ، فرآیند جداسازی نرم افزار با بهترین روش های توسعه نرم افزار همراه است ، به این معنی که هیچ چیزی نباید به خطر بیفتد.

چه می توانید در مورد برنامه های آینده ویکاریوس برای ما بگویید?

در حال حاضر با حدود 1.5 میلیون دلار بودجه دور بذر خود را می پیچیم. گام بعدی ما افزایش پشتیبانی از محصول ما با پشتیبانی از چندین سیستم عامل است. ما همچنین می خواهیم از زبان های برنامه نویسی بیشتری مانند Java ، JS و Python پشتیبانی کنیم ، بنابراین می توانیم برای هر نوع نرم افزار نرم افزار راه حل ارائه دهیم.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me