Orion soft совместно с CICADA8 запустил программу регулярного анализа защищенности экосистемы ПО

Практика расследования инцидентов показывает, что компрометация через потенциальные уязвимости в ИТ-системах по-прежнему остается значимой киберугрозой для бизнеса. Поэтому в Orion soft выстроен комплексный процесс безопасной разработки инфраструктурных продуктов. Он включает как применение современных практик DevSecOps, так и участие в программах по поиску уязвимостей (bug bounty). Теперь эти меры будут дополнены регулярными пентестами всей продуктовой линейки, которые будут проводить эксперты      CICADA8.

«Благодаря комплексу внутренних проверок мы достигаем полной прозрачности состояния компонентов наших решений, исключаем человеческий фактор и можем оперативно реагировать на обнаружение ошибок. Но этого становится недостаточно, когда продукт набирает обширную базу заказчиков, как, например, виртуализация zVirt, которой пользуются более 700 компаний. Мы уже разместили нашу платформу виртуализации на платформе Standoff Bug Bounty, а теперь заключили соглашение о партнерстве с CICADA8, чтобы проводить регулярный анализ защищенности для всех наших продуктов. Это поможет значительно усилить безопасность нашей экосистемы решений и обеспечить заказчикам соблюдение строгих требований по защите инфраструктуры», – рассказал Максим Березин, директор по развитию бизнеса Orion soft.

В рамках проекта CICADA8 будет на регулярной основе проводить анализ защищённости продуктов zVirt, StarVault, Nova, Termit и Cloudlink. Эксперты будут проводить проверки по мере выхода релизов и в формате повторного анализа для оценки динамики изменений.

По итогам каждого этапа CICADA8 формирует детализированный отчёт с описанием выявленных уязвимостей, сценариев их возможной эксплуатации и практическими рекомендациями по их устранению. Благодаря этим отчетам команда Orion soft сможет оперативно устранять обнаруженные недостатки и учитывать результаты тестирования при дальнейшем развитии решений.

Регулярные пентесты дополнят выстроенный в компании процесс DevSecOps, позволяя оценивать продукты не только с точки зрения внутренних процедур и инструментов, но и с позиции реального злоумышленника. Такой формат контроля защищенности даст возможность последовательно анализировать развитие архитектуры и функциональности продуктов, глубже исследовать поверхность атаки и проверять устойчивость реализованных мер защиты от релиза к релизу.

«Классический пентест и работы по анализу защищенности актуальны даже при наличии программы Bug Bounty: они предполагают более глубокое погружение в архитектуру и плотное взаимодействие с командой разработки, что позволяет прорабатывать сценарии, выходящие за рамки публичной программы. При этом регулярность тестирований позволит исследователям детально изучить контекст и благодаря этому сделает анализ максимально точным и предметным», – комментирует Алексей Хайдин, руководитель отдела анализа защищенности CICADA8.