4, август 2015  —  Компания Positive Tеchnologies предлагает рынку уникальное отечественное решение для защиты информационного взаимодействия бизнес-приложений, которое расширяет возможности PT Application Firewall при работе с разрозненными системами заказчиков. Передовые компоненты модуля защиты XML-трафика позволяют повысить безопасность внутренних и внешних бизнес-процессов, значительная часть которых осуществляется с помощью XML.

Протоколы, использующие XML (SOAP, HTTP и другие), применяются сегодня для взаимодействия приложений в самых различных отраслях — в энергетике, госуправлении, телекоммуникациях, образовании, в банках, здравоохранении и на транспорте. Благодаря универсальности и гибкости XML, сервис-ориентированные платформы помогают связывать воедино разнородные приложения и службы, решая внутри- и межкорпоративные проблемы интеграции.

Распространенность XML в критически важных узлах инфраструктуры (ERP, АСУ ТП, АБС, порталах государственных услуг, системах межведомственного взаимодействия) делает уязвимости этого языка особенно опасными. К примеру, в 2014 году, по статистике Positive Technologies, критически опасная уязвимость «Внедрение внешних сущностей XML» была обнаружена почти в половине систем ДБО (в 46%). Воспользовавшись такой ошибкой, злоумышленник может получить содержимое файлов на атакуемом сервере посредством внедрения произвольного XML-кода.

Противодействовать подобным атакам на веб-сервисы будет новый модуль защиты XML в системе PT Application Firewall. Он позволяет обнаружить несанкционированные и вредоносные включения в содержимом XML-сообщений, проводить валидацию и профилирование SOA-вызовов и XML-сообщений. При анализе XML используются механизмы автоматического самообучения, что значительно уменьшает вероятность эксплуатации уязвимостей.

Вторая важная особенность нового решения заключается в возможности управления доступом пользователей и анализа их поведения. Администратор системы может разграничить права доступа внутренних или внешних пользователей в соответствии с политикой организации, блокировать нелегитимные или ошибочные запросы с их стороны.

Олег Матыков, руководитель отдела проектных решений Positive Technologies: «Интеграция приложений как с внутренними, так и с внешними системами — важнейшая задача для любого предприятия. Сервисные шины и SOA-платформы сегодня являются своеобразным мостом между разрозненными "островами": страховые сервисы взаимодействуют с банковскими, промышленные системы управления — с системами управления предприятиями, центральные подразделения организации автоматизируют работу с филиалами и т. д. В информационном обмене между различными службами XML-транспорт занял одну из доминирующих ролей, что заставляет обратить пристальное внимание на специфические проблемы безопасности. Решение, которое мы предлагаем, позволит защищать информационное взаимодействие распределенных сервисов любого уровня сложности как внутри организации, так и за ее пределами».

О компании

Positive Technologies — лидер в   области противодействия кибератакам. Ее штаб-квартиры расположены в   Москве, Лондоне, Бостоне. Основные направления деятельности Positive Technologies: изучение современных угроз безопасности, выработка подходов и   создание продуктов и   услуг для борьбы со взломом информационных систем. Деятельность компании лицензирована ФСТЭК и   ФСБ. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня по   вопросам защиты информационных систем промышленных объектов, крупнейших банков и   телекомов. Согласно исследованиям мировых аналитических агентств, компания занимает лидирующую позицию по использованию инноваций в разработках своих продуктов: XSpider, MaxPatrol, MaxPatrol SIEM, PT Application Firewall, PT Application Inspector, PT Multiscanner. Positive Technologies активно участвует в формировании индустрии практической безопасности: поддерживает крупнейшие вузы страны в рамках образовательной программы Positive Education, развивает специализированный проект SecurityLab.ru, проводит ежегодный международный форум Positive   Hack   Days. Подробнее о компании — на сайте ptsecurity.ru.