В PT BlackBox 2.5 появились администрирование ролей и возможность сканирования API

Positive Technologies представила новую версию динамического анализатора приложений, сканера безопасности, работающего методом черного ящика, — PT BlackBox 2.5. Среди важных изменений — появление ролевой модели, позволяющей разграничить права доступа пользователей к функциям продукта, а также возможность сканирования API.

Ролевая модель доступа необходима для эффективной и удобной работы любой команды с ИТ и ИБ-продуктами. Каждый сотрудник получает доступ ровно к тем возможностям, которые нужны для выполнения задач. Таким образом решается вопрос информационной безопасности. Все сканирования в PT BlackBox привязаны к группе, внутри которой есть три роли: аудитор (просматривает проекты и отчеты), оператор (изменяет настройки проекта, запускает и останавливает сканирования) и модератор (управляет проектами, сканированиями и профилями внутри группы). Все эти настройки вынесены в раздел "Администрирование".

Вторая ключевая особенность PT BlackBox 2.5 — сканирование API на основе OpenAPI версии 3. Авторизация реализуется с помощью токена для целей сканирования или через куки. Киберпреступники часто используют уязвимости API как точки входа в периметр корпоративной сети. Новая версия продукта дает возможность защитить цепочку взаимодействий пользователя с клиентским приложением.

"Из-за повсеместной работы с SPA (single-page app, одностраничные приложения) и развития парадигмы API-first проверка API приложений становится как никогда актуальной, — рассказывает руководитель отдела обеспечения качества продуктов application security в Positive Technologies Олег Халаджиев. — Недостаточно проверить веб-интерфейс и найти доступные точки атаки на „внешнем" бэкенде. Запросы пользователей и потенциальных атакующих могут проходить по цепочке сервисов, и отследить такую атаку классическим методом черного ящика становится все сложнее. Поэтому мы предлагаем разработчикам поучаствовать в проверке своих приложений с помощью корректно и подробно заполненной API схемы. Так мы продолжаем наш трек про то, что безопасная разработка — это несложно".

Получить новый функционал можно уже сейчас, для этого необходимо обновить PT BlackBox до версии 2.5.

^{Positive Technologies — лидер рынка результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Наши технологии используют более 3300 организаций по всему миру, в том числе 80% компаний из рейтинга "Эксперт-400".}

^{Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI), у нее более 170 тысяч акционеров.}

^{Следите за нами в соцсетях (Telegram, ВКонтакте, Twitter, Хабр) и в разделе "Новости" на сайте ptsecurity.com, а также подписывайтесь на телеграм-канал IT's positive investing.}