Компания Appercut Security объявила о выходе на российский рынок. Она была зарегистрирована ее основателем и генеральным директором Рустэмом Хайретдиновым в Канаде в 2009 г. для создания облачного сервиса Appercut Custom Code Scanner (ACCS), который позволяет сегодня пользователям широкого спектра программных приложений самостоятельно и оперативно анализировать исходные коды ПО на предмет обнаружения в них уязвимостей, нарушений корпоративных стандартов информационной безопасности (ИБ) и требований регуляторов.
С нынешнего года Appercut Security входит в группу компаний InfoWatch. В России и странах ближнего зарубежья ACCS будет продвигаться под маркой InfoWatch Appercut Security в рамках партнерской программы с ведущими системными интеграторами.
Основу технологии ACCS представляет поисковая система (собственная разработка компании), обрабатывающая компьютерные программы не как структуры, а как текст и отыскивающая в нем заданные пользователем образцы. При этом преследуется цель делать это максимально быстро и просто. Образцы для поиска выбираются из базы знаний сканера, которая пополняется благодаря деятельности аудиторов программных кодов, занимающихся анализом ПО на предмет обнаружения в нем фрагментов программ, обладающих теми или иными свойствами, прежде всего представляющими собой уязвимости.
Appercut Security использует как готовые наработки аудиторов, работающих в сторонних структурах, так и результаты работы аудиторов, привлекаемых непосредственно в компанию. База знаний может пополняться также оригинальными образцами, предлагаемыми самими заказчиками. Результатом функционирования ACCS является отчет, содержащий перечень обнаруженных заявленных к поиску (прежде всего представляющих опасность с позиции ИБ) программных фрагментов с указанием возможных последствий их использования и способов исправления кода.
По словам г-на Хайретдинова, ACCS в состоянии находить примерно 70% из нескольких десятков существующих классов ошибок программирования. Количество пропущенных программных ошибок и ложных срабатываний системы, как он считает, зависит от степени отработанности аналитиками кодов, написанных на конкретном языке программирования. При этом образцы кодов, включенные в базу знаний, обнаруживаются с вероятностью 100%.
Согласно классификации Gartner сервис ACCS следует отнести к классу продуктов Static Application Security Testing (SAST, статическое тестирование безопасности приложений). В 2010 г. Gartner оценивала объем мирового рынка SAST в 150 млн. долл. с ежегодным ростом на 25—30%. Отметим, что с нынешнего года SAST-продукты включены компанией Gartner в класс Dynamic Application Security Testing (DAST, динамическое тестирование безопасности приложений).
Вместе с тем и SAST, и DAST являются средствами разработки ПО, в то же время Appercut Security позиционирует свой продукт как средство обеспечения ИБ, ориентированное на использование ИБ-специалистами.
Рустэм Хайретдинов не согласен с аналитиками, которые утверждают, что с развитием облаков количество программистов в мире будет сокращаться, и, стало быть, у ACCS может оказаться короткий срок жизни. Его наблюдения говорят об обратном. Уход ИТ в облака и подключение к Интернету все более расширяющегося спектра самых разных устройств никак не уменьшают количество работающих программ. При этом растет число узкоспециализированных языков программирования — примерно раз в месяц появляется новый язык, и написанные на каждом из них коды тоже нуждаются в аудите. Известно, что ошибка в ПО, обнаруженная на стадии эксплуатации, обходится на два порядка дороже, чем ошибка, пойманная на стадии разработки.
Согласно наблюдениям г-на Хайретдинова, внутренние разработки ПО очень распространены не только в России, но и во всем мире: основная часть программистов, как ни странно, занимается не созданием промышленных тиражных продуктов, а программированием для внутрикорпоративных потребностей. Например, в Национальном банке Канады программистов больше, чем в корпорации Microsoft; в “Лаборатории Касперского” трудится семьсот разработчиков, а в Федеральной налоговой службе России их около двух тысяч.
Все владельцы частных узкоспециализированных программных разработок, создаваемых этой многомиллионной армией программистов на самых разных языках программирования, являются потенциальными клиентами ACCS, поскольку они заинтересованы в том, чтобы доставшиеся им программные коды были максимально безопасны.
По словам г-на Хайретдинова, в Канаде ACCS функционирует именно как облачный сервис, у которого в настоящее время несколько десятков подписчиков, относящихся к компаниям среднего и малого бизнеса. Однако попытки продвигать ACCS как сервис, предпринятые в России, сказал он, не выявили спроса на облачную форму предоставления функционала ACCS: российские заказчики предпочли ACCS в виде продукта, развертываемого внутри корпоративной ИТ-инфраструктуры. На разработку такого варианта сканера у Appercut Security ушло около года.
Как сообщил г-н Хайретдинов, российские пользователи DLP-системы InfoWatch Traffic Monitor Enterprise (а это крупные компании, относящиеся к различным бизнес-сегментам) охотно откликаются на предложение купить ACCS в виде продукта, а не сервиса, при этом заказчиками сканера внутри компаний выступают те же специалисты, через которых туда пришла DLP-система. Использование канала продаж компании InfoWatch для продвижения ACCS, как считают в ГК InfoWatch, выгодно и для Appercut Security, и для InfoWatch, поскольку за счет скидки на продукт компания будет получать прибыль от собственных продаж, а также будет иметь долю в дивидендах Appercut Security.
Стоимость продукта, по словам г-на Хайретдинова, зависит от количества затребованных пользователем языковых картриджей, включающих соответствующие базы знаний. По данным Appercut Security, за короткий период с марта 2012 г. по настоящее время в России продано пять сканеров на сумму около 2 млн. долл. Согласно прогнозам на будущий год, в России планируется примерно пятьдесят продаж системы ACCS (потенциальными заказчиками выступают в основном банки, телекоммуникационные компании и государственные организации) на общую сумму от 5 до 10 млн. долл. в зависимости от экономической ситуации в мире и стране.