Кодовая подпись: актуальные проблемы

Приложения, входящие в программное обеспечение, так же, как и другое цифровое оборудование, уязвимы к вмешательству. Входят ли приложения в пакет с коммерческими продуктами или созданы вашими собственными разработчиками на заказ, - над программным обеспечением все больше нависают высокотехнологичные постоянно существующие угрозы (APT). Используя модификации в программном обеспечении, взломщики используют приложения в криминальных целях – они стремятся украсть чувствительные данные, такие, как, например, записи о клиентах или интеллектуальную собственность. В попытках защитить свой бизнес, бренды, партнеров и пользователей от программ, которые заражены вредоносными программами, разработчики программного обеспечения приняли практику, известную, как кодовые подписи. . Техника «кодовые подписи» является применением криптографии открытого ключа; кодовые подписи – это специфическое использование сертификата, выданного на основе цифровых подписей, который позволяет организации проверить издателя данного программного обеспечения и удостовериться в том, что это программное обеспечение не было изменено со времени его издания. Но если техника «кодовые подписи» является эффективной мерой для удостоверения в подлинности программного обеспечения, то и сам процесс добавления кодовых подписей должен быть защищен. Для предотвращения использования взломщиками поддельных кодовых подписей для скрытия измененного ими кода, организации должны принимать меры для защиты процесса создания этих цифровых подписей. По многим причинам наладить процесс построения доверия в бизнес-приложениях становится со временем всё труднее: 

  • В связи с тем, что виртуализация приносит с собой гибкость, динамическое развитие и отмену диалоговых инстанций приложений, повышается необходимость в тщательной проверке целостности
  • В условиях распространения облачных сервисов разработчики программного обеспечения нуждаются в обеспечении целостности своего программного обеспечения, когда оно выполняется в облачной среде, над которой их контроль минимален.
  • Рост угроз APT заставляет производителей программного обеспечения создавать высоконадежный процесс кодовых подписей, который в некоторых случаях может нуждаться в адаптации для обеспечения соответствия региональным стандартам безопасности и требованиям сертифицирующих органов.
  • Технологические революции, проявлениями которых явились смартфоны и мини-планшеты («таблетки»), появление «экономики хранения приложений» и применение интеллектуальных соединенных между собой устройств, всё в большей степени повышает в области ИТ долю бизнеса, который обитает и выполняется на небезопасных устройствах в ненадежных местах.

Риски

  • Угрозы APT могут привести к тому, что взломщики возьмут контроль над вашим программным обеспечением, чтобы украсть информацию о клиентах или интеллектуальную собственность.
  • Если не обезопасить процесс добавления кодовых подписей, это может создать обманчивое ощущение безопасности, в то время как в распоряжении взломщиков будет находиться механизм скрытия следов своей преступной деятельности.
  • Поддельные кодовые подписи будут иметь далеко идущие последствия и могут повредить репутации фирмы и испортить бизнес больше, чем изолированные попытки вмешательства в программное обеспечение
  • Слишком громоздкий процесс добавления кодовых подписей может связать ценные технические ресурсы и повысить ваши расходы.

Кодовая подпись: решения компании Thales e-Security

Это решение компании Thales по добавлению кодовых подписей было разработано для организаций, крупных и мелких,торгующих программным обеспечением, и для предприятий, которые разрабатывают свои собственные коды; это решение компании Thales по добавлению кодовых подписей является универсальным решением, которое позволяет вам выполнять высоконадежные и высокоэффективные процессы по добавлению кодовых подписей в целях защиты вашего программного обеспечения от вмешательства; это решение также служит вам руководством по мере того, как вы набираетесь опыта в публикации своего программного обеспечения. Решение компании Thales по добавлению кодовых подписей поддерживает ряд сценариев авторизации, и вы можете выбрать тот, который соответствует нуждам вашей организации, включая автоматизированные рабочие потоки запросов и разрешений; процесс добавления кодовых подписей опирается на исключительный опыт компании Thales e-Security, ее знание наиболее эффективных способов добавления кодовых подписей, а также осведомленность компании в ситуации с вновь появляющимися стандартами из разряда «due care». Аппаратные защитные модули предоставляют стойкую к вмешательству сертифицированную защиту для ключей защиты процесса добавления кодовых подписей и безопасную платформу, на которой эти важные процессы по добавлению цифровой подписи могут выполняться.

Преимущества:

  • Защищает вашу компанию, партнеров и пользователей от потенциального риска, связанного с вмешательством в программное обеспечение.
  • Быстро и безопасно выполняет процесс добавления кодовых подписей, соответствующих размеру и сфере действия вашей организации.
  • Максимизирует безопасность за счет стойкости к вмешательству и опоре на дизайн аппаратных средств.
  • Упрощает и упорядочивает процесс добавления кодовых подписей с помощью возможностей автоматизации рабочего потока.
  • Сокращает риск за счет работы с экспертом и использования наиболее эффективных способов добавления кодовых подписей.
  • Применяет высоконадежные решения, благодаря которым поднимется статус вашей организации как выполняющей требования существующих постановлений и стандартов безопасности, а также вновь возникающих стандартов «due care».