Дмитрий Воронцов, руководитель отдела защиты приложений, ГК «А101»: AppSec в России развивается, но уровень зрелости пока неоднороден

Как внедрить безопасность в разработку, не замедляя бизнес-процессы? Этот вопрос стоит особенно остро, когда речь идет о масштабной экосистеме с порталами для клиентов, CRM, мобильными приложениями и пр.

Своим опытом Дмитрий Воронцов, руководитель отдела защиты приложений ГК «А101», поделился на Айдентити Конф 2025. А в интервью для Cyber Media эксперт рассказал, как строительный гигант на практике защищает свои цифровые активы.

Cyber Media: Тот факт, что у компании-застройщика есть отдел защиты приложений - это, конечно, знаковая примета нашего времени. Расскажите, с какими задачами вы сталкиваетесь в своей работе? Какие приложения защищаете?

Дмитрий Воронцов: В нашей компании мы отвечаем за безопасность всех цифровых решений, используемых в процессе реализации проектов.

Это включает:

• Порталы для внутренних и внешних клиентов, обладающих функциями управления счетами, просмотром документов, подачей заявок, оплатой и т. д. Здесь мы защищаем API и веб-интерфейсы с использованием WAF, реализуем проверку входных данных (например, XSS, CSRF) и защищаем с помощью механизма OAuth2 и OpenID Connect.
• Внутренние системы управления проектами и документами, системы, где ведется конфиденциальная информация, требующая шифрования данных на уровне базы (AES-256), а также внедрения строгих политик доступа (RBAC).
• Мобильные приложения для дольщиков и подрядчиков - мы используем шифрование данных в движении (TLS 1.3), проверяем безопасность API через интеграцию с системами SAST и DAST. Также реализуем анализ безопасности мобильных приложений, например, с помощью MobSF, чтобы обнаружить уязвимости типа reverse engineering или утечки данных.
• CRM-системы и интеграционные платформы - обеспечиваем безопасность через API Gateway, внедряя OAuth 2.0, JWT, защищая ключи доступа и внедряя механизмы rate limiting для предотвращения DDoS и автоматизированных атак.

После внедрения автоматических сканеров и обучения команда начала самостоятельно писать безопасный код, что значительно снизило количество ошибок безопасности и повысило доверие руководства

Cyber Media: Как бы вы оценили уровень AppSec в России на данный момент? Насколько зрелый у нас рынок? Есть ли понимание со стороны компаний, что процессы разработки нужно защищать, хватает ли им инструментов?

Дмитрий Воронцов: Ситуация в России развивается, но уровень зрелости пока неоднороден. В крупных компаниях, таких как А101, мы видим внедрение DevSecOps практик, автоматизацию тестирования безопасности и интеграцию инструментов (например, SAST, DAST, WAF, IAM). Но у небольших предприятий зачастую отсутствует системный подход, отсутствуют автоматические проверки и обучение команд.

В одном случае, мы столкнулись с проектом, где безопасность оставляли на последнем этапе, что привело к обнаружению уязвимости типа XSS на этапе внедрения. Тогда исправление заняло больше времени и ресурсов.

В целом, рынок движется к большей зрелости, но всё еще есть много работы по автоматизации и внедрению стандартов, таких как OWASP Top Ten, PCI DSS, ISO 27001.

Cyber Media: Как вам удаётся соблюсти баланс скорости и безопасности, чтобы встроить безопасность в быструю разработку, не создавая препятствий для бизнеса? Поделитесь инструментами и практическими подходами?

Дмитрий Воронцов: Главная стратегия - это автоматизация и интеграция безопасности в CI/CD:

• используем автоматические сканеры SAST и DAST в пайплайнах (например, SonarQube, Burp Suite, ZAP). Они запускаются при каждом коммите или релизе, что позволяет выявлять уязвимости на ранних этапах;
• внедряем инструменты Infrastructure as Code (IaC) с автоматической проверкой конфигураций (Terraform, CloudFormation), чтобы избежать ошибок в настройках инфраструктуры, например, открытых портов или неправильных правил безопасности;
• используем контейнеризацию (Docker, Kubernetes) с встроенными мерами безопасности, такими как сканирование образов (Clair, Trivy);
• обучаем разработчиков Secure Coding Practices, внедряя стандарты и чек-листы, например, OWASP Secure Coding Practices.

В качестве кейса: автоматическая проверка кода на уязвимости снизила время исправления критических ошибок с недель до дней, что позволило выпускать продукты быстрее и безопаснее.

В целом, рынок движется к большей зрелости

Cyber Media: Компания-застройщик работает с огромным количеством подрядчиков, партнёров и покупателей. Как в вашей экосистеме устроена защита идентичности? Сталкиваетесь ли вы с уникальными рисками, связанными именно с моделью бизнеса, например, с управлением доступом дольщиков или интеграцией с CRM подрядчиков?

Дмитрий Воронцов: В системе IAM реализованы многофакторная аутентификация (MFA), роль-based access control (RBAC) и принцип минимальных привилегий. Для доступа к внутренним системам используется OAuth2, а для внешних - OpenID Connect, интегрированный с внешними провайдерами SSO.

Для управления доступом к информации мы внедрили сегментированные роли, а также автоматические проверки прав доступа при изменениях, что помогло исключить случаи несанкционированного доступа.

Особенность здесь следующая, это необходимость управлять доступом сторонних подрядчиков и партнеров через API Gateway, где реализованы лимитирование, мониторинг и автоматическая блокировка подозрительной активности.

Риски при этом остаются в случае интеграции с CRM сторонних компаний мы сталкивались с уязвимостями через неправильную настройку API, что использовалось для обхода ограничений. Поэтому мы усилили проверку токенов и внедрили механизмы мониторинга API.

Cyber Media: Современная разработка - это микросервисы, API, мобильные приложения. С какими неочевидными для стороннего наблюдателя угрозами вы сталкиваетесь в архитектуре современных digital-продуктов?

Дмитрий Воронцов: Я бы даже сказал, что есть скрытые угрозы. Среди них выделю:

1. API-ускорения атак отсутствие должной защиты API-интерфейсов, что приводит к возможности автоматизированных брутфорсов, API-инъекций и утечек данных.
2. Обнаружение и reverse engineering мобильных приложений: злоумышленники используют инструменты типа Frida или jadx для анализа кода, чтобы найти секретные ключи или обойти аутентификацию.
3. Микросервисы и их межсервисное взаимодействие: неправильная настройка TLS или отсутствие проверки сертификатов увеличивают риск MITM-атак.
4. Управление секретами: неправильное хранение ключей и сертификатов (например, в репозиториях) создает уязвимость.

В одном проекте злоумышленники использовали автоматизированный скрипт для перебора API, что привело к DDoS-атаке. Мы внедрили rate limiting и механизмы аутентификации с использованием JWT с коротким сроком действия, что снизило риск.

Cyber Media: AppSec - это не только технологии, но и культура. Как вы «продаёте» безопасность разработчикам, представителям бизнеса, руководству, прочим участникам процесса? Можете привести пример успешного изменения культуры в команде, когда разработчики сами начали думать о безопасности?

Дмитрий Воронцов: Самое важное - демонстрировать ценность через реальные кейсы и показатели.

Например, интеграция безопасности в процессы: так, мы внедрили автоматическую проверку кода в CI/CD пайплайнах. Например, команда увидела, что автоматическая проверка выявила критическую уязвимость еще до релиза, что повысило ответственность и интерес.

Очень важна обратная связь, мы показываем разработчикам, как исправление уязвимостей повышает репутацию и уменьшает риск штрафов или потери данных.

После внедрения автоматических сканеров и обучения команда начала самостоятельно писать безопасный код, внедрила практики threat modeling при проектировании новых функций, что значительно снизило количество ошибок безопасности и повысило доверие руководства.