Croc

Стоит ли жертвовать скоростью DevOps, чтобы обеспечить безопасность мобильных приложений

Стоит ли жертвовать скоростью DevOps, чтобы обеспечить безопасность мобильных приложений Стоит ли жертвовать скоростью DevOps, чтобы обеспечить безопасность мобильных приложений Стоит ли жертвовать скоростью DevOps, чтобы обеспечить безопасность мобильных приложений
22.09.2022

Весь мир становится мобильным: сегодня практически у каждой компании есть свое приложение. Эта тенденция объясняется тем, что современная аудитория предпочитает удобство, любит общаться и высказывать собственное мнение, ожидает оперативные ответы на вопросы и ценит свое время. Мобильные приложения - как раз тот инструмент, с помощью которого компании могут удовлетворить потребности клиентов и сблизиться с ними. Популярность таких программ у аудитории подтверждает статистика: за 2021 год пользователи провели в мобильных приложениях 3,8 трлн часов — это рекорд, в день они тратили примерно по 4,8 часа.

Сегодня компании стремятся идти в ногу с тенденцией популярности приложений и разрабатывают ПО в ускоренном режиме. Количество мобильных программ во всем мире увеличивается каждый месяц. К примеру, в App Store за этот период публикуется свыше 30 тыс. программ, а в Google Play еще больше — около 100 тыс. Акцентируясь на оперативности, организации нередко не уделяют должного внимания безопасности, за счет чего сокращается time-to-market. Однако, таким образом нарушается баланс между надежностью цифровых сервисов и временем их выхода на рынок. В этой статье Андрей Красовский, директор по маркетингу Swordfish Security, разберется, как сегодня обстоят дела с безопасностью российских мобильных приложений и какие инструменты помогут повысить уровень защищенности ПО, не нарушая сроков их поставки на рынок.

Безопасность мобильных приложений: ситуация на российском рынке

За первую половину 2022 года число кибератак на российские критические инфраструктуры увеличилось в 1,5 раза, а на компании из финансового, нефтяного и энергетического сектора — в 1,7 раза, по сравнению с аналогичным периодом 2021 года. Под удар также попали госсектор, ритейл, страховая отрасль и логистическая сфера. Данная тенденция коснулась и мобильных приложений — за этот же период число атак на API выросло на 200%.

В настоящее время хакеры имеют много шансов на успех. По данным экспертов Стингрей Технолоджиз, около 70% российских приложений не проверялись на безопасность, при этом более 80% из них имеют хотя бы одну уязвимость. Чтобы совершить атаку, злоумышленники зачастую ищут слабые места в программах, а потом используют их для того, чтобы, например, украсть данные пользователей или нарушить работу приложений.

Одна из причин низкого уровня защищенности приложений заключается в том, что многие компании-разработчики используют схему с одним бэкендом для мобильных и веб-версий — это экономит ресурсы. Мобильным программам уделяется недостаточно внимания в плане безопасности, поэтому они выходят на рынок с большим количеством уязвимостей.

Также организации в последнее время стали чаще использовать компоненты Open Sourse, чтобы не писать весь код с нуля и тем самым значительно сэкономить время. Но этот подход имеет и минусы — в таких фрагментах могут быть уязвимости. По данным Swordfish Security, 33% российского ПО, созданного на базе Open Source, имеет критические уязвимости. Таким образом, чтобы сократить количество ошибок, нужно тщательно проверять не только новый код, написанный командой, но и использованные компоненты открытого исходного кода.

Для решения проблем в области ИБ существуют индустриальные стандарты безопасности, например:

  • GDPR (General Data Protection Regulation) — европейский стандарт по защите данных;
  • PCI DSS (Payment Card Industry Data Security Standard) — стандарт информационной безопасности для финансовых организаций, которые работают с платежными картами;
  • OWASP MASVS (Open Web Application Security Project Mobile Application Security Verification Standard) — стандарт безопасности мобильных приложений;
  • OWASP Mobile Top-10 — открытый проект для обеспечения безопасности мобильных приложений.

Соблюсти все требования стандартов и повысить уровень защищенности мобильных приложений без замедления скорости DevOps вполне реально, если придерживаться определенного подхода.

Инструменты для обеспечения безопасности мобильных приложений

Чтобы решить проблему защищенности на практике в компании, занимающейся разработкой, необходимо внедрить инициативу по безопасности приложений (Application Security Initiative, сокращенно — AppSec Initiative). AppSec-инициатива задействует задачи ИБ на различных этапах жизненного цикла разработки ПО (Software Development Life Cycle, SDLC). Первым шагом к ее воплощению в жизнь является создание команды SSG. Эта группа специалистов будет обеспечивать безопасность в контексте разработки конкретных продуктов компании, организовывать и внедрять DevSecOps-фабрики по производству ПО, наращивать экспертизу в области ИБ в команде разработки.

Для реализации AppSec-инициативы компании понадобятся специальные инструменты, которые позволят обеспечить безопасность мобильных приложений. В последние годы их параметры и возможности значительно усовершенствовались. На сегодняшний день технологический стек для мобильных программ включает в себя:

  • Инструменты тестирования безопасности мобильных приложений (Mobile Application Security Testing, MAST) — сканируют приложения на наличие уязвимостей;
  • Платформы Application Security Orchestration and Correlation (ASOC), которые интегрируют практики MAST с инструментами разработки ПО и выполняют консолидацию и корреляционный анализ уязвимостей, обнаруженных методами MAST;
  • Инструменты защиты приложений, обеспечивающие безопасность во время промышленной эксплуатации.

С помощью практик MAST можно находить в мобильных приложениях уязвимости различной степени сложности и подтверждать их эксплуатацию, а также проверять программы на соответствие стандартам. Комплекс MAST включает в себя инструменты, анализирующие исходный код (SAST, OSA, SCA), и практики, работающие без доступа к исходному кода, сканирующие готовую версию приложения в рабочей среде (DAST, API ST, IAST, BCA, BAST, Pentest).

Среди практик MAST есть методы, которые позволяют проводить сканирование в автоматизированном режиме и могут быть бесшовно интегрированы с различными инструментами DevOps. К числу этих практик относятся, например, DAST, IAST, API ST, SAST. При использовании таких методов у компании получится перейти к методологии DevSecOps, в рамках которой сканирование на уязвимости будет включено в процесс CI/CD — это позволит обеспечивать безопасность приложений на скорости DevOps.

Для быстрой интеграции инструментов MAST в CI/CD-пайплайны и перехода от DevOps к DevSecOps были разработаны платформы класса ASOC. Они обеспечивают прозрачное взаимодействие в реальном времени между инженерными командами и экспертами ИБ. Решения ASOC настраивают и реализуют конвейеры безопасности, проводят корреляционный анализ проблем, обнаруженных с помощью инструментов MAST, собирают все полученные данные и формируют на их основе метрики и отчеты.

Если использовать комбинацию нескольких инструментов из технологического стека AppSec с акцентом на переход от DevOps к DevSecOps, это позволит выстроить качественный и надежный процесс анализа продуктов на уязвимости. Компания сможет контролировать безопасность приложений в автоматизированном режиме на всех этапах жизненного цикла разработки ПО, а также находить и устранять уязвимости до того, как продукты выйдут на рынок. Этот подход можно дополнить тестированием на проникновение (Penetration Testing). Оно осуществляется в ручном формате, поэтому его нельзя автоматизировать до уровня, необходимого для интеграции в процесс DevSecOps. Но Pentest в качестве финальной проверки позволит закрепить результаты, выданные другими инструментами. Компании часто передают тестирование на проникновение сторонним организациям, специализирующимся в этой области.

Заключение

Почти четверть компаний-разработчиков, внедряющих инструменты безопасности — это организации, уже столкнувшиеся с хакерскими атаками. Число киберпреступлений в 2022 году увеличивается ежеквартально на 15%, а вместе с ним для каждой компании растет вероятность попасть под удар.

Рациональный выход из сложившийся ситуации видится в заблаговременном решении проблем безопасности. К этой задаче можно подойти системно и внедрить AppSec-инициативу: сформировать ИБ-команду, выбрать из технологического стека мобильных приложений те инструменты, которые соответствуют внутренней «кухне» компании и ее продуктов, встроить их в процесс DevOps и перейти к DevSecOps. В этом случае организация сможет обеспечивать безопасность приложений без замедления сроков их поставки на рынок. Конечно, данный подход потребует времени и ресурсов для реализации, но в дальнейшем он окупится тем, что уменьшит количество киберугроз для компании и поможет ей избежать финансовых расходов на устранение уязвимостей после релиза.

Есть и другое решение — можно точечно внедрять инструменты анализа безопасности в DevOps без переключения на DevSecOps. Многие компании делают это с помощью кастомных интеграций — используют отдельные скрипты, которые, как правило, разрозненны, их сложно поддерживать и модернизировать. Все это приводит к нескончаемым проектам с привлечением внутренних и внешних ресурсов. Такой подход может «заглушить» конкретные угрозы, но не решит все остальные вопросы безопасности.


Комментарии 0