Стоит ли жертвовать скоростью DevOps, чтобы обеспечить безопасность мобильных приложений

Весь мир становится мобильным: сегодня практически у каждой компании есть свое приложение. Эта тенденция объясняется тем, что современная аудитория предпочитает удобство, любит общаться и высказывать собственное мнение, ожидает оперативные ответы на вопросы и ценит свое время. Мобильные приложения - как раз тот инструмент, с помощью которого компании могут удовлетворить потребности клиентов и сблизиться с ними. Популярность таких программ у аудитории подтверждает статистика: за 2021 год пользователи провели в мобильных приложениях 3,8 трлн часов — это рекорд, в день они тратили примерно по 4,8 часа.

Сегодня компании стремятся идти в ногу с тенденцией популярности приложений и разрабатывают ПО в ускоренном режиме. Количество мобильных программ во всем мире увеличивается каждый месяц. К примеру, в App Store за этот период публикуется свыше 30 тыс. программ, а в Google Play еще больше — около 100 тыс. Акцентируясь на оперативности, организации нередко не уделяют должного внимания безопасности, за счет чего сокращается time-to-market. Однако, таким образом нарушается баланс между надежностью цифровых сервисов и временем их выхода на рынок. В этой статье Андрей Красовский, директор по маркетингу Swordfish Security, разберется, как сегодня обстоят дела с безопасностью российских мобильных приложений и какие инструменты помогут повысить уровень защищенности ПО, не нарушая сроков их поставки на рынок.

Безопасность мобильных приложений: ситуация на российском рынке

За первую половину 2022 года число кибератак на российские критические инфраструктуры увеличилось в 1,5 раза, а на компании из финансового, нефтяного и энергетического сектора — в 1,7 раза, по сравнению с аналогичным периодом 2021 года. Под удар также попали госсектор, ритейл, страховая отрасль и логистическая сфера. Данная тенденция коснулась и мобильных приложений — за этот же период число атак на API выросло на 200%.

В настоящее время хакеры имеют много шансов на успех. По данным экспертов Стингрей Технолоджиз, около 70% российских приложений не проверялись на безопасность, при этом более 80% из них имеют хотя бы одну уязвимость. Чтобы совершить атаку, злоумышленники зачастую ищут слабые места в программах, а потом используют их для того, чтобы, например, украсть данные пользователей или нарушить работу приложений.

Одна из причин низкого уровня защищенности приложений заключается в том, что многие компании-разработчики используют схему с одним бэкендом для мобильных и веб-версий — это экономит ресурсы. Мобильным программам уделяется недостаточно внимания в плане безопасности, поэтому они выходят на рынок с большим количеством уязвимостей.

Также организации в последнее время стали чаще использовать компоненты Open Sourse, чтобы не писать весь код с нуля и тем самым значительно сэкономить время. Но этот подход имеет и минусы — в таких фрагментах могут быть уязвимости. По данным Swordfish Security, 33% российского ПО, созданного на базе Open Source, имеет критические уязвимости. Таким образом, чтобы сократить количество ошибок, нужно тщательно проверять не только новый код, написанный командой, но и использованные компоненты открытого исходного кода.

Для решения проблем в области ИБ существуют индустриальные стандарты безопасности, например:

• GDPR (General Data Protection Regulation) — европейский стандарт по защите данных;
• PCI DSS (Payment Card Industry Data Security Standard) — стандарт информационной безопасности для финансовых организаций, которые работают с платежными картами;
• OWASP MASVS (Open Web Application Security Project Mobile Application Security Verification Standard) — стандарт безопасности мобильных приложений;
• OWASP Mobile Top-10 — открытый проект для обеспечения безопасности мобильных приложений.

Соблюсти все требования стандартов и повысить уровень защищенности мобильных приложений без замедления скорости DevOps вполне реально, если придерживаться определенного подхода.

Инструменты для обеспечения безопасности мобильных приложений

Чтобы решить проблему защищенности на практике в компании, занимающейся разработкой, необходимо внедрить инициативу по безопасности приложений (Application Security Initiative, сокращенно — AppSec Initiative). AppSec-инициатива задействует задачи ИБ на различных этапах жизненного цикла разработки ПО (Software Development Life Cycle, SDLC). Первым шагом к ее воплощению в жизнь является создание команды SSG. Эта группа специалистов будет обеспечивать безопасность в контексте разработки конкретных продуктов компании, организовывать и внедрять DevSecOps-фабрики по производству ПО, наращивать экспертизу в области ИБ в команде разработки.

Для реализации AppSec-инициативы компании понадобятся специальные инструменты, которые позволят обеспечить безопасность мобильных приложений. В последние годы их параметры и возможности значительно усовершенствовались. На сегодняшний день технологический стек для мобильных программ включает в себя:

• Инструменты тестирования безопасности мобильных приложений (Mobile Application Security Testing, MAST) — сканируют приложения на наличие уязвимостей;
• Платформы Application Security Orchestration and Correlation (ASOC), которые интегрируют практики MAST с инструментами разработки ПО и выполняют консолидацию и корреляционный анализ уязвимостей, обнаруженных методами MAST;
• Инструменты защиты приложений, обеспечивающие безопасность во время промышленной эксплуатации.

С помощью практик MAST можно находить в мобильных приложениях уязвимости различной степени сложности и подтверждать их эксплуатацию, а также проверять программы на соответствие стандартам. Комплекс MAST включает в себя инструменты, анализирующие исходный код (SAST, OSA, SCA), и практики, работающие без доступа к исходному кода, сканирующие готовую версию приложения в рабочей среде (DAST, API ST, IAST, BCA, BAST, Pentest).

Среди практик MAST есть методы, которые позволяют проводить сканирование в автоматизированном режиме и могут быть бесшовно интегрированы с различными инструментами DevOps. К числу этих практик относятся, например, DAST, IAST, API ST, SAST. При использовании таких методов у компании получится перейти к методологии DevSecOps, в рамках которой сканирование на уязвимости будет включено в процесс CI/CD — это позволит обеспечивать безопасность приложений на скорости DevOps.

Для быстрой интеграции инструментов MAST в CI/CD-пайплайны и перехода от DevOps к DevSecOps были разработаны платформы класса ASOC. Они обеспечивают прозрачное взаимодействие в реальном времени между инженерными командами и экспертами ИБ. Решения ASOC настраивают и реализуют конвейеры безопасности, проводят корреляционный анализ проблем, обнаруженных с помощью инструментов MAST, собирают все полученные данные и формируют на их основе метрики и отчеты.

Если использовать комбинацию нескольких инструментов из технологического стека AppSec с акцентом на переход от DevOps к DevSecOps, это позволит выстроить качественный и надежный процесс анализа продуктов на уязвимости. Компания сможет контролировать безопасность приложений в автоматизированном режиме на всех этапах жизненного цикла разработки ПО, а также находить и устранять уязвимости до того, как продукты выйдут на рынок. Этот подход можно дополнить тестированием на проникновение (Penetration Testing). Оно осуществляется в ручном формате, поэтому его нельзя автоматизировать до уровня, необходимого для интеграции в процесс DevSecOps. Но Pentest в качестве финальной проверки позволит закрепить результаты, выданные другими инструментами. Компании часто передают тестирование на проникновение сторонним организациям, специализирующимся в этой области.

Заключение

Почти четверть компаний-разработчиков, внедряющих инструменты безопасности — это организации, уже столкнувшиеся с хакерскими атаками. Число киберпреступлений в 2022 году увеличивается ежеквартально на 15%, а вместе с ним для каждой компании растет вероятность попасть под удар.

Рациональный выход из сложившийся ситуации видится в заблаговременном решении проблем безопасности. К этой задаче можно подойти системно и внедрить AppSec-инициативу: сформировать ИБ-команду, выбрать из технологического стека мобильных приложений те инструменты, которые соответствуют внутренней «кухне» компании и ее продуктов, встроить их в процесс DevOps и перейти к DevSecOps. В этом случае организация сможет обеспечивать безопасность приложений без замедления сроков их поставки на рынок. Конечно, данный подход потребует времени и ресурсов для реализации, но в дальнейшем он окупится тем, что уменьшит количество киберугроз для компании и поможет ей избежать финансовых расходов на устранение уязвимостей после релиза.

Есть и другое решение — можно точечно внедрять инструменты анализа безопасности в DevOps без переключения на DevSecOps. Многие компании делают это с помощью кастомных интеграций — используют отдельные скрипты, которые, как правило, разрозненны, их сложно поддерживать и модернизировать. Все это приводит к нескончаемым проектам с привлечением внутренних и внешних ресурсов. Такой подход может «заглушить» конкретные угрозы, но не решит все остальные вопросы безопасности.