Эксперты компании Swordfish Security, предоставляющей услуги в области кибербезопасности и разработки защищенного ПО, провели анализ текущей ситуации с безопасностью приложений в ряде крупных организаций в следующих отраслях: финтех, госсектор, телеком, интернет. Выяснилось, что в 2022 году веб-приложения стали основным вектором атак на компании – на них пришлось около 80% инцидентов безопасности (по сравнению с 70% в прошлом году).
Специалисты Swordfish Security, основываясь на данных реализованных проектов, а также на результатах внутренних опросов, получили информацию о том, что разработчики программных продуктов по-прежнему не уделяют должного внимания безопасности. Так, в крупных компаниях, которые занимаются разработкой собственного ПО, две трети специалистов игнорируют хотя бы одну реальную уязвимость не менее раза в месяц, полагая, что это ложное срабатывание. Каждая третья проблема, находящаяся на стадии исправления, попадает в промышленную эксплуатацию, не будучи обнаруженной на этапе тестирования или разработки. А 55% опрошенных специалистов крупных компаний завершают проекты, не предприняв все рекомендуемые меры по обеспечению безопасности из-за давления бизнес-направления, которое ждет готовых продуктов (в прошлом году мы фиксировали не менее 45%).
Результаты анализа данных и опроса показали, что на сегодняшний день существует несколько основных причин появления уязвимостей и утечек данных:
- неразвитая культура разработки (из-за нее возникает около 40% проблем безопасности), допускающая использование уязвимых библиотек и бэкдоров, некорректное применение языков программирования;
- нехватка времени как у технических специалистов, так и у бизнеса (около 25%);
- использование устаревшего ПО, которое не всегда возможно вовремя обновить (примерно 35%). Чаще всего к возникновению инцидентов приводит комбинация причин, из-за которых безопасность кажется слишком обременительной – и это серьезная проблема, подвергающая организации операционному и финансовому риску.
В настоящее время более 90% российских технических специалистов из крупных компаний испытывают сложности с устранением уязвимостей по множеству причин, включая необходимость обеспечения эффективности исправлений и отсутствие экспертизы в области информационной безопасности и навыков в использовании современных инструментов.
При этом, согласно данным внутренних опросов, более половины специалистов по DevSecOps (методологии создания защищенного ПО) утверждают, что разработка защищенных приложений и предотвращение или смягчение последствий атак являются самыми большими проблемами безопасности для их организации. В связи с этим большая часть опрошенных компаний (не менее 70%) планирует увеличить инвестиции в безопасность приложений.
По имеющимся у нас данным, в 2023 году следующие направления будут значимыми с точки зрения инвестиций в обеспечение защищенности приложений:
- 45% – внедрение рабочих процессов, в частности DevSecOps, ориентированных на безопасность;
- 35% – переход на современные инструменты тестирования безопасности (DAST, IAST, SCA);
- 40% – обучение разработчиков процессам безопасности;
- 30% – дополнительный найм сотрудников, обладающих навыками в области безопасности приложений;
- 45% – тестирование на проникновение (Penetration testing);
- 20% – программы Bug Bounty.
