Наверняка вы видели новости, как очередной банк или популярная социальная сеть в результате атаки потеряли базы данных своих пользователей. Это заметные, громкие киберпреступления. И теперь многие клиенты, отдавая свой бизнес в руки разработчиков ПО, спрашивают об информационной безопасности продукта. Но два-три года назад клиентов AGIMA удивляла эта строка в смете. Это же приложение, при чем здесь аудит безопасности?
Безопасность цифровой архитектуры приложения — это необходимый процесс, обеспечивающий защиту ценной информации.
Что мы защищаем?
Персональные данные клиентов, данные авторизации, кодовую базу приложения и любую другую ценную информацию. То есть, те данные, искажение или потеря которых, могут негативно отразиться на бизнесе или пользователях продукта.
Кроме того, проблемы в безопасности приложений могут позволить злоумышленнику скомпрометировать инфраструктуру самой компании. Например, злой хакер, нанятый конкурентами, может добраться до нее через архитектуру бэкэнда приложения. А если он может, то рано или поздно сделает это!
Как мы защищаем?
В AGIMA мы стараемся комплексно подходить к обеспечению информационной безопасности приложений:
- Проработка информационной безопасности на этапе ППО и построения архитектуры
- Формирование требований информационной безопасности к продукту и регулярный контроль их соблюдения по чек-листу
- Непрерывный или поэтапный анализ кода на уязвимости в процессе разработки
- Анализ используемых сторонних компонентов на наличие критических уязвимостей
- Контрольный анализ всей кодовой базы перед выпуском приложения или MVP в продакшн
- Проведение динамического анализа и анализа защищенности (pen-test)
- Применение средств защиты приложений в боевой среде: защита от DDoS атак, фрода, ботов, защита API, WAF
Только при комплексном подходе к информационной безопасности приложений, можно говорить о значительном снижении рисков для бизнеса и пользователей.
Очевидно, что состав работ и инструментов будет зависеть от самого приложения, его функционала и сложности архитектуры.
Например, полная интеграция анализа кода в CI/CD — вариант для длительной разработки или поддержки сложного приложения с частыми релизами, функционал которого задействует работу с базой данных, персональными данными или интеграцию с ключевыми корпоративными сервисами. Кроме того, такое приложение нельзя оставлять без WAF, защиты от DDoS и защиты API.
А ситуационная или разовая ревизия безопасности кода — подходит для проектов, не требующих промежуточных точек для контроля. Лендинг достаточно проверить один раз перед выпуском. И такому приложению защита от ботов или DDoS скорее всего ни к чему.
Какой от этого профит?
- снижение количества потенциальных уязвимостей на релизе
- минимизация технического долга продукта
- сокращение сроков вывода приложения или функционала в продакшн
- уменьшение стоимости устранения уязвимостей
- уменьшение количества независимых проверок приложения
Как итог, снижение репутационных и финансовых рисков для компании, повышение уверенности и лояльности пользователей приложения.
Защитите свой сайт и мобильное приложение с AGIMA.
