Сегодня все мы можем наблюдать за быстрым развитием киберугроз. Каждый день в базе данных NDV (National Vulnerability Database) появляется около 50 новых уязвимостей. Практически каждая компания имеет веб-ресурс, и это делает ее чувствительной для различного рода хакерских атак. Последствием нападений могут быть утечки информации, заражение кода продукта, финансовый и репутационный ущерб, а также другие неприятные издержки.
Необходимость постоянного внимания к защите информационных систем мотивирует компании всё чаще обращаться к методологии DevSecOps. Она объединяет разработку, безопасность и операции для эффективной борьбы с уязвимостями и последствиями их эксплуатации. В данной статье вместе с Антоном Башариным, техническим директором Swordfish Security, мы рассмотрим популярные виды уязвимостей, которые ставят под угрозу безопасность информационных систем, а также методы защиты с использованием DevSecOps.
Какие бывают уязвимости
Свежие уязвимости регулярно пополняют список CVE (Common Vulnerabilities and Exposures) – это словарь известных дефектов в ПО, которые могут спровоцировать кибератаку. Самые распространенные угрозы попадают в десятку OWASP (Open Web Application Security Project). Разберем несколько популярных видов:
Уязвимость нулевого дня. Также ее называют «zero-day» или «0 day». Это критическая уязвимость в программном обеспечении, которая становится известной до того, как разработчики находят способ ее исправить. «Zero-day» особенно опасны тем, что киберпреступники могут легко ими воспользоваться для атак и получения несанкционированного доступа к системам или данным, пока разработчики о них не узнают и не начнут выстраивать защиту. В сентябре 2023 года в браузерах Google Chrome и Firefox обнаружили критическую уязвимость 0-day с идентификатором CVE-2023-5217. Она связана с системой медиаконтейнера файлов WebM, который используют тысячи сервисов – это значит, что дефект ставит под угрозу все связанные ресурсы.
Удаленное выполнение кода. С помощью этой уязвимости хакеры могут получить полный доступ к приложению путем выполнения эксплойта. Это дает им возможность менять или удалять конфиденциальные данные приложения, устанавливать вредоносные программы и совершить другие критические атаки. Подобную угрозу безопасности обнаружили в отладчике Microsoft WinDbg. Она состояла в том, что в отчет о неполадках, который получали разработчики, можно было внедрить зловредный код, в результате чего могли бы пострадать все пользователи WinDbg.
SQL-инъекция. Это уязвимость, которая позволяет атакующим получить доступ к данным за счет недостатков в коде и подбора запросов к интерфейсу. Злоумышленники могут изменять и удалять данные пользователей приложения, менять его содержимое или провоцировать отказ системы. По такой схеме хакеры атаковали американскую радиологическую компанию US Radiology и получили доступ к данным 200 000 пациентов. За утечку медицинская организация должна была выплатить штраф в размере $450 000.
Проблема контроля доступа. Эта угроза безопасности спровоцирована тем, что данные попадают в руки злоумышленников из-за неосторожности к учетным записям. Например, когда сотрудники устанавливают слабые пароли, или организация случайно выдает работникам или подрядчикам доступ к закрытой информации. Так, в мае 2023 года группировка хакеров Leak Wolf атаковала 40 российских организаций, взламывая аккаунты сотрудников. Преступники использовали VPN, что позволило им усыпить бдительность служб безопасности и собрать внутреннюю информацию компаний.
Межсайтовый скриптинг (XSS). Уязвимость этого вида возникает, когда вредоносный скрипт внедряется в веб-ресурс, который впоследствии устанавливает эксплойт в браузер пользователя. Целью такой атаки является получение доступа к персональным данным пользователей, логинам и паролям, кукам и сессионным токенам. В октябре этого года хакеры использовали данную уязвимость для атаки на электронную почту европейских правительств. Так они могли похитить информацию из ящиков скомпрометированных серверов и загрузить произвольный код с браузера жертвы.
DevSecOps как инструмент борьбы с уязвимостями
Считается, что сложнее всего обнаружить уязвимости, допущенные на этапе проектирования продукта. Практика последних лет показала, что пренебрежение безопасностью оборачивается для бизнеса огромным репутационным и финансовым ущербом. Для предотвращения эксплойтов компаниям нужно вовремя выстраивать защиту IT-инфраструктуры. Эту задачу можно решить с помощью внедрения практик и инструментов DevSecOps, которые интегрируются во все этапы жизненного цикла ПО. Данная методология позволяет проводить анализ кода на уязвимости на всех фазах разработки, оптимизировать пайплайн и выпускать защищенные цифровые продукты.
Переход к DevSecOps – трудоемкий процесс, успех практики во многом зависит от уровня зрелости ИБ-структуры организации. С 2022 года процесс безопасной разработки начала строить каждая третья российская компания. При этом рынок столкнулся с существенными проблемами: отсутствие четкой стратегии внедрения DevSecOps и дефицит внутренних ИБ-экспертов. Этот вопрос многие решают путем приобретения методологии у других компаний.
Платформенные решения становятся всё популярнее. На отечественном рынке есть продукты, позволяющих оперативно и качественно внедрить инструменты DevSecOps в процесс разработки. Рассмотрим несколько популярных:
Solar appScreener
Компания: Ростелеком Солар
Это решение объединяет в себе преимущества статического и динамического анализов кода и состава ПО. Сервис позволяет обеспечить контроль безопасности приложений из одного интерфейса и предоставляет отчеты по результатам всех проверок. Подойдет организациям с развитыми компетенциями в вопросах безопасной разработки.
DevSecOps как сервис
Компания: Swordfish Security
Платформа внедряет DevSecOps в разработку ПО «под ключ». На своей стороне эксперты проводят анализ защищенности приложения, разрабатывают стратегию, подбирают инструменты под нужды компании и реализуют популярные практики обеспечения безопасности. Сервис подходит компаниям, которые еще не готовы самостоятельно масштабировать DevSecOps или хотят автоматизировать ручной процесс с помощью широкого инструментария.
PT Application Inspector
Компания: Positive Technologies
Инструмент выявляет уязвимости и тестирует безопасность приложений, применяя практики SAST, SCA, DAST и интерактивный анализ (IAST). Продукт позволяет выявлять, подтверждать и устранять уязвимости на ранних этапах. Application Inspector будет полезен ИБ-экспертам в вопросе автоматизации работы с угрозами безопасности.
Резюме:
Количество уязвимостей продолжает расти от года к году, вместе с этим увеличивается число успешных кибератак. Предотвращение эксплойтов – одна из главных задач, которая сегодня стоит перед рынком. Высокий уровень защищенности программного обеспечения показывает зрелость и конкурентоспособность компании. Нужно понимать, что бездействие в вопросах ИБ может обойтись очень дорого.
IT-отрасль стала более гибкой к вызовам новой реальности, бизнес делает уклон на безопасную разработку. Чтобы защитить свои цифровые продукты, организации все чаще выбирают методологию DevSecOps. Она призвана внедрить информационную безопасность в процесс создания и эксплуатации продукта, наладить взаимодействие отделов разработки и ИБ и доставить конечному пользователю надежный продукт.
Данную практику можно реализовать самостоятельно силами внутренних ИБ-экспертов или при помощи платформенных решений, которые помогают компаниям плавно встроить безопасность в процесс разработки.
Автор: Антон Башарин, технический директор Swordfish Security.
Оригинал публикации на сайте CISOCLUB: "Как DevSecOps помогает бороться с уязвимостями".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
