Журнал "Information Security/ Информационная безопасность" #3, 2023

• 37 Безопасная разраБотка www.itsec.ru Когда говорят о безопасной разра- ботке, часто подразумевается безопас- ность веб-приложений и сервисов. Это массовый и относительно понятный сег- мент ИБ. Многие из читателей хотя бы раз в жизни пробовали поискать в сети компании открытые (и уязвимые) сете- вые сервисы с помощью nmap или даже проанализировать свой сайт такими инструментами, как OWASP ZAP или Burp, и в эту минуту ощущали себя настоящими пентестерами и даже немножко хакерами. Число открытых или платных инструментов, осуществ- ляющих проверку веб-ресурсов на уязви- мости из классификатора OWASP Top 10, не поддается исчислению, а аббревиа- тура DAST (Dynamic Application Security Testing) для неподготовленного человека прочно ассоциируется именно с веб- обходчиками, относительно несложными в реализации веб-фаззерами, а также средствами автоматизированного тести- рования сайтов. Но сегодня речь не про это, а про тяжелую, системную, безопасность: про ядра и гипервизоры, драйверы и вирту- альные машины, системные библиотеки и нативные компоненты интерпретаторов и, конечно же, про средства порождения машинного кода – компиляторы. Почти все, кто принял участие в круглом столе, говорят не только и сколько про веб, но и как раз про построение безопасных инфраструктурных, системных решений. В этой области OWASP Top 10 – это всего лишь один из аспектов, причем не самый важный. Здесь уместнее говорить про общий классификатор угроз CWE и выстраивание защиты от всего спектра тактик и техник из матрицы MITRE ATT&CK. Это как раз тот самый сегмент без- опасной разработки, в которой "сложно", в которой "непонятно", в которой систем- ная нехватка квалифицированных кад- ров. Но это и та область, которая во многом и определяет реальный уровень информационной безопасности страны и профессиональный вес ее инженеров. Кроме того, РБПО – это не всегда кодинг. Есть разработчики, которые делают СЗИ, не написав вообще ни строчки классиче- ского кода. Выбор версий компонентов с открытым исходным кодом без известных уязвимостей, компиляция их с корректным комплектом оптимизирующих и повышаю- щих защищенность параметров, эффек- тивная и безопасная настройка их пара- метров, архитектурно продуманная, про- моделированная их интеграция в общую систему… плюс щепотка маркетинга и ежедневные усилия по поддержке – и полу- чается СЗИ! То есть кодинга как такового почти и нет, но СЗИ, причем вполне себе рабочее, – есть. И потребность в каче- ственной продуктовой безопасности для него не сильно ниже, чем для СЗИ, разра- ботанного с нулевой кодовой базы. А порой и выше, поскольку все опытные разработ- чики знают, что нет ничего хуже, чем под- держивать чужой код. В последние годы в мире, и в России в особенности, наблюдается сильный рост популярности тем безопасной разработки ПО и Application Security. Этот рост сти- мулируется несколькими факторами. Во-первых, увеличивается количество и сложность кибератак на информацион- ные системы. Экспертные оценки про- гнозируют трехкратный рост финансовых потерь от киберпреступности в ближай- шие пять лет, при этом угрозы устойчи- вости государственных систем не под- даются корректной оценке, поскольку несут в себе риски функционирования государства как целостной сущности 1 . Второй фактор связан с регуляторны- ми требованиями к организациям в раз- ных секторах. Стоит упомянуть, в част- ности, законы о персональных данных и о безопасности КИИ, новые требования и методики федеральных регуляторов, проекты национальных стандартов в области ИБ. Организации вынуждены активно заниматься обеспечением без- опасности своих информационных систем, чтобы соответствовать требо- ваниям и избежать возможных. В-третьих, растет осознание важности своевременного внедрения процессов безопасной разработки ПО в контексте организации бизнеса со стороны компа- ний в целом и разработчиков в частности. Чем позже начинается внедрение, тем сложнее оно проходит. Все больше орга- низаций принимают безопасность раз- рабатываемого ПО в качестве неотъем- лемой части их бизнес-стратегии, и все чаще она находит понимание в кабинетах финансовых директоров. Более осве- домленными о рисках и уязвимостях стали и разработчики. С некоторой инер- цией, но и они стремятся использовать практики безопасной разработки. На этом фоне сильно вырос спрос на специалистов по Application Security и без- опасной разработке, заметно обогнав предложение. Организации осознают, что для обеспечения надежной защиты своего ПО необходимы квалифициро- ванные эксперты, способные обнаружи- вать и устранять уязвимости, а также разрабатывать безопасные архитектуры и настраивать процессы разработки. Вузы и образовательные учреждения включают в свои программы обучения предметы, связанные с Application Secu- rity. Это происходит в форме специали- зированных дисциплин по кибербезопас- ности, курсов по безопасной разработке ПО или отдельных блоков, посвященных безопасности информационных систем. Появление новых инструментов и технологий также стимулирует рост популярности темы безопасной разра- ботки. На российском рынке доступны качественные решения для статиче- ского, динамического и композицион- ного анализа кода, средства автомати- ческого сканирования уязвимостей и другие инструменты. Этот сегмент рынка развивается, и на первое место выходит качество используемых инструментов. l Разработка безопасного ПО. Круглый стол экспертов сообщества SDL сть разница между идеями “безопасность разработки” (про то, как сделать сам процесс безопасным, например расставить охрану вокруг офиса) и “разработка безопасного ПО” (РБПО). Именно второй активности, РБПО, и посвящен настоящий спецпроект. Е Ваше мнение и вопросы присылайте по адресу is@groteck.ru Амир Хафизов, главный редактор журнала “Information Security” 1 https://www.statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/