Светлана Газизова, Positive Technologies: Безопасность кода стала обязательным критерием его качества

Веб-приложения на сетевом периметре – точка входа злоумышленников в инфраструктуру компаний в 44% случаев. Статистику за 2023-2024 года приводит экспертный центр безопасности Positive Technologies (PT ESC). При этом в предыдущем исследовании аналогичный показатель был выше почти на 20 пунктов – 63%.

Может ли такая динамика быть связана с развитием практик Application Security и как обстоят дела с безопасной разработкой на российском рынке, обсудили со Светланой Газизовой, директором по построению процессов DevSecOps Positive Technologies.

SecurityLab: Растет ли уровень зрелости DevSecOps в российских компаниях?

Светлана Газизова: Хакеры атакую всех и не сбавляют. Так, по данным наших аналитиков, только за первые полгода 2024 число инцидентов на российские компании приблизилось к показателям всего 2023 года, при этом в 21% случаев атака была реализована через уязвимости веб-приложений. Такая статистика становится однозначным сигналом для IT-отрасли: безопасность кода сегодня стала обязательным критерием его качества. Рост значимости DevSecOps безусловно есть.

Проверка безопасности кода на каждом этапе создания ПО, которым будут пользоваться миллионы человек, становится обязательным этапом процесса разработки. Уверена, что эта тенденция приведет к тому, что к 2030 году каждый программист будет использовать в работе практики application security.

Сейчас же DevSecOps в России находится в стадии активного развития, и рынок испытывает значительный дефицит AppSec-специалистов.

SecurityLab: Есть ли факторы, которые сейчас сдерживают рост направления DevSecOps?

Светлана Газизова: Интерес к безопасной разработке огромен, но вот с практическим внедрением практик существуют сложности и на уровне компаний, и на уровне специалистов.

Как правило, у бизнеса нет понятной стратегии внедрения DevSecOps. На рынке существует достаточно количество анализаторов кода и инструментов безопасной разработки, однако без четких целей и плана действий невозможно эффективно выстроить процессы, возникают проблемы с нехваткой специалистов и недостатком компетенций, и все это приводит к избыточным затратам.

Чтобы этого избежать, нужно использовать методологии и фреймворки внедрения процессов DevSecOps. Все они, как правило, основаны на зарубежном опыте и плохо адаптируются к отечественным реалиям. Чтобы и у российских компаний был понятный алгоритм повышения защищенности создаваемых веб-приложений, мы в Positive Technologies создали собственную общедоступную методологию — AppSec Table Top. В ней мы учли требования регуляторов, интересы сотрудников и бизнеса.

На уровне AppSec-специалистов можно выделить три основных сложности: нехватка компетенций, непонимание ценности DevSecOps со стороны смежных подразделений, нежелание выделять бюджет на безопасную разработку. Подробнее хотелось бы остановиться на первом пункте.

Кто такой хороший AppSec-специалист? Это специалист с навыками и в IT (разработка, аналитика, архитектура), и в кибербезопасности. Перед ним – широкий спектр задач, от организационных до сугубо технических. Он знает актуальное законодательство, понимает современные киберугрозы, умеет выбирать и настраивать инструменты обеспечения безопасности приложений. И, конечно, таких профессионалов пока очень мало.

Чтобы исправить это положение дел, мы как вендор делимся знаниями с области DevSecOps: здесь у нас огромная экспертиза, свой первый коммерческий инструмент для выявления уязвимостей и ошибок в приложениях – PT Application Inspector – мы выпустили десять леть назад. С начала этого года мы проводим образовательные курсы по AppSec, в этом году наши эксперты обучили более 60 лидов.

Кроме того, для DevSecOps-специалистов существует достаточное количество инструментов, в том числе бесплатных, чтобы делать код более безопасным уже сегодня. Например, наш DAST-анализатор PT BlackBox Scanner. Он выполняет более 110 видов проверок на уязвимости в коде веб-ресурсов и формирует подробный отчет по итогам сканирования. Также с 2022 года мы открыли доступ к плагинам для IDE. С их помощью можно искать уязвимости, недокументированные функции и секреты в коде непосредственно во время его написания.

SecurityLab: Ты сказала о нежелании компаний инвестировать в безопасную разработку. Как убедить их в обратном?

Светлана Газизова: Как показывает практика, не бывает кода без уязвимостей, рано или поздно их придется устранять. Недавний кейс с обнаружением специалистом Positive Technologies уязвимости высокого уровня в ОС Windows 10 и 11 – тому подтверждение. На каждом следующем этапе развития продукта устранять его слабые места будет стоить дороже. Чем раньше разработчики обнаруживают и исправляют дефект, тем ниже его стоимость. Необходимо наглядно продемонстрировать возможные затраты, если компания не заплатит за безопасность в самом начале. С этим нам поможет показатель ROSI (return on security investment), в некоторых случаях он может достигать 156%.

Кроме этого, нужно подсветить пользу от внедрения SSDLC (secure software development life cycle) и для других подразделений компании. Например, сокращение числа инцидентов безопасности снизит нагрузку на операционный отдел и создаст более комфортные условия для работы IT-специалистов. А сэкономленные ресурсы, как мы знаем, увеличивают прибыль компании.

Еще один фактор: внедрение процессов безопасной разработки, минимизируя риски кибератак, повышает качество продукта. Это положительно влияет на конкурентоспособность ИТ-решения и доверие пользователей.

SecurityLab: DevSecOps по-настоящему приживается в компании, если автоматизирует работу специалистов. Исходя из твоей практики, насколько в реальности удается сократить ручной труд?

Светлана Газизова: DevSecOps — это комплексный подход, который требует и автоматизации, и внимательного анализа со стороны профи. Автоматизированные тесты действительно эффективны, однако полностью уйти от работы «руками» не получится. Любой инструмент в безопасной разработке требует дополнительных настроек. Кроме того, существуют такие уязвимости, которые тесты не видят, например, ошибки в бизнес-логике, то есть при проектировании. Эксплуатируя такую уязвимость, злоумышленник может использовать приложение по непредусмотренному разработчиками функционалу. И здесь для принятия решения все-таки нужен специалист, который понимает контекст и может провести дополнительные исследования.

SecurityLab: Какие вызовы возникают перед компаниями, которые уже давно внедрили DevSecOps?

Светлана Газизова: Рынок меняется, появляются новые угрозы, меняются технологии. И то, что было эффективно в защите и устранении уязвимостей раньше, сегодня может уже не работать. Поэтому зрелые компании вынуждены трансформировать устоявшиеся процессы, использовать новые инструменты. И здесь существует большое сопротивление – собирать что-то с нуля легче, чем «пересобирать» то, что сделано и работает.

SecurityLab: Есть ли из твоего опыта какие-то интересные кейсы на рынке, связанные с безопасной разработкой?

Светлана Газизова: Есть мой любимый пример одной технологичной IT-компании, которая построила эффективный DevSecOps и внедрила практики application security в сжатые сроки. Все благодаря вовлеченности и инициативе самих разработчиков, которых в штате 500-700 человек. Ребята создали внутреннее комьюнити по безопасности, где открыто обсуждали проблемы и делились опытом под кураторством экспертов по кибербезу.

И другой кейс – про недостаток компетенций. Одна компания приобрела дорогой сканер безопасности, но так и не смогла его настроить. Разработчики не понимали, куда он отправляет результаты сканирования, при этом формально AppSec в компании был внедрен уже полгода. Вот почему важно вкладывать ресурсы во внедрение DevSecOps и обучение специалистов.