По данным центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских проникновений в инфраструктуру компаний происходили через уязвимости в корпоративных приложениях. Эксперты ГК «Солар» рекомендуют компаниям использовать принципы безопасной разработки ПО для минимизации рисков информационной безопасности, а также проводить регулярный аудит уязвимостей и как можно оперативнее их закрывать.

Зачастую организации недооценивают значимость так называемых «некритичных» уязвимостей, которые позволяют раскрыть сведения о внутренней структуре системы (OWASP A3:2017-Sensitive Data Exposure). Это, в свою очередь, создает условия для планирования целенаправленных атак. Другая распространенная ошибка — невнимание к обработке файлов cookie и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control), что может привести к подмене данных пользователя. В то же время более критичные уязвимости компании обычно выявляют на этапе тестирования приложений или устраняют с помощью дополнительных средств защиты.

Эксперты Solar appScreener отмечают, что до 90% программного кода состоит из готовых open-source компонентов, и в большей части в них содержатся уязвимости и дефекты, позволяющие получить несанкционированный доступ к информации. В современных реалиях использование open-source программного обеспечения и публичных репозиториев требует обязательного контроля безопасности кода как основных компонентов, так и зависимостей. Если компания этого не делает при разработке веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.

Еще одна проблема российских приложений заключается в том, что многие компании создают веб-версии и мобильные приложения на одном и том же интерфейсе, используя схему с одним бэкендом. Таким образом они экономят на разработке, тестировании и технической поддержке, однако под угрозу ставится безопасность.

Избежать взломов через приложения, а также сопряженных финансовых и репутационных потерь помогут принципы безопасной разработки. Это подход, при котором еще на ранних стадиях написания кода, тестирования и эксплуатации ПО выявляются уязвимости, которые могут быть использованы злоумышленниками после выпуска продукта.

«Эксплуатация уязвимостей в веб-приложениях уже не первый год входит в тройку наиболее популярных векторов атак на организации. Эта тенденция будет только усиливаться. Все больше российских разработчиков ПО осознают серьезность киберугроз и изначально включают принципы безопасности в свои процессы разработки. В современной IT-индустрии понимают: выгоднее и эффективнее устранять уязвимости на ранних этапах разработки, чем потом бороться с последствиями атак», — комментирует Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».

К инструментам безопасной разработки ПО относятся средства статического анализа кода, динамического анализа, средства анализа сторонних компонентов. Например, решение Solar appScreener содержит все эти виды анализа и позволяет обнаруживает сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется.

Solar appScreener может использоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки. Анализатор поддерживает 36 языков программирования, что делает его мировым лидером в этой области. Кроме базы правил поиска уязвимостей, которая регулярно обновляется, в Solar appScreener предусмотрена возможность создания своих собственных правил поиска. Их можно создать при помощи функций инструмента и применить при анализе проектов.

Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт сертифицирован ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар»: госсектор, банки и нефтегаз – главные жертвы DDoS-атак в I квартале

«Солар»: госсектор, банки и нефтегаз – главные жертвы DDoS-атак в I квартале

Узнать больше
ГК «Солар»: число веб-атак на сайты российских компаний за год выросло в 2 раза

ГК «Солар»: число веб-атак на сайты российских компаний за год выросло в 2 раза

Узнать больше
Solar DAG 2.0: кроссплатформенное решение с глубокой аналитикой, автоматизацией мониторинга и реагирования на ИБ-инциденты

Solar DAG 2.0: кроссплатформенное решение с глубокой аналитикой, автоматизацией мониторинга и реагирования на ИБ-инциденты

Узнать больше
Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Узнать больше
Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Узнать больше
Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Узнать больше
«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

Узнать больше
Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Узнать больше
Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Узнать больше
«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

Узнать больше