По данным центра исследования киберугроз Solar 4RAYS за первое полугодие 2024 года, 43% хакерских проникновений в инфраструктуру компаний происходили через уязвимости в корпоративных приложениях. Эксперты ГК «Солар» рекомендуют компаниям использовать принципы безопасной разработки ПО для минимизации рисков информационной безопасности, а также проводить регулярный аудит уязвимостей и как можно оперативнее их закрывать.

Зачастую организации недооценивают значимость так называемых «некритичных» уязвимостей, которые позволяют раскрыть сведения о внутренней структуре системы (OWASP A3:2017-Sensitive Data Exposure). Это, в свою очередь, создает условия для планирования целенаправленных атак. Другая распространенная ошибка — невнимание к обработке файлов cookie и заголовков (OWASP A6:2017-Security Misconfiguration, A5:2017-Broken Access Control), что может привести к подмене данных пользователя. В то же время более критичные уязвимости компании обычно выявляют на этапе тестирования приложений или устраняют с помощью дополнительных средств защиты.

Эксперты Solar appScreener отмечают, что до 90% программного кода состоит из готовых open-source компонентов, и в большей части в них содержатся уязвимости и дефекты, позволяющие получить несанкционированный доступ к информации. В современных реалиях использование open-source программного обеспечения и публичных репозиториев требует обязательного контроля безопасности кода как основных компонентов, так и зависимостей. Если компания этого не делает при разработке веб-приложений, вредоносный код рано или поздно проникнет в коммерческое ПО.

Еще одна проблема российских приложений заключается в том, что многие компании создают веб-версии и мобильные приложения на одном и том же интерфейсе, используя схему с одним бэкендом. Таким образом они экономят на разработке, тестировании и технической поддержке, однако под угрозу ставится безопасность.

Избежать взломов через приложения, а также сопряженных финансовых и репутационных потерь помогут принципы безопасной разработки. Это подход, при котором еще на ранних стадиях написания кода, тестирования и эксплуатации ПО выявляются уязвимости, которые могут быть использованы злоумышленниками после выпуска продукта.

«Эксплуатация уязвимостей в веб-приложениях уже не первый год входит в тройку наиболее популярных векторов атак на организации. Эта тенденция будет только усиливаться. Все больше российских разработчиков ПО осознают серьезность киберугроз и изначально включают принципы безопасности в свои процессы разработки. В современной IT-индустрии понимают: выгоднее и эффективнее устранять уязвимости на ранних этапах разработки, чем потом бороться с последствиями атак», — комментирует Антон Прокофьев, эксперт по контролю безопасности ПО Solar appScreener ГК «Солар».

К инструментам безопасной разработки ПО относятся средства статического анализа кода, динамического анализа, средства анализа сторонних компонентов. Например, решение Solar appScreener содержит все эти виды анализа и позволяет обнаруживает сторонние компоненты, используя собственную базу уязвимостей, которая регулярно обновляется.

Solar appScreener может использоваться как для отдельных проверок кода, так и в качестве центрального элемента цикла безопасной разработки. Анализатор поддерживает 36 языков программирования, что делает его мировым лидером в этой области. Кроме базы правил поиска уязвимостей, которая регулярно обновляется, в Solar appScreener предусмотрена возможность создания своих собственных правил поиска. Их можно создать при помощи функций инструмента и применить при анализе проектов.

Solar appScreener — комплексное решение для контроля безопасности приложений, сочетающее в едином интерфейсе статический, динамический анализ, анализ состава ПО и анализ безопасности сторонних компонентов ПО (SAST, DAST, OSA). Продукт сертифицирован ФСТЭК России, внесен в Единый реестр отечественного ПО и может интегрироваться с другими системами для встраивания в цикл безопасной разработки.


ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Атаковали почти 900 серверов в 58 странах мира: Solar 4RAYS об-наружила новую хакерскую группировку Proxy Trickster

Атаковали почти 900 серверов в 58 странах мира: Solar 4RAYS об-наружила новую хакерскую группировку Proxy Trickster

Узнать больше
Продвинутый интеллект для средств защиты: «Солар» запускает подписку на правила выявления киберугроз

Продвинутый интеллект для средств защиты: «Солар» запускает подписку на правила выявления киберугроз

Узнать больше
«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

Узнать больше
Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Узнать больше
Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше
ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

Узнать больше
Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Узнать больше
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

Узнать больше