Вот несколько важных пунктов, которые стоит знать из последней статистики по расследованию киберинцидентов от Positive Technologies, представленной на SOC-форуме:

• Тройка лидеров-отраслей по количеству атак: промышленность (23% инцидентов), госсектор (22%) и ИТ (13%).
• В 47% инцидентов хакеры достигали своих целей из-за инфраструктуры, которая до сих пор базируется на устаревшем ПО.
• В 3 раза за последние два года увеличилось количество попыток от нарушителей получить данные отечественных компаний.
• Чаще всего злоумышленники эксплуатируют уязвимости в веб-приложениях.

Глядя на эти цифры, становится понятно, что спрос на российские решения по обеспечению информационной безопасности обоснованно растет, а рынок решений развивается семимильными шагами. Наши вендоры почувствовали, что ниша освобождается: задачи ИБ в критических ситуация закрывать некому.

К тому же, сейчас именно отечественные сертифицированные продукты (та же СУБД на базе Postgres или 1С вместо SAP) вышли на первый план. Это положительно влияет на ИТ-проекты с точки зрения ИБ: проще контролировать уязвимости и защищать системы, когда вендор или партнер по разработке находится с тобой в одном поле и открыт для близкого диалога.

Узнайте больше про мобильную разработку и типы приложений для бизнеса

Перейти в раздел

Новые вызовы: модели угроз и модели защиты

— Что касается модели угроз, то они в целом описаны и известны. Однако постоянно меняются подходы злоумышленников и их способы обойти новые препятствия.

Аналогично и с моделями защиты — для каждого ИТ продукта проводится штучная индивидуальная работа, прорабатываются методики борьбы, механизмы защиты приложений, проводится обновление компетенций у кадров, которые работают над этими задачами. Особенно, если мы говорим про заказную разработку и системы для госсектора, банков, медтеха, где большое количество обрабатываемых данных, включая ПДн.

Например, когда мы работаем над Ит-проектами госсектора и медтеха, можно увидеть наглядную разницу. В одних системах стояла задача по разработке реестров и порталов с доступами для всех граждан страны, в других — информационно аналитические системы, которые свяжут между собой медучреждения и данные с мед картами и информацией о пациента. В обеспечении безопасности и выстраивании архитектуры мы руководствовались схожими принципами, следованию регуляторным нормам, снижению схожих рисков проникновения в системы и контур подобного ИТ-ландшафта. Но при всем при этом надстройки внутри ИТ-решений в разрезе ИБ в конечном продукте — разные и отвечали поставленным целям конкретного заказчика.

Корреляция «модель угрозы-устранение» больше связана не с видом прикладного ПО, а с условиями вокруг компании, которая озаботилась импортозамещением и переходу на отечественные аналоги. Внешние и внутренние нарушители могут отличаться из-за сложности архитектурного решения и массовости использования ИТ-продуктов. Вот почему в проектах всегда следует обращать на специфику отрасли и деятельности конкретного заказчика и задач бизнес-приложения с которым мы работаем. А самому бизнесу обращать внимание на наличие у ИТ-разработчиков опыта работы с аналогичными типами решений и с сопоставимыми компаниями-заказчиками.

Почему заказные решения сложней «сломать»

— Разработка бизнес-приложений сравнима с защитой автомобиля. Здесь также есть типовые системы с завода, дилерские сигнализации и авторские защитные механизмы для каких-то серьезных премиум-сегментов. Человек, стремящийся угнать авто, сможет за минуты вскрыть первый вариант сигнализации, за 10 минут второй и часами будет возиться с третьим.

Аналогично с ИТ-проектами. Если мы берем Open Source, то как только в нем находится свежая уязвимость, она становится известна многим злоумышленникам и приобретает статус «трендовой». Коробочное ПО от вендора более защищенное. Российский вендор способен своевременно реагировать на угрозы, взаимодействовать с компаниями-пользователями и патчить обновления, закрывая риски. При этом доступность системы для нарушителей все равно высокая — можно купить лицензию на коробку и тестировать ее долго и упорно, чтобы найти слабое место.

А вот самописное ПО по модели заказной разработки — это уже индивидуальный подход, когда контур закрыт и во вне не поступает информации, что там «под капотом» системы. В этом случае злоумышленники не знают и им недоступно, какую разработчики построили архитектуру, какие инструменты защиты они использовали при написании приложения. У них нет возможности получить код, проанализировать, какие особенности системы можно эксплуатировать в своих целях. Особенно, если проведены нестандартные или расширенные доработки под заказчика.

Так что в вопросе рисков, заказная разработка ПО позволяет сильно уменьшить поверхность атаки. Мы можем сократить количество модулей и сервисов, которые находятся под потенциальной угрозой, и не нужны заказчику. Если оставить только элементы и компоненты системы (с адаптацией под ТЗ), в приложении будет использоваться только то, что реально необходимо компании. Так, площадь возможной атаки становится значительно меньше.

Интересный факт: В нашей практике был случай, когда заказчику из промышленности нужно было по ТЗ установить продукт конкретного вендора. Но, чтобы в его условиях все работало корректно, нам пришлось очень сильно переделать решение. Отдельную часть работ занимала именно информационная безопасность. В процессе было закрыто много дыр и уязвимостей, появившихся из-за изменений, дополнительных интеграций и новых микросервисов. Расширение функционала коробочного продукта под заказчика привело к ситуации, что от коробки осталось три базовых элемента, а все остальное — кастомизация. Можно смело сказать, что на подготовку решения с нуля заказчик потратил бы столько же сил и даже меньше времени, сразу получив оптимальное решение с высокой степенью защищенности.

Хотите больше знать про безопасную заказную разработку и как она способна помочь бизнесу в рамках методологии Девелоника Fusion — пишите в комментарии или на почту: info@develonica.ru. Поделимся материалами или договоримся о консультации с менеджером «Девелоники» (ГК Softline).