Новости / июль 2022
Информационная безопасность

Проблема проблемного кода

По данным экспертов, как в мире, так и на российском рынке не менее 17% кода в софтверных решениях уязвимо и это высокий показатель. При этом, требование использовать методы безопасной разработки прямо касается 70 тысяч российских компаний, относящихся к финансовому сектору и наиболее критичным объектам критической информационной инфраструктуры (КИИ). Для них неисполнение данного требования означает серьезные финансовые санкции или даже потерю бизнеса.
Яков
Шпунт
© ComNews
06.07.2022

На онлайн-площадке Global Digital Space прошла дискуссия "Внедрение закладок в исходном коде публичных репозиториев. Как бороться?". Однако ее участники сразу же решили не ограничиваться темой контроля качества только лишь открытого кода, поскольку в вендорском коде и том, который разрабатывается в компаниях для собственных нужд, также имеются ошибки и даже закладки. Известен случай, когда сотрудники ИТ-подрядчика при создании кассовой системы для одной из российских розничных сетей включили функции перевода на свои личные счета небольших сумм со случайно выбранных покупок. В итоге за считанные недели им удалось получить восьмизначную сумму в рублях. Также эксплуатация уязвимостей широко используется в ходе целевых атак. Средний ущерб от таких инцидентов в России, по данным "Лаборатории Касперского", составил по итогам 2021 года около $700 тысяч для корпораций и около $32 тысяч для СМБ-компаний.

Российские регуляторы, прежде всего ФСТЭК, активно продвигают внедрение технологий безопасной разработки. По оценке ведущего блога "Бизнес без опасности" Алексея Лукацкого, данное требование напрямую касается около 70 тысяч российских компаний, из которых около 20 тысяч относятся к финансовому сектору, и 50 тысяч – являются субъектами КИИ.

Заместитель генерального директора АО "НПО "Эшелон" Виталий Вареница призвал не делить недостатки кода на умышленные и неумышленные, вопрос состоит в том, какие возможные последствия они могут повлечь. Директор по росту BI.ZONE Рустэм Хайретдинов призвал стремиться к тому, чтобы любой некорректный код, вне зависимости от его происхождения, был выявлен и устранен.

По оценке вице-президента, директора департамента информационной безопасности банка "Тинькофф" Дмитрия Гадаря, методология выявления умышленных (закладки. НДВ) и неумышленных уязвимостей в коде требует использования разных инструментов. По его оценке, с которой согласились участники дискуссии, автоматизированные инструменты могут обнаружить далеко не все проблемные места. Виталий Вареница привел пример аудита прошивки некоего программно-аппаратного комплекса, где была обнаружена скрытая учетная запись с правами суперпользователя и динамическим паролем. Ее удалось выявить только с помощью ручного анализа. Рустэм Хайретдинов заявил, что автоматизированные сканеры кода могут выявлять лишь типовые уязвимости, и для поиска нестандартных проблем необходимо использование ручного анализа.

Также Виталий Вареница подчеркнул то, что поскольку в ходе 90% проектов используется в среднем 5-6 языков программирования, необходимо использовать несколько инструментов, потому что один может не поддерживать все эти языки одновременно. Данное обстоятельство даже нашло отражение в требованиях регуляторов. И использование методологий безопасной разработки приносит результат. По его оценке, 70% компаний уже на ранней стадии внедрения увеличивают количество выявленных ошибок в коде в геометрической прогрессии.

Процесс контроля, как подчеркнул Дмитрий Гадарь, также необходимо выстраивать по-разному. К примеру, для контроля наиболее критичных приложений в "Тинькофф" создана отдельная служба. Также автоматизированный контроль кода проводится не только разработчиками, но и службой информационной безопасности, сотрудников которой, как отметил Дмитрий Гадарь, отличает более высокий уровень паранойи. При этом необходимо контролировать код по всей цепочке зависимостей, что может стать непростой задачей. Контролируются и сами разработчики.

По оценке Рустэма Хайретдинова, профайлинг разработчиков в российских компаниях получает все большее распространение. Также довольно распространенной практикой является использование разного рода технических средств, от полиграфов до систем класса DLP или поведенческого анализа (UBA).

Отдельной проблемой является контроль обновлений. Как напомнил Виталий Вареница, данная задача является обязательной для ГИС и объектов КИИ. При этом, по его словам, случаи включения в обновления недекларированных возможностей были, и они относятся как к ПО с открытым кодом, так и к вендорскому.

Дмитрий Гадарь заявил о том, что в "Тинькофф" давней практикой является контроль всех обновлений. При этом для ПО с открытым кодом риски больше вследствие его худшего контроля.

Новости из связанных рубрик