Содержание |
83% мобильных приложений российских разработчиков уязвимы, потому что многие компании игнорируют вопросы безопасности — и на это есть несколько причин. Первая состоит в том, что организации не понимают рисков, связанных с ИБ. Они полагают, что в мобильных приложениях нет ничего ценного для злоумышленников, у таких продуктов узкий вектор атаки, а если инцидент случится, то это не повлечет за собой значительные потери. Но на самом деле приложения зачастую хранят и используют конфиденциальные данные пользователей. Если информация попадет в руки злоумышленников, это может нанести компании серьезный финансовый и репутационный ущерб.
Вторая причина заключается в стремлении максимально сократить Time-to-Market — время от начала разработки до выхода приложений в среду эксплуатации. Чтобы сжать циклы, компании исключают из них проверки безопасности и принимают все риски. В противовес этому подходу на российском рынке есть современные инструменты анализа защищенности мобильных приложений, соответствующие индустриальным вызовам. Одно из таких решений — платформа Стингрей, разработанная российской компанией Стингрей Технолоджиз. В статье мы расскажем на примере данного инструмента, какие задачи решают современные сканеры и как это отражается на процессах компании.
Автоматизированный анализ защищенности на всех этапах разработки
Команда Стингрей Технолоджиз проанализировала 790 мобильных приложений российских разработчиков из разных отраслей и обнаружила в них 12 383 уязвимости. В числе найденных — проблемы, связанные с сетевым взаимодействием, которые позволяют злоумышленникам с легкостью совершить атаку «человек посередине» (Man In The Middle). Такой инцидент может привести к разным последствиям, начиная от компрометации данных и заканчивая получением полного доступа к аккаунтам пользователей. Также в рамках исследования были обнаружены уязвимости, относящиеся к некорректной конфигурации приложений. Одна из этих проблем — отсутствие или недостаточный уровень обфускации. Она позволяет злоумышленникам беспрепятственно анализировать код после декомпиляции, искать в нем уязвимости и пути обхода защиты. Еще одна часть найденных уязвимостей связана с небезопасным хранением чувствительных данных, ключей и сертификатов. Проблемы этого типа открывают хакерам доступ к ценной информации, которую они могут использовать для развития других векторов атак.
Таким образом, мобильные приложения не меньше других программных продуктов нуждаются в защите. Чтобы эффективно и в то же время оперативно обеспечивать безопасность, нужно выстроить правильный процесс анализа защищенности, в рамках которого проверки будут проводиться на каждом этапе разработки. Функционал платформы Стингрей, представляющей класс современных сканеров на российском рынке, позволяет решить эту задачу.
Инструмент бесшовно встраивается в DevOps-процессы компании за счет того, что поддерживает интеграцию с ключевыми инструментами разработки, такими как Jenkins, TeamCity, GitLab CI/CD. Также сканер можно оперативно подключить в формате Cloud. Стингрей полностью автоматизирует проверки безопасности мобильных приложений на платформе iOS и Android. В результате платформа сокращает на 60% ресурсы, необходимые для поиска проблем. Инструмент позволяет запускать тестирование на любом этапе готовности продукта, выявлять большую часть уязвимостей до того, как они попадут в следующие версии приложений. В результате все задачи ИБ реализуются быстро, не задерживая разработчиков и в целом выход продуктов.
Комплексные проверки безопасности
Безопасность мобильных приложений обеспечивается с помощью различных практик анализа защищенности. Каждая из них выполняет свои задачи и находит определенные уязвимости. Например, SAST (статическое тестирование) работает по методу «белого ящика» и сканирует декомпилированный исходный код, DAST (динамический анализ) использует метод «черного ящика» и проверяет ПО в процессе его функционирования, API ST тестирует бэкенд продуктов, IAST (интерактивный анализ) исследует приложения во время их выполнения. Для комплексного обеспечения безопасности мобильных продуктов нужно сочетать несколько практик, но внедрять для каждой из них отдельные инструменты неудобно и затратно. Платформа Стингрей комбинирует все перечисленные методы анализа, что позволяет в рамках единого решения реализовывать ключевые практики безопасности и выявлять более 80 типов уязвимостей. Кроме этого, функционал инструмента дает возможность создавать автотесты без написания кода, в результате время на подготовку сценариев анализа сокращается на 90%.
Помимо работы с конкретными уязвимостями, направление ИБ включает в себя проверки на соответствие индустриальным стандартам и требованиям регуляторов. Современные решения автоматизируют эти задачи, позволяют сократить затраты ресурсов и снизить до минимума риск человеческого фактора. В частности, Стингрей проверяет все сборки продуктов на соответствие следующим стандартам: ОУД4, OWASP MASVS, OWASP Mobile Top 10, PCI DSS, ГОСТ 57580. Также на платформу можно загружать внутренние требования компаний.
Помощь с устранением уязвимостей
Разработчики генерируют тысячи строк кода, стремясь под давлением бизнеса делать это как можно быстрее. Безопасность для них далеко не самое приоритетное направление, поэтому зачастую программисты относятся к нему негативно из-за того, что проверки затягивают весь процесс. Но современные решения, во-первых, позволяют оперативно выявлять уязвимости, во-вторых, помогают разбираться с найденными проблемами. Например, Стингрей по итогам проверок выдает подробные рекомендации, в которые входит детальное описание уязвимостей, причины их возникновения и способы устранения. Эти возможности платформы формируют для разработчиков твердую отправную точку, оперевшись на которую они могут сразу приступать к решению проблем. В результате трудозатраты программистов сокращаются на 25%.
Кроме этого, Стингрей содержит интерактивные и видеокурсы по безопасной разработке Android и iOS-приложений. С помощью этих материалов разработчики могут обучаться в свободной время и наращивать экспертизу в области ИБ, чтобы в дальнейшем заранее избегать типичных ошибок в процессе написания кода.
Выводы
Выпуская незащищенные мобильные приложения, компании обрекают себя на весомый риск. Злоумышленникам не составит труда атаковать небезопасные продукты, чтобы завладеть доступом к аккаунтам пользователей, похитить конфиденциальные данные и использовать их в рамках других инцидентов. В результате могут пострадать сотни и тысячи клиентов, компаниям придется отзывать приложения из сторов, срочно дорабатывать ПО, а потом очень долго восстанавливать свою репутацию. Это принесет огромные потери в деньгах. Избежать таких ситуаций можно с помощью современных ИБ-инструментов, которые реализуют комплексный подход в области обеспечения безопасности.
В частности, многофункциональная платформа Стингрей решает сразу три важные задачи, поставленные бизнесом. Во-первых, инструмент автоматизирует проверки, что позволяет устранить задержки на этапе анализа безопасности. Во-вторых, сканер комбинирует несколько ИБ-практик — это дает возможность сократить затраты на внедрении дополнительных инструментов. В-третьих, платформа предоставляет обучающие материалы, в результате разработчики начинают смотреть на безопасность под другим углом. Подобные преимущества современных инструментов позволят компаниям не только повысить уровень защищенности мобильных приложений, но и соприкоснуться с индустриальными трендами.