Специализирующаяся на корпоративной безопасности фирма F5 Networks и институт Ponemon совместно провели исследование систем безопасности, созданных с акцентом на защите приложений. В отчете по результатам исследования, базирующегося на опросе специалистов по безопасности относительно их подхода к защите важнейших для их компаний приложений, показано, почему традиционные методы защиты более не эффективны.
Сейчас много говорят о выстраивании безопасности вокруг сетей и данных, но практически ничего о защите приложений. В наше время, когда хакеры намного квалифицированнее специалистов по безопасности, предприятия должны рассматривать целесообразность использования любых видов защиты.
F5 Networks обладает технологией, оптимизирующей предоставление доступа к сетевым приложениям.
Вот основные пункты исследования:
— предприятия вкладывают средства в защиту периметра сети (90% бюджета), но большинство атак нацелены на получение идентификационных данных пользователей и на приложения (72% атак);
— 63% респондентов считают, что атаки на уровне приложений труднее обнаружить, а 67% — что их труднее сдерживать, чем атаки на уровне сети;
— 71% специалистов по безопасности, использующих при разработке приложений приемы DevOps, сообщили, что это усилило защиту и позволило им быстро реагировать на обнаружение уязвимостей.
Важный фактор — отсутствие обозримости сети
Другой важный вывод исследования заключается в том, что отсутствие обозримости на уровне приложений является сейчас главным препятствием на пути к надежной защите приложений, написал в блоге директор F5 по ИБ Майк Конвертино.
«Как директор по ИБ, я должен знать все о проходящих через эти приложения данных: кто их использует, откуда получает к ним доступ и что с ними делает. Поскольку все больше приложений размещаются в публичном облаке, управление рисками усложняется», — написал Конвертино.
Приведем более подробные сведения еще о некоторых результатах исследования.
— Отсутствие обозримости уровня приложений является главным препятствием на пути к надежной защите приложений. Другие труднопреодолимые препятствия создают миграция в облака (на это указали 47% респондентов), отсутствие квалифицированных специалистов и экспертов (45% респондентов), распространение мобильных устройств (43% респондентов). По мнению опрошенных, частота и интенсивность атак на уровне приложений выше, чем на уровне сети.
50% респондентов (29%+21%) утверждают, что приложения чаще подвергаются атакам, а 58% (33%+21%) — что эти атаки более интенсивны, чем на уровне сети. За последние 12 месяцев наиболее распространенными инцидентами в области безопасности, вызванными недостаточной защитой приложений, были инъекции SQL-кода (29%), распределенные отказы в обслуживании(DDoS, 25%) и мошенничество через Интернет (21%).
— Безопасность сети финансируется лучше, чем безопасность приложений. В среднем на защиту приложений расходуется 18% бюджета ИБ, а на защиту сетей — вдвое больше (39%). В результате лишь 35% респондентов сообщили, что их организации располагают достаточными ресурсами для выявления уязвимостей в приложениях, а 30% — что у них хватает ресурсов для устранения этих уязвимостей.
Постоянная проблема — ответственность за все приложения
— Ответственность за безопасность приложений постоянно перекладывается с одних на других. 56% респондентов считают, что она переносится с ИТ-подразделений на конечных пользователей или владельцев приложений. Сейчас она распылена по всей организации. 21% респондентов сообщили, что она лежит на руководителе ИТ-подразделения или на главном технологе, а 20% утверждали, что ни один человек и ни одно подразделение не несут за нее ответственности.
20% опрошенных назвали бизнес-подразделения ответственными за безопасность приложений, а 19% — руководителя разработчиков приложений.
— На безопасности приложений отражаются теневые ИТ. По оценке респондентов, в среднем в их организациях имеется 1175 приложений, из которых в среднем 33% считаются важнейшими. 23% опрошенных до некоторой степени уверены, а 43% совершенно не уверены, что знают обо всех приложениях в своих организациях. Итого 66%.
Соответственно, 68% респондентов (34%+34%) утверждают, что ИТ-подразделения не имеют полного представления обо всех развернутых в их организациях приложениях, а 65% (32%+33%) согласны, что теневые ИТ представляют проблему.
— Распространяются облачные мобильные приложения и бизнес-приложения. В среднем 31% бизнес-приложений являются мобильными, а в течение года их доля возрастет до 38%. Сегодня 37% бизнес-приложений находятся в облаке. Этот показатель увеличится в среднем до 46%.
— Считается, что рост мобильных и облачных приложений существенно влияет на связанный с приложениями риск. 60% респондентов придерживаются мнения, что мобильные приложения повышают (25%) или значительно повышают (35%) риски. 51% опрошенных утверждают, что облачные приложения увеличивают (25%) либо значительно увеличивают (26%) риски. Привлечение и удержание опытных и высококвалифицированных разработчиков приложений укрепит безопасность организации.
Другая проблема — нехватка опытных специалистов
69% респондентов считают, что дефицит опытных и высококвалифицированных разработчиков подвергает их приложения риску. Более того, 67% опрошенных отметили, что поспешный выпуск приложений заставляет разработчиков в их организациях пренебрегать процедурами и процессами создания безопасного программного кода.
— Добившись, чтобы разработчики понимали приемы написания безопасного кода, можно снизить риски безопасности приложений. Есть две главные причины, в силу которых приложения содержат уязвимый код: либо разработчики не знают приемов создания безопасного кода, либо они не умеют программировать.
— Необходимо более тщательное тестирование приложений. Почти половина респондентов сообщили, что их организации не тестируют приложения с целью выявления угроз и уязвимостей (25%) или не планируют тестирование заранее (23%). Лишь 14% опрошенных заявили, что приложения тестируются после каждого изменения кода.
Сейчас респонденты слабо верят, будто в их организациях разработчики используют безопасные практики проектирования, разработки и тестирования приложений. 74% опрошенных сообщили, что до некоторой степени уверены (27%) или вовсе не уверены (47%) в применении при разработке приложений таких приемов обеспечения безопасности как проверка ввода/вывода, защитное программирование и выбор подходящего компилятора/компоновщика.
— Считается, что DevOps или непрерывная интеграция повышают безопасность приложений. 35% респондентов сообщили, что в их организациях при разработке приложений используются практики DevOps или непрерывная интеграция. 71% из этой группы респондентов заявили, что это повышает защищенность приложений, а 56% — что это позволяет им быстро реагировать на проблемы безопасности и обнаруживаемые уязвимости.
Брандмауэры остаются важнейшими компонентами современных систем
Брандмауэры веб-приложений являются главным средством защиты приложений. 30% респондентов сообщили, что их организации используют такие брандмауэры. 21% опрошенных применяют для защиты приложений их сканирование и 19% — тестирование на проникновение.
— 39% респондентов сообщили об использовании их организациями для защиты приложений микросегментации, 37% — контейнеров Linux или Windows, а 31% — управляемых облачных сервисов приложений.
— Угрозы в области кибер-безопасности ослабят действие программ защиты приложений. Но новые требования к ИБ и к защите личных данных усилят их эффект. 88% респондентов обеспокоены тем, что новые и новейшие угрозы кибербезопасности отразятся на защите приложений. 54%, напротив, считают, что новые и новейшие требования к безопасности ИТ и личных данных будут способствовать развитию их программ защиты. По мнению опрошенных, появится больше тенденций, ослабляющих защиту приложений, чем усиливающих ее.
Ответственность за защиту приложений будет в большей мере возлагаться на их разработчиков. 60% респондентов ожидают, что разработчики возьмут на себя больше ответственности за безопасность приложений. Тестирование с целью выявления уязвимостей должно происходить на этапах проектирования и разработки жизненного цикла разработки систем. Сегодня большинство приложений тестируется на этапе выпуска или после выпуска (61%). В будущем целью станет более тщательное тестирование на этапах проектирования и разработки (63%).
— Отражается ли использование приемов безопасного кодирования на сроках выпуска приложений? 50% респондентов считают, что в их организациях эти приемы, такие как тестирование на проникновение, значительно замедляют (12%) или несколько замедляют (38%) разработку приложений. Однако 44% опрошенных утверждают, что замедления не происходит.
— Как изменятся приемы безопасного кодирования. Чаще всего применяемые сегодня приемы — это запуск приложений в безопасной среде (67% респондентов), использование автоматизированных инструментов масштабирования для выявления в приложениях уязвимостей (49%) и процедуры тестирования на проникновение (47%).
Что произойдет в ближайшем будущем
В ближайшие два года вероятнее всего будут применяться следующие приемы: запуск приложений в безопасной среде (80% респондентов), мониторинг поведения приложений в процессе исполнения (65% респондентов), чтобы определить, не имел ли место их взлом, и использование процедур тестирования на проникновение (63% респондентов).