В составе практически всех создаваемых сейчас приложений присутствуют компоненты Open Source. Эксперты ИБ-компании Veracode отметили, что 79% разработчиков не занимаются дальнейшим обновлением зависимых компонент после включения их в продукт, причем речь идет не только о мажорных, но и минорных обновлениях.
Этот вывод представлен в отчете State of Software Security v11: Open Source Edition («Состояние безопасности приложений») и основан на результатах более чем 13 миллионов сканирований 86 тысяч репозиториев.
Эксперты составили подборку наиболее уязвимых из популярных библиотек за период 2019-2020 годы:
Рисунок 1. Наиболее уязвимые библиотеки в 2019-2020 годах.
Примечательно, что процесс выбора новой библиотеки формализован и выполняется не более чем в половине организаций, занимающихся разработкой. А вопросы безопасности в существующих процессах занимают далеко не первичную роль среди критериев выбора библиотеки. Исходя из проведенного опроса (рисунок 2), основную роль при принятии решения о включении библиотеки в код разработчики отдают функциональности и вопросам лицензирования:
Рисунок 2. Критерии при включении библиотеки в код.
Эти факторы говорят о необходимости внешнего контроля состояния подключенных пакетов.
«Для качественной оценки реальности рисков найденных уязвимостей современные решения предлагают не просто их количественный поиск, но и этичную эксплуатацию. Новейшие автоматизированные решения поиска уязвимостей оценивают архитектуру и процессы систем защиты информации организаций, запуская реальные атаки на реальные активы, но без риска реального взлома. А механизмы автоматизации позволяют обеспечивать достаточную частоту процесса для оценки эффективности множества контролей ИБ на устойчивость перед новейшими угрозами», – рассказывает Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara.
Современный рынок ИБ предлагает два близких класса решений для выполнения этих задач:
-
Решения класса Breach and Attack Simulation (BAS) реализуют имитацию кибератак и утечек данных безопасным для заказчика способом.
-
Решения Network Penetration Testing Tools непрерывно выявляют инфраструктурные уязвимости и выполняют их этичную эксплуатацию.
Рисунок 3. Сравнение функций Automated Penetration Testing и BAS.
Эксперты группы компаний Angara рекомендуют следующие решения данных классов:
-
Automated Penetration Testing: PCYSYS Cyber Resilience,
