Пять трендов, которые определят будущее разработки защищенного ПО в России
Что имеем сегодня
Как следует из отчета РТК-Солар, в первом квартале 2023 г. количество кибератак на российские организации выросло на 150%, по сравнению с предыдущим отчетным периодом. День ото дня инциденты становятся сложнее и требуют усиленной защиты. Чтобы противостоять натиску злоумышленников, компании все больше внимания уделяют практическим аспектам обеспечения киберзащиты и качеству применяемых инструментальных средств. Особенно это важно для ПО, через различные уязвимости которого хакеры могут компрометировать крупные цифровые экосистемы, повреждая функциональность приложений через нарушение конфиденциальности и целостности пользовательских данных. Ситуация осложняется тем, что замену продуктам ушедших иностранных вендоров удается найти не всегда, а создать в кратчайшие сроки аналоги непросто, а иногда и невозможно.
Сегодня российские разработчики могут проложить свой путь, минуя ошибки зарубежных коллег, или даже совершить революцию, создав новые технологии. Да, есть нюансы, ведь серьезный программный продукт за год или даже за два не сделаешь, плюс нужны крупные вложения и команда с правильными скиллами. Тем не менее, мощная работа ведется и есть уже значимые успехи. Например, PT BlackBox, сканер безопасности приложений, который из инструмента для внутренних нужд компании меньше чем за полгода превратился в коробочный продукт. Или AppSec.Track от Swordfish Security, который предназначен для поиска и анализа используемых в процессе разработки элементов Open Source и закрывает потребности в продуктах данного класса, предлагаемых ушедшими из России вендорами.
Ниже мы поговорим об основных трендах, которые, по нашим прогнозам, определят будущее российской отрасли разработки защищенного ПО в перспективе пяти лет.
Чего ожидаем завтра
Тренд № 1. Оптимизация одной кнопкой
В 2022 году российская индустрия безопасной разработки созрела до того, что отдельные игроки внедрили лучшие практики Application Security преимущественно с помощью зарубежных инструментов и построили на них базовые DevSecOps-процессы. Теперь же все нужно переделывать на российских аналогах, многие из которых еще далеки от совершенства. Это снова означает кастомные интеграции, новые настройки, развитие функционала. На перемены может уйти не меньше 2–3 лет.
А выпускать ПО нужно, как требует индустрия — много, быстро и безопасно. Поэтому компании ищут решения, которые оптимизируют ИБ-процессы. Так, востребована платформа, реализующая практику ASOC (Application Security Orchestration and Correlation). Она выполняет роль промежуточного слоя (middleware), который интегрируется с инфраструктурой разработки и инструментами безопасности. Платформа позволяет внедрять сканеры буквально нажатием одной кнопки и универсализировать их интерфейсы в едином окне.
С помощью такого инструмента можно сравнить работу иностранных и отечественных сканеров, чтобы выбрать оптимальные решения и улучшить процессы. Также за счет встроенного машинного обучения возможно скопировать правила анализа и бизнес-логику, сформированные при работе с зарубежными инструментами, и перенести их на незрелые продукты, разрабатываемые в рамках импортозамещения. Это особенно ценно, поскольку утрата логики анализа способна нанести больший урон, чем списание трудозатрат.
События 2022 года спровоцировали рост этого сегмента, мы уже видим увеличение спроса не менее, чем на 20%. А в дальнейшем, в условиях быстро меняющейся действительности, потребность в гибкости и оптимизации только вырастет.
Тренд № 2. Безопасность в формате zoom out
Рынок движется в сторону комплексных платформенных решений, которые в будущем выйдут за рамки DevSecOps. Защищаясь от растущих киберугроз, компании ставят не точечные задачи (поиск уязвимостей, защита от DDoS и т.д.), а комплексные, а потому инфраструктура усложняется, наполняясь инструментами для закрытия слабых мест.
Скорее всего, ИБ-система будущего будет включать в себя как платформу класса ASOC и реализованные с помощью нее сканеры, так и нативную интеграцию с рядом инструментов, в том числе для обеспечения мобильной безопасности. С большой вероятностью она будет предусматривать интеграцию с репозиториями исходного кода и артефактов в целях проверки целостности используемых компонентов, а также контроль безопасности связей с контрагентами. Эти меры помогут снизить риски атак на цепочки поставок. За последние три года число таких инцидентов, по разным данным, выросло на 300% и больше.
Сегодня индустрии нужны комплексные системы для защиты от изощренных киберрисков. Платформенные решения для реализации DevSecOps помогут построить главную линию обороны, после чего можно будет перейти к локальным очагам.
Тренд № 3. Автоматизация задач при помощи ИИ
Искусственный интеллект уже сейчас позволяет экономить сотни часов специалистов. Так, в рамках платформы класса ASOC AI может формировать точки контроля качества ПО и их критерии. Это позволяет автоматически принимать решения о готовности сборки к переходу на следующие этапы жизненного цикла. Также технологии помогают оптимизировать работу с уязвимостями: фильтровать ложные срабатывания, обнаруживать дубликаты, выявлять однотипные проблемы и группировать их в дефекты. Кроме этого, искусственный интеллект способен проверять продукты на соответствие индустриальным стандартам. При подборе ИБ-инструментов мы рекомендуем компаниям тщательно изучать сканеры и выбирать те решения, которые, помимо проверок защищенности, автоматизируют и многие другие задачи.
Тем не менее текущих способностей AI всё еще недостаточно, чтобы «с легким сердцем» идти в zoom out. Там, где нужно «хорошо подумать», технологии дают сбой. Но у искусственного интеллекта есть все шансы, чтобы войти в индустрию как middle-помощник. Мы полагаем, что дальнейшее развитие AI будет проходить в области рутинных задач со звездочкой. Технологии научатся устранять простые дефекты, искать аномалии в поведении систем, прогнозировать уязвимости и атаки. Также мы ожидаем, что улучшатся существующие возможности AI: повысится точность анализа безопасности, вырастет сложность обнаруживаемых уязвимостей, расширятся зоны покрытия проверками и возможности управления требованиями ИБ.
Тренд № 4. Контроль безопасности AI
С появлением ChatGPT, GitHub Copilot и других использование искусственного интеллекта вышло на новый уровень. Как мы отметили, они будут использоваться и в безопасной разработке. Например, до конца текущего года собственная нейросеть появится у «Яндекса». Но вместе с пользой такие инструменты могут нести угрозы. Ведь, по сути, AI — это черный ящик. В его основе лежит самообучающаяся модель, которая обрабатывает запросы пользователей и таким образом развивается. Есть риск, что злоумышленники с помощью ложных данных попытаются научить нейросети чему-то плохому, чтобы программы выдавали некорректные ответы и выстраивали векторы атак.
Еще один потенциальный риск связан с инструментами, использующими AI для автоматизации задач. По мере роста доверия к искусственному интеллекту, вероятно, будет увеличиваться и интерес хакеров к подобным решениям. Они попробуют пробраться в инфраструктуры жертв и захватить алгоритмы, принимающие решения за людей. Это может привести, например, к тому, что инструменты перестанут реагировать на уязвимости или начнут предлагать вредоносные правки для корректного кода.
Сейчас модели искусственного интеллекта не регулируются с точки зрения безопасности, да и никаких методов проверок у компаний пока нет. Но некоторые крупные игроки уже сообщили о намерении разработать внутренние решения для тестирования защищенности AI. Значит, вполне уместно говорить о зарождении тренда, который в будущем может сделать безопасность обязательным критерием для искусственного интеллекта и привести к появлению соответствующих ИБ-инструментов.
Тренд № 5. «Принудительное» обучение безопасности
Реализовать масштабные задачи, обозначенные выше, без крепкой внутренней базы в сфере кибербезопасности невозможно. Она должна строиться на знаниях ИБ-специалистов и осведомленности разработчиков. Что касается первого, рынку приходится туго — по данным опроса «СёрчИнформ» и hh.ru, дефицит кадров испытывают 54% российских компаний. При растущем спросе на ИБ проблема, вероятно, продолжит усугубляться.
Нехватка специалистов, а также желание действовать наперегонки с рисками сподвигают компании на обучение сотрудников. Мы зафиксировали, что спрос на наши тренинги по кибербезопасности за последние полгода вырос на 50%. Заказчики покупают программы, чтобы научить разработчиков писать безопасный код. При этом они больше не делят специалистов на группы, не акцентируются на конкретных людях, как это было раньше. Теперь им важно обучить каждого, чтобы внедряемые практики безопасности использовались на глубинных уровнях.
Сегодня, говоря про обучение ИТ-специалистов безопасности, мы имеем в виду базовые знания, необходимые для работы в рамках парадигмы DevSecOps. Когда инициативы по защите выйдут за ее рамки, сотрудникам понадобится более глубокая экспертиза, близкая к той, которой сейчас обладают ИБ-специалисты уровня middle. Вероятно, в будущем без этих знаний занять высокие позиции не получится. С ростом популярности обучения в сфере ИБ российское профессиональное сообщество выйдет на новый уровень. Возможно, отдельную нишу в нем займут специальные инструменты или нейросети, которые будут помогать ИТ-специалистам ориентироваться в информационной безопасности.
Опубликовано 11.09.2023