Безопасность корпоративных приложений в 2023 году
Можно выделить несколько основных особенностей обеспечения ИБ.
Стремление к импортонезависимости
Компании все чаще разрабатывают собственное ПО, хотя бы частично не контролируемое западными вендорами. Вендоры, которые представлены на российском рынке, едва ли готовы передать бизнесу исходный код для проверки. Если компания и принимает решение использовать такие продукты, то только от вендоров, которые непрерывно улучшают сервисы и оказывают комплексную техподдержку. При этом перед внедрением бизнес может предварительно изолировать критические участки ИТ-инфраструктуры, чтобы ей не могли навредить.
Многие крупные компании считают открытое ПО (библиотеки, модули) «недоверенным» и используют исключительно для узких задач с постоянным мониторингом его работы. Или же задействуют его как временное решение для старта развития какого-либо продукта. В open source ПО может быть зловредный код, представляющий угрозу безопасности данных внутри компании. В приоритете бизнеса в будущем — внутренняя разработка решений, которые избавят от зависимости от потенциально ненадежного ПО.
Внедрение MDM-решений
Телефоны и планшеты сотрудников, подключенные к корпоративной ИТ-системе, работают за «периметром» ИБ. Это представляет потенциальную угрозу данным компании. И чтобы их защитить, внедряют MDM-решения.
MDM-система (Mobile Device Management) — комплекс технологий для централизованного управления мобильными девайсами сотрудников. MDM-решения позволяют настроить доступ к функциям устройства и ПО, шифровать данные, устанавливать настройки в соответствии с политикой информационной безопасности компании. Они также отслеживают на устройствах вредоносные данные и сервисы.
Несмотря на очевидные плюсы MDM, не все крупные компании готовы их внедрять. Все-таки при расчете на смартфон такое решение обойдется недешево. В текущих условиях бизнес неохотно тратит деньги на технологии, не несущие осязаемой выгоды. К тому же выбор среди российских MDM пока небольшой (Kaspersky Security, SafePhone и несколько других). При этом нет гарантии, что эти MDM-решения совместимы со всеми приложениями компании: далеко не каждый мобильный ИТ-продукт удастся разместить в защищенном контейнере.
Применение облачных технологий
Стоит отметить рост популярности российских облачных технологий в мобильной разработке. Они до 40% снижают затраты на ИТ-инфраструктуру и обеспечивают безопасное хранение данных. Облачные провайдеры заинтересованы в качественном обслуживании физических серверов для предотвращения поломок, потери данных, простоя, поскольку на кону их репутация. Как правило, поставщики услуг обеспечивают многоступенчатую защиту данных. Информация хранится в облаке в зашифрованном виде и резервируется на различных серверах: хакерам достаточно сложно получить к ней доступ.
Некоторые организации, следуя правилу «Не кладите яйца в одну корзину», идут еще дальше: хранят адреса и телефоны клиентов отдельно от прочих, размещенных в облаках. Они также предоставляют доступ к персональным данным пользователей ограниченному кругу лиц в компании, благодаря чему снижают вероятность утечек.
Рост спроса на ИБ-специалистов
Значительно повысился спрос на специалистов в сфере информационной безопасности, которые отслеживают инциденты внутри инфраструктуры (CSIRT или SOC) и снаружи (киберразведка, анализ возможных точек атак). Стали востребованнее и DevSecOps-инженеры, которые постоянно тестируют ПО и обеспечивают ИБ на каждом этапе разработки. Но опасность утечек по-прежнему сохраняется, поскольку самая частая причина слива данных не взлом, а сотрудники компании.
Какими средствами бизнес обеспечивает безопасную разработку корпоративных мобильных приложений:
-
Компании внедряют методики DevOps и DevSecOps для непрерывного тестирования мобильного приложения, автоматизации программных функций и процедуры аудита безопасности. Без этого невозможно создать безопасный код.
-
Для превентивной защиты хостов и периметра от DDoS-атак бизнес внедряет российские антивирусы, например, от Лаборатории Касперского.
-
В обязательном порядке обеспечивают многоступенчатую защиту корпоративного мобильного приложения, которая дает по крайней мере два ответа на каждую потенциальную угрозу. Приложения и запрашивают пин-код, и проверяют устройство, и предлагают вход по биометрии. Для доступа к корпоративной информации внедряют двухфакторную аутентификацию.
-
Используют только проверенные и актуальные криптографические закрытые библиотеки.
-
При разработке мобильного приложения используют методы обфускации — запутывания кода — с помощью, например, Sirius Obfuscator или других подобных решений. Злоумышленникам становится сложнее анализировать такой код, потому что исходные классы имен заменяются случайными.
-
Настраивают сквозное шифрование, чтобы защитить данные от перехвата во время передачи от сервера к устройству пользователя. На смартфоне хранится минимум информации (зашифрованной), остальная — отправляется с сервера и удаляется по окончании сессии.
Опубликовано 30.08.2023