В мире, где информация стала ключевым ресурсом, а технологии проникли во все сферы жизни, обеспечение кибербезопасности — это уже не факультативная задача, а вопрос выживания для любого бизнеса и даже для целого государства.
Веб-приложения, на которых зиждется цифровой мир, постоянно под атаками хакеров. По данным исследований Positive Technologies, 21% атак в России за 2023–2024 годы пришелся на веб-приложения, а эксплуатация уязвимостей на протяжении пяти лет входит в тройку наиболее популярных методов атак на организации. Растет также объем утечек конфиденциальной информации из ИТ-компаний. Проникнув в инфраструктуру такой компании, злоумышленники могут атаковать ее клиентов — предприятия из разных отраслей экономики (то есть реализовать недопустимое для ИТ-компании событие).
В этой ситуации организации, разрабатывающие веб-ресурсы, все чаще внедряют методы безопасной разработки, чтобы выявить уязвимости и незащищенные части ПО на ранних стадиях жизненного цикла продукта. Такой подход позволяет устранить слабые места в коде и бизнес-логике ИТ-продукта, которыми могли бы воспользоваться киберпреступники.
Как обстоят дела с AppSec
Отрасль AppSec (application security) в России находится в стадии активного развития. Даже компании со зрелыми процессами безопасной разработки сталкиваются с рядом уникальных вызовов:
- острой нехваткой специалистов и экспертизы;
- отсутствием методологии и модели оценки зрелости, приближенных к российским реалиям и учитывающих требования регуляторов;
- необходимостью разъяснять R&D-командам потребность во внедрении безопасной разработки в цикл создания ПО.
Это усложняет применение международных стандартных методов AppSec и требует адаптации к специфическим российским условиям.
Чтобы решить проблему, необходимо развивать местную экспертизу, разрабатывать свой подход к защите веб-приложений и создавать открытые ресурсы. Поэтому мы сформировали собственную методологию безопасной разработки — AppSec Table Top. Она помогает учесть особенности отечественных компаний, систематизировать известные практики и понять, что есть AppSec и как повысить защищенность создаваемых веб-приложений с учетом требований регуляторов, интересов сотрудников и бизнеса.
Скачать методологию безопасной разработки AppSec Table Top
Скачать шаблон дорожной карты внедрения безопасной разработки
Методология AppSec Table Top доступна для всех заинтересованных лиц. Мы открыты для предложений об ее улучшении и верим, что важно объединять экспертизу всего AppSec-сообщества и обмениваться знаниями, а не скрывать их. Пишите на почту eilyakhin@ptsecurity.com или в чат нашего комьюнити.
Методология AppSec Table Top — результат работы команды AppSec Positive Technologies. Существенный вклад в подготовку документа внес Евгений Иляхин, архитектор процессов безопасной разработки, при значительном участии Артема Кармазина, ведущего эксперта внедрения процессов безопасной разработки, и Марии Шеховцовой, руководителя группы архитектуры и анализа DevSecOps.
