Эксперт МТС RED: Бизнесу в России пришло время задуматься о собственной кибербезопасности
Руководитель продукта по управлению безопасной разработкой Сергей Деев рассказал об угрозах в IT и способах защиты
Восточный цифровой форум Russky MeetUp & Digital Region. Фото: ИА PrimaMedia
Тонкости построения процессов безопасной разработки в организации на полях Восточного цифрового форума Russky MeetUp & Digital Region (16+) во Владивостоке раскрыл руководитель продукта по управлению безопасной разработкой компании МТС RED Сергей Деев, сообщает ИА PrimaMedia.
Компания МТС RED входит в группу компаний МТС и является новым игроком в области кибербезопасности. Несмотря на то, что она еще совсем молодая, МТС RED активно собирает вокруг себя опытных экспертов в области кибербезопасности и ведет разработку глобальных сервисов и продуктов. Об особенностях одного из них участникам цифрового форума рассказал Сергей Деев.
Более 10 лет Сергей Деев посвятил работе в области кибербезопасности. Семь из них он занимается вопросами анализа безопасности программного обеспечения. В ходе выступления он объяснил слушателям, какими компаниями наиболее востребована безопасная разработка. На первом месте, по его словам, стоит финансовый сектор, то есть те организации, деятельность которых напрямую связана с монетизацией, использованием информационных технологий и получением за это выручки.
“Именно такие организации в большей степени являются целями атак злоумышленников. Поэтому эти компании применяют самый широкий набор подходов в области обеспечения информационной безопасности и практик безопасной разработки. Надо отметить, что помимо коммерческих банков, вопросами безопасной разработки всерьез занимаются платежные сервисы и системы, а также различные занятые в этой сфере ИТ-платформы”, — отметил Сергей Деев.
Еще один большой пласт интересантов находится среди компаний, занятых в электронной коммерции (e-commerce). Речь идет о различных онлайн-сервисах, через которые люди получают услуги, покупают или продают какие-либо товары.
“Эти компании осознанно занимаются кибербезопасностью и обеспечением безопасной разработки своих сервисов именно потому, что это важная составляющая их бизнеса. В этом случае руководству компании не нужно доказывать, зачем им продукты кибербезопасности, и почему в них необходимо вкладываться”, — сказал эксперт.
Еще одним важным участником рынка, в фокусе которого находятся вопросы безопасной разработки, являются те организации и компании, которые разрабатывают различные средства защиты информации, отечественные операционные системы и прочее программное обеспечение, подлежащее обязательной сертификации по требованиям безопасности.
“В крупных компаниях уже сформировалась культура применения лучших практик безопасной разработки или в целом обеспечения информационной безопасности с использованием различных подходов. Но средний и малый бизнес пока только начинает искать способы обезопасить себя теми мерами, которые им доступны, исходя из их финансовых и организационных возможностей”, — сказал эксперт.
По словам Сергея Деева, с прошлого года практически каждая компания, которая находится на территории РФ, подверглась кибератакам или находится в поле зрения злоумышленников. Поэтому в настоящее время необходимость применения практик безопасной разработки выросла многократно и наблюдается по всему ИТ-рынку во всём ИТ-сообществе.
Рассказывая подробнее о том, что же такое безопасная разработка, Сергей Деев пояснил, что это внедрение контролей и безопасности на всех этапах жизненного цикла разработки программного обеспечения. Одна из важных мер при безопасной разработке заключена в применении статического анализа кода, когда анализу на наличие уязвимостей подвергается исходный код еще до запуска программы. При построении модели будущего приложения отслеживаются потоки данных, корректность исполнения тех или иных программ — все это позволяет находить новые свойства, о которых ничего не было неизвестно. Говоря простым языком, такой подход позволяет найти слабые места в коде конкретного приложения и устранить их еще до того, как они станут известны широкому кругу злоумышленников.
Еще одной важной мерой при безопасной разработке является прямо противоположный статическому анализу динамический анализ кода. В этом случае разрабатываемое приложение запускается на специальном стенде и тестируется в процессе работы. К примеру, веб-интерфейс проверяемого приложения осознанно нагружается различными запросами. Аналитик отслеживает, как оно себя при этом ведет. Если в ходе тестирования возникает ошибка или поведение нетипично, то фиксируется успешное выполнение атаки.
Именно такое сочетание динамического и статического анализа, по словам эксперта, дает наилучший результат и позволяет наиболее полно выявить имеющиеся проблемы. Данный подход является одной из лучших практик и применяется повсеместно, в том числе и за рубежом.
Все кто ждет победы переходим на сайт
