Уходящий год можно назвать годом реального ущерба для бизнеса от кибератак. Давайте трезво взглянем на то, как такой ущерб оценивается.

Отчет о сканировании действующего приложения – важный шаг в понимании того, какие проблемы вас ждут и в новом приложении, или в новой версии текущего. Уязвимости должны лечь в основу требований к НОВЫМ разработкам.

Если проблему безопасности разработок начать решать еще во время проектирования, то ресурсов на поддержку и ликвидацию последствий инцидентов придется тратить в десятки раз меньше (по данным HP - в 30 раз). Все соглашаются, но никто ничего не делает.

На заре антивирусной индустрии было принято мериться размерами так называемых "антивирусных баз" - сначала в штуках ("наш антивирус ловит 450 вирусов"), потом в мега- и гигабайтах. Теперь меряются не штуками, а миллионами - "в нашей базе десятки миллионов вирусных сигнатур".

Итак, вы решили, что ваши бизнес-задачи не могут быть решены в рамках "коробочных" решений и заказали разработку приложения "с нуля" или основательную доработку типового решения или платформы. Вы получили его на тестирование и вдумчиво прошлись по руководствам пользователя и администратора, проверили функционал и нагрузку, и, наконец, решили озаботиться безопасностью приложения.

Большая часть «закладок», найденных при исследовании исходного кода бизнес-приложений - неудаленные инструменты отладки приложения. Их нельзя считать намеренными "закладками", но вредоносности у них иногда не меньше, чем в специально написанных закладках. Разработка заказного корпоративного бизнес-решения - сложный процесс, а его отладка и тестирование сложны вдвойне.

На конференции меня попросили прокомментировать одну цифру. «Статический анализ позволяет выявить не более 30% уязвимостей приложений». Заявление абсолютно верное, но я бы не стал рассматривать эту фразу как констатацию неполноценности статического анализа, особенно при исследовании бизнес-приложений (а не оборонных или управляющих инфраструктурой, например).

Использование сертифицированного программного обеспечения, в сертификате которого написано: «отсутствие недекларированных возможностей (НДВ)», создает иллюзию защищенности. Так ли это? Если дело касается операционных систем или системных предложений – это во многом соответствует действительности (не будем в этом блоге спорить с профессиональными параноиками, утверждающими, что в любом программном обеспечении есть НДВ, и некоторые из них невозможно найти в принципе).

Существует стойкое убеждение, что защита приложений - это, прежде всего, контроль уязвимостей во внешних веб-приложениях, а внутренние приложения защищены принципом неотвратимости наказания. Действительно, теоретическое число пользователей веб-приложения - это все пользователи Интернет, а пользователей бухгалтерского приложения - всего несколько человек; их имена известны, и, случись что, расследование долго не продлится.

Лейтмотивом большинства мероприятий в области «облачных» вычислений является утверждение, что скоро, практически завтра, корпорации начнут получать ИТ-услуги из «облака» как «электричество из розетки» (с). Ввиду такого подхода может появиться ощущение, что скоро-скоро компании перестанут зависеть от своих программистов и будут получать типизированные услуги напрямую от провайдеров SaaS.

Есть ли риски саботажа программистов, разрабатывающих заказные приложения? Вставляют ли они в свои программы мифические «недекларированные возможности», которые могут поставить под угрозу штатное выполнение приложений, осуществить перехват управления, манипуляцию данными и другие действия, которые не заказывал и не оплачивал заказчик?

Зачем вообще заниматься отдельным анализом кода приложений? Ведь ошибки программирования находятся еще на этапе сборки и тестирования, а другие риски кажутся умозрительными. Исполнители вроде заинтересованы делать софт качественным, чтобы меньше заниматься доделками и исправлениями. Давайте рассмотрим, какие риски присутствуют при самостоятельной разработке бизнес-приложений.

Года два назад коллега из западной корпорации сказал мне, что компании скоро перестанут писать свой софт и будут получать все, что им нужно, из «облаков». Прогноз опасный для тех, кто зарабатывает на жизнь контролем качества заказного софта, но пока не подтверждающийся. 60% компаний, опрошенных журналом Computerworld собираются в 2013 году продолжать нанимать программистов, и эти компании – вовсе не производители программного обеспечения, а обычные оффлайновые компании – финансовые, промышленные, телекоммуникационные.