Защита приложений в эпоху микросервисов
This post is also available in:
Английский 
Французский 
Немецкий 
Итальянский 
Португальский, Бразилия 
Испанский
Организации переходят от монолитных приложений к микросервисам, используя преимущества идеально подходящей для этого архитектуры контейнеров. В результате возрастает ответственность за защиту этих сред, поскольку компании подвергаются большему набору рисков безопасности и уязвимостей.
Мы переживаем переломный момент в развитии культуры отношений DevOps и CISO. Директора по информационной безопасности (CISO) должны защищать организации любой ценой, а для специалистов по разработке и эксплуатации (DevOps) главное — это гибкость, поэтому в вопросах безопасности они склонны выбирать компромиссное (good enough) решение, а иногда категорически возражают против предлагаемых мер защиты.
Что это означает для бизнеса и кибербезопасности?
В 2019 г. мы изучали сообщество DevOps и DevSecOps с целью узнать, насколько распространена методология DevOps и как сильно она влияет на принятие решений в сфере информационной безопасности. Мы опросили почти 300 специалистов из компаний разных размеров по всему миру. Ниже приводится краткий обзор результатов.
Компании внедряют инновационные технологии и концепции
В целом компании хорошо понимают, что внедрение новых стандартов и решений при переходе на цифровые технологии требует объективного отношения (и большого бюджета), поэтому пробуют и (или) приобретают дополнительные средства безопасности.
[Возможно, вам будет интересно: Четыре новые проблемы в защите современных приложений]
Например, 67% опрошенных компаний используют микросервисы/контейнеры, а 53% уже внедрили технологию защиты контейнеров. 43% используют специализированное решение для защиты бессерверных функций во время исполнения для исключения сбоев и утечки данных.
Все это выглядит многообещающим, но создается впечатление, что компании действуют методом проб и ошибок и применяют многочисленные технологии, не обеспечив их совместимость. Они надеются, что наличие разнообразных технологий обеспечит эффективную защиту.
Поскольку микросервисы и управление контейнерами все еще относятся к развивающимся технологиям, необходимо, чтобы компании изучали, какие решения и практики подойдут для новой инфраструктуры и потоков данных. Неоправданная надежда на существующие модели защиты приводит к непредвиденным брешам и в системе безопасности и, как следствие, утечкам данных.
Компании применяют обязательные меры безопасности
Они не только стремятся внедрять новые технологии защиты, но и широко применяют устоявшиеся практики. Например:
- 70% компаний обеспечивают контроль трафика «запад — восток»;
- более половины проверяют код наряду с тестированием безопасности и применением решений WAF;
- 52% считают главным критерием выбора технологии для защиты приложений качество обеспечения безопасности.
Это подтверждается и использованием средств защиты API. На диаграмме ниже видно, что компании знают об угрозах безопасности, исходящих от API, и активно работают над их устранением. Верный подход, учитывая, что API в настоящее время связывают инструменты, приложения, системы и среды.
[Возможно, вам будет интересно: Как предотвратить злоупотребление API в реальном времени]
Применение базовых практик безопасности, наличие в компании специалистов DevSecOps и внедрение технологий защиты приложений создают ощущение уверенности. (Более 90% организаций уже создали группы DevOps или DevSecOps, а 58% сообщили, что соотношение между специалистами по DevSecOps и разработке составляет от 1 : 6 до 1 : 10.)
…И все же приложения взламываются
Хакеры пока побеждают, и атаки на приложения по-прежнему представляют угрозу. 88% респондентов сообщили об инцидентах атак в течение года, из них 90% пострадали от утечки данных. Респонденты ежедневно сталкивались с нарушениями прав доступа, перехватом сеансов, подделкой файлов cookie, внедрением кода SQL, атаками типа «отказ в обслуживании», атаками на протокол, межсайтовым скриптингом, подделкой межсайтовых запросов, манипуляциями с API и так далее.
[Возможно, вам будет интересно: Угрозы для API и мобильных приложений]
56% опрошенных отметили, что компаниям и поставщикам облачных услуг сложно разграничить обязанности по защите. Многие организации еженедельно сталкиваются с различными видами атак на приложения.
Шлюзы API, похоже, не помогают в решении проблемы. Обычно их используют для проверки подлинности (37%), фильтрации IP (30%) и базовой балансировки нагрузки (28%), но очевидно, что они не могут заблокировать все попытки манипуляции API.
В целом решения на основе статических правил и жестких эвристических процедур не обеспечивают адекватного уровня защиты постоянно меняющихся приложений. Половина респондентов отметила, что их приложения постоянно изменяются, иногда несколько раз в день. В подобных случаях человек просто не в состоянии держать все под контролем. Для этого требуется выявить изменение, настроить политику, утвердить и исполнить ее, что невозможно осуществить без автоматизации.
Из-за быстрого темпа изменений полномочия переходят к другим людям, которые отвечают за гибкую методологию разработки, предоставление приложений и микросервисов, создают среды SLDC и выбирают инструменты. DevOps и DevSecOps начинают оказывать большее влияние при принятии решений, связанных с безопасностью. Именно эту гипотезу мы и хотели проверить.
[Возможно, вам будет интересно: Специалисты DevOps представляют наибольшую угрозу безопасности?]
Кто принимает решения?
Только не специалисты по безопасности. Главным образом на выбор инструментов, определение политики и внедрение защиты приложений оказывает влияние отдел ИТ. (ИТ-отдел контролирует бюджет, однако 70% CISO не имеют решающего голоса.).
Цифровая трансформация — не просто переход на цифру
Исследование показало, что успешность атак связана с тем, что предприятия не полностью учитывают воздействие перехода на цифровые технологии.
В этом процессе технологии инициируют изменения. Самое простое — приобрести и внедрить новые технологии и платформы, однако технологии не начнут работать сами по себе. Несмотря на стремление организаций следовать правилам безопасности, злоумышленники по-прежнему успешно атакуют. Почему? Потому что компании не предпринимают второй — нецифровой — шаг этого перехода: получение новых компетенций, адаптацию бизнес-процессов, перераспределение ролей и обязанностей.
Это слабое место в защите приложений. Если специалисты по безопасности смогут выполнять свою работу и сделают защиту определяющим фактором бизнеса, возможно, мы наконец увидим, как развитие систем безопасности будет соответствовать скорости развития бизнеса.
