ИТ-компании напишут сами

Инфраструктура крупных ИТ-компаний имеет серьезные отличия от той, которую применяют крупные компании других сфер. Как подчеркнул директор департамента защиты приложений VK Георгий Старостин в выступлении на конференции CyberCamp, ее отличает большое количество (порядка десятков тысяч) взаимодействующих микросервисов, большое количество физического оборудования (только количество серверов измеряется десятками тысяч), высокие нагрузки, повышенные требования по доступности сервисов и высокая цена простоя (в VK час стоит около 13 млн руб., "Яндекса" – более 30 млн руб.), высокая интенсивность потоков данных (300 Гбайт/с). Также около 90% инфраструктуры работает под управлением различных вариантов Linux.

С готовыми решениями для защиты такой инфраструктуры и раньше было непросто. Однако в нынешних условиях, когда с российского рынка ушли практически все международные поставщики средств сетевой безопасности, найти готовое решение класса Web Application Firewall высокой производительности невозможно. Это признал, в частности, вице-президент ПАО "Ростелеком" Игорь Ляпунов в своем выступлении на презентации курсов по стратегическому управлению цифровой устойчивости бизнеса. По его оценке, первых по-настоящему работающих решений от российских поставщиков следует ожидать не раньше 2023 года.

При этом, как подчеркнул Георгий Старостин, крупные ИТ-компании отличает высокий уровень изменений. По его оценке, у крупных корпораций он в среднем составляет 5% и менее в год, тогда как у ИТ-гигантов такие же изменения происходят за месяц. В таких условиях многие универсальные инструменты функционировать не могут. При этом Web является одним из наиболее широко эксплуатируемых векторов атак. "В 91% приложений могут происходить утечки информации, а две трети ресурсов, исследованных нами, подвержены раскрытию персональных данных. Все это грозит компаниям финансовыми и репутационными потерями, нарушением работы важных для бизнеса систем. Поэтому приложения нужно защищать и не оставлять слабых мест при их разработке и эксплуатации", - отметил руководитель отдела разработки PT BlackBox компании Positive Technologies Евгений Рыжов. В итоге в VK разработали host-based Firewall для внутреннего использования, который работает в кластере с балансировкой нагрузки.

https://www.comnews.ru/content/221899/2022-08-29/2022-w35/dinamicheskiy-analiz-strazhe-bezopasnosti

Также в VK используют статический сканер исходного кода, созданный самостоятельно. На создание этого продукта ушло около 1,5 лет. Его главной особенностью является поддержка всех используемых разработчиками VK языков программирования. Такое количество, как подчеркнул Георгий Старостин, не поддерживает ни один продукт на рынке, как коммерческий, так и с открытым кодом. Включение поддержки каждого нового языка занимает месяцы, тогда как силами внутренней команды эту задачу можно решить существенно быстрее.

Кроме того, использование SAST существенно снизило риски при использовании заимствованных компонентов с открытым кодом в условиях повышения рисков, связанных с тем, что участилось обнаружение как случайных ошибок, в том числе застарелых, так и намеренно внесенных недекларируемых возможностей, часто небезобидных. В итоге, по мнению управляющего директора аппарата правления ПАО "АК Барс Банк" Вячеслава Яшкина, задача выявления ошибок, уязвимостей и закладок стала критически важной для всех, кто применяет компоненты с открытым кодом

https://www.comnews.ru/content/220125/2022-05-06/2022-w18/otkrytyy-kod-trebuet-khlopot

В VK для повышения безопасности разработки ПО с использованием компонент с открытым кодом используют внутренний репозиторий, куда пакеты помещаются после проверки. Данный подход используется во многих компаниях. К примеру, репозиторий SFERA первоначально создавался в Группе Т1 для решения внутренних задач, но затем данная платформа была предложена рынку и ее активно использует российский банковский сектор. В "Яндексе" используется платформа "Аркадия". Эти продукты были представлены на форуме Russia Open Source IT Summit, который проходил в Казани в мае текущего года

https://www.comnews.ru/content/220109/2022-05-05/2022-w18/kodu-nuzhny-repozitorii

Аналогично действуют и другие компании. Директор по информационной безопасности "Диасофт" Алексей Полетаев приводит такой пример: "Мы успешно используем внутреннюю разработку – продукт для формирования и проверки усиленной квалифицированной электронной подписи классов КС1, КС2, КС3 и КВ2, СПО "Модуль подписи HSM". Его отличительная особенность – это простота и универсальность встраивания в любые информационные системы, такие как системы электронного документооборота, ЕБС, ФНС УЦ, СМЭВ, ЕСИА, МЭДО, в разрабатываемые облачные системы электронного подписания документов и различные сервисы, работающие по подписке по типу SaaS, PaaS, BaaS. Продукт используется не только для внутренних задач компании. Его уже установил и ряд крупных финансовых организаций – клиентов "Диасофт".