Поделиться
Исследование: 83% корпораций используют методологию DevSecOps
«К2 Кибербезопасность» и Positive Technologies провели исследование подходов бизнеса к безопасной разработке собственного ПО: мобильных и бизнес-приложений, финансовых и учетных систем, специализированных отраслевых промышленных решений и т.д. Респондентами выступили ИТ- и ИБ-руководители разных уровней из 103 крупных российских компаний следующих отраслей: промышленность, финансовый сектор, телеком, ИТ, ритейл и FMCG, транспорт и логистика, строительство, медицина и фармацевтика, образование и медиа.
Согласно результатам опроса, 83% корпораций используют методологию DevSecOps, встраивая механизмы безопасности на каждом этапе разработки собственного ПО. Более половины (59%) тех, у кого такой процесс пока отсутствует, видят потребность в его построении. Безопасность разработки чаще (48%) остается в зоне ответственности ИТ-отдела, у 41% респондентов за это направление отвечает ИБ-подразделение.
Большинство (49%) корпораций заявили, что используют отечественные решения для безопасной разработки собственного ПО. Причем 30% используют исключительно решения отечественных вендоров, 19% — и отечественных и зарубежных, 19% — только зарубежных. Те, кто перешел на отечественные решения, при выборе ориентировались прежде всего на их доступность на рынке, включая техподдержку и обновления. Тем не менее опрошенные отметили, что на рынке пока нет комплексных российских платформ для обеспечения безопасной разработки.
«В качестве основы своих приложений 65% респондентов используют гибкую микросервисную архитектуру на базе контейнеров. Это позволяет бизнесу быстрее выводить продукты на рынок и повышать конкурентоспособность, а разработчикам — упрощать управление и автоматизацию развертывания приложений. При этом контейнеры пользуются популярностью и у злоумышленников. Поэтому мы видим, что компании все активнее инвестируют в методологию безопасной разработки (DevSecOps), в т.ч. и для защиты контейнеров, на самых начальных этапах, чтобы минимизировать риски и предотвратить серьезные инциденты. Это гораздо дешевле и эффективнее, чем устранять последствия кибератак», — сказал Вадим Католик, руководитель направления защиты данных и приложений в «К2 Кибербезопасность».
«Рост интереса к безопасной разработке, который мы наблюдаем в 83% компаний, подтверждает, что бизнес осознает: защита ПО на этапе создания — это не просто тренд, а необходимость. При этом 49% корпораций уже делают ставку на отечественные решения, что говорит о стремлении к технологической независимости. Сегодня, когда DDoS-атаки и утечки данных возглавляют список угроз, а контейнеризация и автоматизации наращивает темпы, интеграция безопасности в жизненный цикл становится критически важной для защиты бизнеса пользователей ПО», — сказала Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies.
Чаще всего (42%) респонденты используют инструменты анализа кода и тестирования безопасности приложений (SAST, DAST, IAST). Популярностью также пользуются сканеры уязвимостей (19%) и платформенные решения (13%), среди которых, по мнению респондентов, есть достойные отечественные продукты.
Самыми актуальными и опасными угрозами для безопасности собственных разработок 24% опрошенных назвали DDoS-атаки, а 15% — утечки данных (и как метод проведения атаки, и как ее последствие). Также респонденты выделили атаки нулевого дня (zero day); вирусы, связанные с ошибками сотрудников при эксплуатации решений; устаревшие компоненты; нарушение контроля доступа; уязвимости в открытом коде и т.д.
Компании, принявшие участие в опросе, разрабатывают широкий спектр ИТ-решений и продуктов, охватывающих различные области и потребности рынка. Среди наиболее популярных направлений разработки они выделили: бизнес-приложения (23%), к которым относятся CRM-, ECM-, ERP-, WMS-системы; специализированные отраслевые промышленные решения и продукты (14%) — ПО для проектирования, PLM, средства автоматизации и др.; а также финансовые и учетные системы (12%) — биллинг, финтех и другие.
Поделиться
Короткая ссылка
