Даниил Чернов, «РТК-Солар»: Кибервойна определила вектор развития Application Security в 2022 году31.01.2023 11:00

Атаки на веб-приложения — сегодня один из самых популярных типов киберпреступлений. По данным различных исследований, около 17–20% взломов происходят из-за недостатков защиты приложений. Хакеры используют уязвимости для различных целей: распространения вредоносного ПО, кражи данных и внедрения несанкционированной информации. О «дырах» в программном обеспечении, инструментах анализа безопасности приложений настоящего и будущего CNews рассказал директор Центра Solar appScreener компании «РТК-Солар» Даниил Чернов.

Путает пол с потолком

CNews: Как изменилось понятие «уязвимость приложений» за последнее время? Какие тренды вы здесь видите?

Даниил Чернов: Пять лет назад это понятие было чем-то экзотическим и эфемерным. Сегодня из-за уязвимости приложений злоумышленники взламывают системы гораздо чаще, а после 24 февраля 2022 года количество атак через «дырки» в приложениях увеличилось в 5–7 раз. Мощнейшим хакерским атакам подверглось большинство репозиториев с открытыми библиотеками и Open Source-компонентами: начиная от всплывающих строк с политическими лозунгами и заканчивая серьезными поломками систем или утечками данных.

Кибервойна определила вектор развития Application Security в 2022 году. Российскому рынку информационной безопасности пришлось «повзрослеть» буквально за несколько месяцев. И сейчас, мне кажется, мы не просто догнали, но уже и обогнали западных коллег, которые были в авангарде по набору практик, методов, способов защиты от атак на веб-приложения.

CNews: В развитии технологий все большую роль играет AI. Как вы думаете, использование AI в Application Security сегодня — вынужденное настоящее, «маркетинговый хайп» или все же будущее?

Даниил Чернов: В какой-то степени вендоры экспериментируют с искусственным интеллектом уже сейчас. И, конечно же, без AI мыне обойдемся в будущем, но пока об использовании технологии в ее чистом виде, по крайней мере в сфере ИБ, говорить рано. Она еще слишком несовершенна. При этом в Application Securityуже сейчас есть области эффективного применения инструментов AI.

Дело в том, что мобильные приложения колоссально большие. Например, недавно я видел приложение объемом более трех миллионов строк кода, а это больше, чем ядро операционной системы Linux 12-летней давности. Вспомните старые смартфоны, 10 лет назад они успешно справлялись с почтой, календарем и будильником. Не берем во внимание качество фото и видео, разумеется, но сама аппаратная начинка была неплохой. И каждый крупный вендор старался вложить в свой продукт как можно больше функционала.

Эта гонка «железа» привела к тому, что исходный код не был оптимизирован. В приложениях сегодня используется большая часть софта, что и формирует широкую поверхность для хакерской атаки. AI как раз-таки нужен для работы с этими объемами данных. Для выполнения этой задачи компания, конечно, может нанять большой штат людей, что будет абсолютно нерентабельно. Самый эффективный путь здесь — улучшить движок для обработки данных в Application Security.

CNews: В чем сложности использования AI в Application Security?

Даниил Чернов: Основная сложность в том, что исходный код большой, на такой поверхности генерируется очень много уязвимостей, и в ограниченном промежутке времени их очень сложно ранжировать.

Задача AI — помочь пользователю в этих анализах, и здесь уже не так важно, какие именно данные он будет обрабатывать. Проблема в другом: работа с большим массивом данных в Application Security — все еще вопрос будущего. Чтобы это стало настоящим, необходимо создать воспроизводимые условия и предоставить существенный набор данных для обучения AI. Если второе условие выполнимо — например, вендор может позволить себе обезличить данные в облаке и отдать их на обучение искусственного интеллекта, то первое — повторяемость — сложно обеспечить.

Допустим, и у вас, и у меня есть задача написать приложение, которое будет выполнять определенную функцию. Но на выходе у вас будет один код, а у меня — другой. Для AI это уже большой разброс, который расфокусирует его внимание.

Что нужно пользователю в первую очередь? Прогнать свой код и получить хорошие результаты. Пока AI ему в этом помочь может лишь в частных случаях. Искусственный интеллект может сильно ошибаться, путая пол с потолком.

CNews: Именно поэтому AI сегодня не пользуется большой популярностью у производителей сканеров безопасности приложений?

Даниил Чернов: Пока не используется, хотя некоторые вендоры могут утверждать обратное. И, на мой взгляд, это маркетинговое лукавство. Некоторые компании и правда ведут RnD в данном направлении, но пока речь идет лишь об исследованиях в этой области. Для продуктов Application Security у нас, например, есть разные инструменты-помощники.

В нашем сканере безопасности приложений есть запатентованный движок Fuzzy Logic Engine. Это фильтр, который на основе алгоритма, использующего аппарат нечеткой логики, помогает убрать ложные срабатывания из анализа и существенно сократить время на изучение отчета. При этом Fuzzy Logic Engine нельзя назвать AI, потому что в нем используется классический алгоритм.

Что касается AI, его можно и нужно использовать при анализе данных, в обработке правил и повышении качества рекомендаций, но пока еще не в самом движке.

Симбиоз белого и черного ящика

CNews: Вы упомянули сканер безопасности — в декабре вы представили новую версию Solar appScreener, назвав этот релиз самым ожидаемым за всю историю продукта. Почему вы так считаете?

Даниил Чернов: На сегодняшний день существуют разные методы анализа исходного кода. Например, при тестировании методом «белого ящика» пользователь отправляет код в сканер для последующей проверки, выполнение программы при этом не происходит — так проводится статический анализ (SAST). При динамическом методе (DAST) — его еще называют методом «черного ящика» — движок анализа работает совсем по-другому. Происходит эмуляция внешних атак, и на основании ответов на поступающие запросы он делает собственное заключение о наличии брешей в защите приложений.

Сейчас на рынке есть вендоры, которые предлагают либо «белый», либо «черный ящик». Есть даже такие, у которых есть оба варианта тестирования, но в эксплуатации они все равно остаются разными продуктами. Наша новая версия сканера — некий симбиоз. Система умеет работать обоими методами и может коррелировать результаты. Например, если в исходном коде была найдена уязвимость, которая подтвердилась методом динамического анализа, система сразу подсвечивает пользователю места, где она подтвердилась, и дает конкретные рекомендации по устранению.

Так значительно сокращается время на анализ отчета — благодаря минимальному количеству ложных срабатываний и корреляции результатов анализа в едином интерфейсе. Нам важно, чтобы пользователю было легко и комфортно работать. Это значит, что он должен тратить минимум времени на обработку результатов анализа. Сейчас для нас это основное направление для развития.

CNews: В чем конкурентные преимущества продукта? И какие аналоги сегодня есть на российском рынке?

Даниил Чернов: Во-первых, корреляция результатов статического и динамического анализа сегодня — скорее потребность международного рынка, которая все ярче начинает прослеживаться в России. И в России такого продукта — с корреляцией результатов анализа SAST и DAST в едином интерфейсе — пока ни у кого нет.

Во-вторых, наш статический анализ может работать как с исходными кодами, так и с приложениями без них. Это наша фишка: движок делает реверс-инжиниринг и показывает в восстановленном исходном коде его уязвимости.

В-третьих, речь идет о качестве анализа, о минимизации ложных срабатываний. Fuzzy Logic Engine и корреляция статического и динамического анализа в новой версии сканера позволяют максимально сильно автоматизаровать работу пользователя с Solar appScreener.

AI: что нас ждет в будущем

CNews: Каких изменений в решении ожидать в 2023 году? Появятся ли в нем компоненты, связанные с AI?

Даниил Чернов: Мы хотим добавить еще один движок анализа в наш сканер — Software Composition Analysis. Он сможет анализировать библиотеки и компоненты, делать их инвентаризацию и коррелировать эти данные с SAST и DAST.

Заявлять о внедрении алгоритмов искусственного интеллекта в Solar appScreener на горизонте этого года мы не готовы. Есть гипотезы, которые необходимо отработать, и это требует много внимания и времени. Поэтому пока мы идем в RnD, так как крайне важно семь раз отмерить и один раз добавить в продукт. Если поторопиться, может оказаться, что новый алгоритм неплохо работает в лабораторных условиях, но его применение невозможно в реальных проектах и сценариях, которые еще не тестировали. Поэтому сроки выхода нового движка сложно спрогнозировать, мы очень аккуратно идем в эту сторону.

CNews: Каковы в целом перспективы AI в Application Security?

Даниил Чернов: Я бы здесь размышлял о задачах, которые AI способен решить. Это как раз про повышение качества результатов: инструмент не просто показывает уязвимость и дает алгоритмические, локальные рекомендации, но смотрит на всю систему в целом. Например, может оказаться, что у пользователя весь проект собран из «костылей», сканер находит брешь в одном из них и рекомендует локально ее устранить, а по факту в этом случае необходимо менять всю архитектуру. И это очень интересное направление для развития искусственного интеллекта.

Технология искусственного интеллекта пока только стоит на пороге Application Security, но проверенные классические алгоритмы уже отточены до совершенства, и этим нужно пользоваться. ■ Токен: Pb3XmBtzssAxQkhS2CnLn17tiqzN2wtze9HtUbAРекламодатель: ООО «РТК ИБ»ИНН/ОГРН: 7704356648/1167746458065Сайт: https://rt-solar.ru/

Полный текст статьи читайте на CNews