Безопасность приложений

Эта статья основана на отчете Imperva 2025 Malicious Robots Report, который выявляет три основные тенденции:
Новая норма автоматизированного трафика: в 2024 году автоматизированный трафик впервые превысил человеческий, составив 511 TP3T, из которых 371 TP3T - вредоносные боты, и рос шесть лет подряд, что свидетельствует о структурных изменениях в моделях взаимодействия в Интернете и новом этапе в решении проблем безопасности предприятий.
Эволюция атак с помощью ИИ: распространение искусственного интеллекта (ИИ) и больших языковых моделей (LLM) значительно снизило порог атаки, увеличив масштаб и изощренность вредоносных автоматизированных атак. ИИ используется не только для создания ботов, но и для их анализа, обучения и оптимизации методов уклонения, порождая усовершенствованные боты с более широкими возможностями уклонения и приводя к росту числа атак на бизнес-логику.
API становятся новым объектом атак: с ростом популярности микросервисов и мобильных приложений API стали главной мишенью для вредоносных ботов из-за их высокой ценности, относительно слабой защиты и простоты автоматизации.44% трафика современных ботов было направлено на API, причем наиболее сильно атакованы отрасли финансовых услуг и телекоммуникаций, где основными тактиками атак являются перехват данных, мошенничество с платежами и захват аккаунтов.
Кроме того, в статье подробно анализируется возрождение атак на захват учетных записей (ATO), отмечается их ежегодный рост до 40% в 2024 году, а также рассматриваются причины резкого увеличения числа ATO-атак, наиболее пострадавшие отрасли и возможные штрафные санкции со стороны регулирующих органов. Наконец, в документе предлагается многоуровневая адаптивная стратегия "защита в глубину", включающая выход за рамки традиционных WAF, укрепление безопасности API, противодействие ATO, построение единого представления о безопасности, непрерывный мониторинг и анализ угроз, которая призвана помочь организациям эффективно противостоять все более интеллектуальной и масштабной угрозе вредоносных ботов и защитить цифровые активы и непрерывность бизнеса.

Отчет Global State of DevSecOps Survey Report 2024 раскрывает ключевые тенденции и проблемы в сфере DevSecOps, основанный на опросе более чем 1000 глобальных разработчиков, сотрудников служб безопасности и операционного персонала, и содержит основные данные

82% организации используют 6-20 безопасных инструментов.
Результаты тестирования 60% содержат шумы от 21%-60%.
Только 24% респондентов были "чрезвычайно уверены" в защите кода ИИ.
Организации, входящие в группу 86%, считают, что тестирование безопасности замедляет разработку.

В этом отчете представлен обзор текущего состояния мировых практик, стратегий, использования инструментов DevSecOps и их влияния на безопасность программного обеспечения в 2023 году. В нем представлены результаты опроса 1 000 специалистов в области ИТ и AppSec, представляющих различные профессии, из США, Великобритании, Франции, Финляндии, Германии, Китая, Сингапура и Японии.

В этой статье представлен анализ уязвимостей стороннего SDK для мобильных приложений, проведенный исследователями безопасности Ли Бо и Чжан Синь из 360 Vulpecker Team. Команда 360 Vulpecker специализируется на атаках и защите безопасности систем и приложений Android, а также имеет собственную разработанную автоматизированную систему для аудита безопасности приложений Android. Эта статья начинается с статуса безопасности сторонних SDK, обсуждает риски безопасности, связанные с интеграцией SDK, и подробно описывает риски уязвимостей и методы атак различных SDK. На примерах анализируются методы эксплуатации уязвимостей push SDK и Share SDK, а также указывается масштаб воздействия соответствующих уязвимостей на приложения. Наконец, выдвигаются некоторые мысли, призванные привлечь внимание читателей и глубже задуматься о безопасности мобильных приложений.