В сегменте разработки безопасного программного обеспечения (РБПО) формируются новые практики, что продиктовано рядом обстоятельств. За последние 12 месяцев каждая третья компания пострадала от атак на цепочки поставок. Внедрение ИИ-инструментов открывает дополнительные возможности для злоумышленников и разработчиков средств защиты. Игра в кошки-мышки между ними продолжается. Об этом шла речь на Дне безопасной разработки ПО – конференции, в шестой раз организованной АРПП «Отечественный софт» по инициативе комитета по информационной безопасности Ассоциации. Участники мероприятия обсудили подходы к безопасности компонентов Open Source, специфику защиты поставок ПО, эффективность процессов и особенности внедрения практик DevSecOps.
Открывая конференцию, исполнительный директор АРПП «Отечественный софт» Ренат Лашин отметил растущий интерес к теме безопасной разработки, важность обсуждения требований и стандартов, обмена опытом внедрения РБПО в реальные процессы. Вокруг темы формируется профессиональное сообщество, задача Ассоциации – создавать условия для активного диалога между разработчиками, заказчиками, экспертами и регуляторами, чтобы лучшие практики безопасной разработки становились отраслевым стандартом.
В центре внимания АРПП – целевые программы поддержки РБПО, стимулирующие внедрение процессов безопасной разработки. В отрасли очевиден запрос на три направления помощи: внедрение практик по требованиям ФСТЭК, аудит по ГОСТ 56939-2024 и подготовка документации по четвертому уровню доверия, сообщил модератор конференции, руководитель комитета по ИБ АРПП «Отечественный софт», генеральный директор Axiom JDK Роман Карпов.
Нормативная и методическая база РБПО продолжает развиваться. Новую редакцию профиля защиты представила консультант Банка России Анастасия Сакулина. Раздел 7.4 профиля приведен в соответствие с ГОСТ по РБПО, а требования к безопасному жизненному циклу разработки стали более детализированными и проверяемыми. Профиль защиты регулярно анализируется испытательными лабораториями и кредитно-финансовыми организациями. Предложения по его совершенствованию учитываются при подготовке новых редакций. Банк России планирует дополнять профиль защиты требованиями к безопасному внедрению новых технологий, рассказала эксперт.
Эксплуатация уязвимостей
С обзором атак на цепочки поставок выступил старший исследователь угроз компании Kaspersky GReAT Леонид Безвершенко. Ежегодно GReAT публикует в среднем 160 приватных отчетов, в 2025-м их было свыше 200. Среди наиболее атакуемых регионов на первом месте Россия и страны СНГ (46%), на втором – Европа (21%), на третьем – Азия (12%). Что касается индустрий, то, как и прежде, усилия злоумышленников в первую очередь направлены на государственный сектор и промышленность. На третью позицию в этом списке, где обычно значился финансовый сегмент, «вырвался ИТ-сектор».
Говоря об уязвимостях, эксперт прокомментировал одну из последних, обнаруженную в атаках с применением браузера Google Chrome. Исследователям в России приходили фишинговые письма, с уникальными ссылками, приглашением на форум «Примаковские чтения». При переходе по ссылке в браузере эксплуатировалась уязвимость «нулевого дня», довольно простая, но, по словам эксперта, «очень филигранная». Злоумышленники заражали персональные компьютеры исследователей, устанавливая шпионское ПО. Эксперты сообщили о происходящем и продолжили искать схожие атаки.
Обнаружилась связь с другой атакой – распространением писем дипломатического характера. Последней вредоносной нагрузкой было коммерческое шпионское ПО, реализуемое для государственных целей на правах официального продукта. Для атаки, целью которой были исследователи и ученые, использовалось коммерческое ПО от компании Momento Labs (название после ребрендинга). Спустя время после публикации отчета директор этой компании подтвердил, что шпионское ПО использовалось против России одним из их покупателей. Позднее пост был удален, но Интернет все помнит.
Схемы атак на цепочку поставок показывают, что самыми уязвимыми точками остаются сам разработчик и внешние зависимости, используемые в сборке. В результате в репозитории пакетов появляется подписанный, допустим, цифровой подписью зараженный пакет, которым управляет атакующий. За последний год каждая третья компания в той или иной мере пострадала от атак на цепочки поставок, сообщил эксперт.
Среди крупных кейсов прошлого года упоминался индийский антивирус eScan, распространяющий вредоносное ПО через официальный сервер обновлений. Еще один пример – программа Notepad++. После компрометации сервера обновлений злоумышленники в течение полугода распространяли вредоносные версии Notepad. Старались находиться на компьютерах жертв как можно дольше, занимаясь шпионской деятельностью.
В апреле 2026 г. была обнаружена атака на официальный сайт Daemon Tools, ПО эмуляции виртуальных дисков. Вредоносное ПО распространяется вместе с легитимным приложением, предоставляя злоумышленникам возможность выполнять произвольные команды и удаленно управлять зараженными устройствами. На момент исследования атаки было зафиксировано свыше 2 тыс. заражений (только по телеметрии GReAT), на самом деле жертв намного больше. В числе пострадавших регионов – Россия, Бразилия, Турция, Испания, Германия, Франция, Италия, Китай.
Характерно, что в таких атаках часто используется таргетированный подход. То есть вначале заражается как можно больше жертв, а после анализа шпионское ПО распространяется уже только для самых привлекательных целей.
Финансово-мотивированные группировки также не дремлют. В рамках рекламы криптофондов, проектов для инвестиций в криптовалюты назначаются звонки якобы с инвесторами (в мессенджере присылается ссылка на Zoom). При этом используется технология, позволяющая ставить гиперссылку с другим текстом. Поэтому для жертвы ссылка выглядит легитимно. Пользователь подключается, видит собеседников – других жертв. Предварительно программа скрытно записывает в видеокамеру видеоряд, лица, чтобы использовать их в последующих атаках.
При подключении к звонку появляется сообщение о старой версии Zoom, которую нужно обновить. Предлагается код для терминала, а при копировании в буфер обмена посылаются другие команды. Одна из наиболее популярных атак.
Новый вектор атак
99% компаний планируют использовать искусственный интеллект для построения процессов безопасности инфраструктуры. ИИ-агенты определяют новый вектор атак на цепочки поставок, так как применяют внешние компоненты (open-source фреймворки, модели, плагины, API, облачные сервисы) и по сравнению с обычными приложениями выполняют намного больше взаимодействий. Компрометация одной зависимости чревата множественными компрометациям ИТ-систем.
Одна из недавних атак проведена новой хакерской группировкой TeamPCP (славится тем, что взламывает огромное количество опенсорсных пакетов, в том числе при помощи сборочных конвейеров через GitHub). Так была повреждена одна из самых популярных библиотек для больших языковых моделей. TeamPCP скомпрометировала LiteLLM (примерно 95 млн загрузок в месяц) для взаимодействия c ИИ-приложениями.
«Серебряной пули», которая поможет предотвратить подобные сценарии и последующее негативное развитие событий, как известно, не существует. Эксперты отмечали, что важно на каждом этапе, в частности, загрузки внешних компонентов, прорабатывать вопросы безопасности, применять инструменты анализа. Чем больше проверок, тем ниже риски. Однако нестандартные задачи нередко застают врасплох, например, когда взламывается пакет с валидной цифровой подписью (не видит антивирусы).
Атаки с использованием ИИ – закономерное явление. К любой новой технологии интерес проявляют и злоумышленники, и разработчики средств защиты. Бесконечная игра в кошки-мышки продолжается.
Как перестать «тушить пожары»
Многое в области безопасности зависит от работающих процессов. Рекомендациями, как перестать «тушить пожары» и начать строить эффективные процессы безопасной разработки, поделился ведущий эксперт по ИБ ООО «НТЦ “Фобос-НТ”» Евгений Рвянин. Компании предпринимают попытки построить процессы «по-быстрому», «под сертификацию» – запускают их за месяцы до аудита. В таких случаях есть регламенты, но нет живого процесса. Лицензии лежат на полке, а инструменты не встроены в конвейер. Иными словами, авралы в таком деле не помощники.
На основе ошибок, допускаемых компаниями, которые уже пригласили аудитора, чтобы он помог предотвратить или устранить проблему, эксперт сформулировал шесть советов.
Первый – не идти на сертификацию РБПО при нулевой готовности процессов, не создавать аврал, целясь сразу в сертификат. Выстроить процессы безопасности, а не доказывать их наличие. Вместо описания несуществующих процессов лучше проработать стратегию найма специалистов, компетентных в недостающих практиках.
Второй – не скрывать проблемные точки от приглашенного аудитора, а вместе искать способ решения, не давая проблеме повлиять на другие процессы. Чем честнее поиск слабых звеньев, тем дешевле удастся с ними справиться.
Третий – не взваливать безопасность продукта и конвейера его сборки на энтузиастов без ресурсов и поддержки. Реалистичные сроки и распределенная ответственность важнее впечатляющего дедлайна.
Четвертый – не приобретать инструменты только ради инструмента, «чтобы соответствовать». Они должны быть встроены в конвейер, служить целям профилактики, а не лежать «на случай аудита».
Пятый – не создавать проблем там, где их нет. Предварительно стоит оценить реальную потребность в сертификате.
Шестой – нельзя строить процесс безопасной разработки на устаревших или заведомо слабых продуктах. Подбирать инструменты следует под реальные требования.
«Пожар» в РБПО – следствие системных ошибок. И задача не в том, чтобы героически реагировать на кризис, а в том, чтобы сформировать рабочий процесс, предотвращающий наступление кризиса.
Светлана Иванова, Connect
