Разработка и ИБ: как добиться синергии?

Вы когда-нибудь слышали про Positive Hack Days? Если нет, спешим это исправить. PHDays — международный форум по практической безопасности. Его «фишка» — сочетание докладов, дискуссий и мастер-классов с турниром Stand-off («Противостояние»): одна группа участников пытается взломать специально созданную инфраструктуру, а другая — защитить ее от взлома. Объекты в инфраструктуре разные — промышленные системы управления, банковские сервисы, мобильная связь, веб-приложения, противник применяет любые уловки и технологии, но и защитники не остаются в долгу.

Наблюдать за «Противостоянием» очень интересно, но у СИГМЫ был другой повод для участия. По приглашению РТК-Солар наш коллега Александр Иванов, заместитель начальника отдела безопасной разработки, вместе с экспертами VK и Райффайзен Банка обсудил, как правильно строить взаимодействие разработчиков и безопасников и интегрировать тестирование ИБ в каждый этап создания ПО (DevSecOps). Думаете, это что-то узкоспециальное? Как оказалось, нет — и сейчас узнаем, почему.

«Модификация процессов управления зависимостями в коде и встраивание дополнительных проверок в процессы разработки — новая реальность. Это следствие изменений в ландшафте угроз и вызовов, с которыми ИТ-отрасль столкнулась при обеспечении безопасности разработки на фоне последних событий: появления политических лозунгов и malware в opensource-библиотеках для разработчиков из РФ и т.д. Уход ряда ИБ-вендоров с отечественного рынка добавил сложностей по реализации проверок и перестраиванию процессов сканирования и управления уязвимостями», — отметил Александр Иванов.

Взболтать, но не смешивать

В каждой организации вырабатываются свои подходы к взаимодействию между командами ИБ и разработки. В СИГМЕ эти процессы выстроены с учетом требований нормативных документов, а также с использованием лучших практик, трендов и правил. Стек инструментов проверки безопасности кода находится под управлением отдела безопасной разработки. DevSecOps-инженеры отдела совместно с DevOps-инженерами команд разработки встраивают проверки в процессы сборки и доставки ПО команд, а AppSec-аналитики отдела безопасной разработки занимаются разбором и валидацией уязвимостей, найденных сканерами и другими инструментами.

В нашей компании есть еще одна незаменимая позиция, связующее звено между командами разработки и ИБ — Security Champion. Он входит в состав команды разработки, но выступает в интересах ИБ. Чемпион участвует в процессе оценки рисков, разработки ПО, инициировании проверок продукта, понимает цели, процессы и особенности команды. Это может быть тимлид, разработчик, QA, проект-менеджер — главное, чтобы этот сотрудник закрывал все вопросы по обеспечению безопасности.

Интегрироваться осознанно

Система работает, когда она выстроена. И это можно увидеть на примере СИГМЫ. Команда информационной безопасности стала незаменимым и активным участником процесса разработки, уйдя от привычной роли внешнего аудитора. Что меняется в процессах разработки и какие результаты это приносит?

• Разработка ПО становится безопаснее: автоматизируются процессы анализа кода, тестирования приложений, соответствия стандартам.
• ИБ бесшовно встраивается в привычные процессы разработки, все это за счет интеграции с системами разработчиков.
• Команды работают по единым правилам и рекомендациям, а значит, разработчики быстрее устраняют обнаруженные проблемы, а безопасники — вносят более весомый вклад в улучшение ПО.

В итоге СИГМА уверенно идет к стандартизации и систематизации процессов безопасности, а также к обнаружению и устранению уязвимостей и проблем на ранних стадиях разработки.