2023/02/28 14:41:30

Какие проблемы возникают при внедрении DevSecOps и как их решить с помощью инструмента класса ASOC


Содержание

Значимость безопасности на российском ИТ-рынке увеличивается, поскольку число кибератак продолжает расти, а их тактика усложняется. Проблемы с уязвимостями в ПО и внутренними нарушителями также никуда не делись. Вместе с этим продолжает усиливаться тренд на высокоскоростную разработку и многофункциональность создаваемых продуктов. Следуя вызовам, компании ищут оптимальное решение и приходят к тому, чтобы внедрить DevSecOps, но не знают, как сделать это правильно. Им сложно поддерживать и масштабировать ИБ-практики, у них не получается наладить эффективное управление сканерами и оптимизировать работу с уязвимостями. Все эти проблемы можно решить с помощью инструмента, реализующего практику ASOC (Application Security Orchestration and Correlation). На российском рынке эту категорию продуктов представляет платформа AppSec.Hub, разработанная компанией Swordfish Security. В статье мы расскажем на примере AppSec.Hub, как инструмент класса ASOC позволяет устранить сложности, возникающие при внедрении DevSecOps, и реализовать весь потенциал методологии.

Комплексный подход и максимальная автоматизация

Многие компании в рамках внедрения инструментов безопасности в существующие процессы DevOps реализуют кастомные интеграции, используют сложные и не связанные между собой скрипты, которые трудно поддерживать и тиражировать на весь скоуп продуктов. Это приводит к нескончаемым проектам, требует больших затрат и может затянуться как минимум на несколько лет. Также компаниям крайне сложно координировать работу ИБ-инструментов, даже если их всего два, например SAST и DAST. Ручной и полуавтоматический режимы не дают методологии работать эффективно.

Платформа AppSec.Hub, реализующая практику ASOC, использует комплексный подход и позволяет автоматизировать все процессы безопасной разработки, в том числе внедрение инструментов. Благодаря этому периметр DevSecOps можно развернуть за несколько дней. Продукт имеет три инструментальных блока, один из них — оркестрация. В рамках этого направления платформа берет на себя создание, конфигурирование, а также запуск пайплайнов безопасности. AppSec.Hub интегрируется с разными ИБ-инструментами и CI/СD-процессами компании, настраивает ИБ-инструменты для каждого отдельного сканирования программных продуктов и в нужное время с учетом установленных критериев анализа запускает необходимые тесты через соответствующие сканеры. Таким образом, практика оркестрации значительно облегчает задачи инженеров DevOps. Им не нужно думать, как и чем проверить конкретный элемент продукта, вместо этого они могут вызвать платформу, и она всё сделает сама.

Рис.1 Процесс DevSecOps

AppSec.Hub поддерживает масштабируемую интеграцию с процессами CI/CD. Платформу можно подключить к различным элементам программных продуктов — репозиториям кода, артефактам сборки, контейнерам, дистрибутивам, экземплярам приложений, развернутых в средах тестирования и эксплуатации. Это позволяет контролировать все версии продуктов, независимо от их количества.

Рис. 2 Интеграция
'Чтобы интегрировать сканирование безопасности в сегменты конвейеров DevOps, нужно добавить фрагмент кода AppSec.Hub в декларативный файл.'

Централизованная работа с уязвимостями

При отсутствии единого решения для реализации DevSecOps все инструменты работают в отдельных плоскостях, каждый из них выдает результаты, а все вместе они порождают гигантские объемы данных. Кроме этого, сканеры довольно часто генерируют большое количество ложных срабатываний, которые также нужно верифицировать. На всё это уходит много ресурсов и времени, а весь процесс в целом функционирует «со скрипом» из-за отсутствия прозрачности.

Практика корреляции, реализованная на платформе AppSec.Hub, обеспечивает централизованный подход к взаимодействию с ИБ-инструментами и обработке их результатов. Платформа импортирует все уязвимости, найденные сканерами, и анализирует их с помощью специального движка Application Vulnerability Correlation (AVC) и фильтров для работы с ошибками. AVC использует технологии машинного обучения, движок исследует исходный код вместе с данными и предсказывает статус уязвимостей — то есть определяет ложные (False Positive) и реальные (True Positive) срабатывания. Проблеме присваивается определенный статус, если точность предсказания соответствуют сформированным заранее пороговым значениям. При этом AppSec.Hub следит за качеством анализа и регулярно совершенствует эту функцию, запуская переобучение. Таким образом, платформа позволяет ИБ-специалистам оптимизировать затраты ресурсов на анализ уязвимостей и сконцентрироваться только на реальных проблемах. Российский рынок CRM-систем: оценки, тренды, крупнейшие поставщики и перспективы. Обзор TAdviser 149 т

После анализа результатов сканирования AppSec.Hub применяет правила корреляции к True Positive. Используя установленные правила, например по типу, статусу, категории, критичности проблемы, платформа объединяет уязвимости в группы, параллельно она распознает дубликаты и похожие срабатывания. Из сформированных групп AppSec.Hub создает дефекты, а затем синхронизирует их с системами дефект-менеджмента. Практика корреляции позволяет правильно расставить приоритеты в рамках работы с уязвимостями и своевременно устранить ошибки. Также платформа регулярно проверяет статус проблем и сравнивает результаты анализа новых версий, в которых дефекты должны быть устранены, с отчетами сканирований более ранних вариантов. Так AppSec.Hub в автоматическом режиме контролирует процесс устранения уязвимостей.

Рис.3 Уязвимости ИБ

Отслеживание эффективности процессов

Компании, в которых не используют комплексный и централизованный подход к реализации DevSecOps, практически не имеют возможности отслеживать реальную эффективность методологии в разрезе отдельных практик и инструментов ИБ, команд и релизов. В результате организации не могут скорректировать процессы и направить их в нужное русло, а также оценить ROI.

Для решения этой задачи на платформе AppSec.Hub, относящейся к классу ASOC, есть дополнительный блок — Аналитика. В рамках него реализуется комплексный Data-Driven-подход к управлению процессом безопасной разработки. Инструмент собирает в специальное хранилище данные о продуктах и артефактах ПО, историю анализа безопасности и результаты сканирований, информацию о статусе выполнения задач в пайплайнах и исправления уязвимостей и так далее. Платформа обрабатывает всё это и упаковывает в отчеты, справочные панели и дашборды. Компания получает возможность централизованно контролировать уровень защищенности создаваемых программных продуктов, определять зрелость внедренных ИБ-практик, выявлять тренды процесса безопасной разработки. AppSec.Hub также поддерживает интеграцию со сторонними инструментами сбора и анализа данных.

Рис.4 DevSecOps этапы

Выводы

DevSecOps — это комплексный процесс, который приносит пользу сразу трем ключевым направлениям. Во-первых, безопасность становится частью процесса разработки, что позволяет выявлять уязвимости как можно раньше и сразу их устранять. Во-вторых, экономятся ресурсы разработки за счет своевременного обнаружения проблем и полной автоматизации процессов. В-третьих, сокращается Time-to-Market и затраты на безопасность, от чего выигрывает бизнес.

Но всё это работает только при использовании комплексного и централизованного подхода к реализации DevSecOps, в рамках которого все процессы автоматизированы и ими можно управлять в режиме реального времени. Платформа, реализующая практику ASOC, поможет выполнить все эти задачи, использовать максимум возможностей методологии безопасной разработки и добиться высоких результатов. В частности, AppSec.Hub позволяет сократить в 10 раз затраты на внедрение DevSecOps, сэкономить 15% годового бюджета разработки, уменьшить на 20% показатель Time-to-Market и достичь 700% ROI.