2022/08/23 13:41:28

Стратегия безопасной разработки ИТ-продуктов. Подход Bercut

С начала 2022 года зарегистрировано несколько крупных утечек данных пользователей российских сервисов. Инциденты приобретают массовый характер. Директор по информационной безопасности Bercut Алексей Кощиенко рассказывает о том, как партнер по цифровой трансформации бизнеса с 27-летим опытом обеспечивает безопасность и конфиденциальность данных на всех этапах жизненного цикла разработки программного обеспечения.

Содержание

«
Мы понимаем и учитываем актуальные угрозы. Bercut регулярно, проводит мониторинг тенденций и трендов мира киберпреступности, проводит анализ всевозможных рисков с целью оптимизации методик по предотвращению и отражению угроз, - отмечает Алексей Кощиенко, директор по информационной безопасности Bercut
»

Например, в последнем отчете Security X-Force Treat Intelligence Index 2022 компании IBM упомянуто, что процент программ-вымогателей увеличился на 146% в сравнении с прошлым годом. Это позволяет сделать вывод об увеличении уровня инноваций в области программ-вымогателей для Linux.

Построение стратегии информационной безопасности любой организации требует внимания к тому, какие информационные ресурсы могут потенциально заинтересовать злоумышленников.

Решения Bercut инсталлированы в ИТ-ландшафт крупнейших интегрированных провайдеров цифровых услуг, обеспечивая бесперебойное обслуживание и сохраняя конфиденциальность данных миллионов пользователей ежедневно. Системы соответствуют мировым стандартам отрасли и поддерживают высокие требования по информационной безопасности наших партнеров.

Многолетний опыт позволил компании нарастить компетенции и укрепить экспертизу в вопросах, связанных с обеспечением информационной безопасности высокотехнологических продуктов. Основываясь на современных практиках, Bercut внедрил собственную нормативную базу, регламентирующую прохождение оценки соответствия базовым требованиям по информационной безопасности на всех этапах жизненного цикла разработки программного обеспечения. Иными словами, Bercut разработал собственный подход к организации процесса безопасной разработки ПО для бизнеса.

Модель зрелости BSIMM

Подход к процессу безопасной разработки Bercut основывается на модели зрелости BSIMM (Building Security In Maturity Model) версии 12, на текущий момент, являющейся самым актуальным индустриальным срезом в области безопасности приложений (Aplication Security). Модель опирается на практический опыт и данные, полученные от 128 организаций по всему миру. BSIMM включает в себя меры по повышению безопасности приложений путем обнаружения, исправления и предотвращения уязвимостей.

В основе методологии — разделение процесса Application Security на 4 группы практик (далее «домен»), каждая из которых отвечает за определенные операционные процессы:

  • Governance — организация, управление и оценка эффективности инициативы Application Security;
  • Intelligence — сбор и консолидация знаний в области информационной безопасности внутри организации;
  • SSDL Touchpoints — анализ и оценка конкретных артефактов и процессов в рамках производства ПО;
  • Deployment — взаимодействие с подразделениями сетевой и инфраструктурной безопасности и службами технической поддержки.

Каждый домен содержит в себе 12 практик, в совокупности насчитывающих 122 активности. Для активностей предусмотрены 3 уровня зрелости: начальный, средний и продвинутый. Сложная специфика отрасли и продуктов делает модель зрелости BSIMM наиболее релевантной для построения подхода к безопасной разработке в Bercut.

Использование BSIMM позволяет:
  • Оценить текущий уровень процессов безопасной разработки, с учетом специфики отрасли;
  • Использовать best practices, управлять активностями за счет удобной и понятной иерархии;
  • Следить за уровнем зрелости процесса в организации;
  • Составлять дорожные карты и обдуманно внедрять процессы безопасной разработки в командах.

Выбор активностей, которые будут включены в план по реализации, обуславливается спецификой отрасли и продуктов Bercut, а также систем, приложений и сервисов инфраструктуры, попадающих в контур разработки безопасного ПО. Анализ активностей позволяет сфокусироваться на наиболее приоритетных. Далее формируются требования к стеку инструментов и комплекс мер по обеспечению разработки ПО, включая требования по информационной безопасности.

Анализ защищенности приложений

Для решения задач по автоматизированному анализу защищенности приложений. Bercut применяет следующие практики:

'Автоматизированный анализ кода (SAST – Static Analysis Security Testing);'

В автоматизированном режиме проводится инструментальный анализ исходного кода, что позволяет обеспечить максимальное покрытие кодовой базы, снизив общую стоимость поиска уязвимостей.Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser 298.4 т

Инструмент SAST идентифицирует уязвимости, проводятся фильтрация false-positives и классификация дефектов (OWASP Top 10, OWASP Mobile Top 10, SANS Top 25), разрабатываются рекомендации по устранению.

'Динамическое тестирование (DAST – Dynamic Analysis Security Testing)'

Динамическое тестирование позволяет выявить уязвимости приложений и сервисов в рабочем окружении. Инструмент DAST идентифицирует уязвимости, проводятся фильтрация false-positives и классификация дефектов (OWASP Top 10, OWASP Mobile Top 10, SANS Top 25), разрабатываются рекомендации по устранению.

'Автоматизированный анализ Open Source рисков ПО (SCA – Software Composition Analysis)'

Для идентификации публично задекларированных уязвимостей производится автоматизированный анализ используемых компонентов с открытым исходным кодом.

Инструмент SCA идентифицирует уязвимости, проводятся фильтрация false-positives и классификация дефектов (CVE), разрабатываются рекомендации по устранению дефектов.

'Формирование бэклога дефектов'

Проводится корреляция всех идентифицированных уязвимостей, устраняются дубликаты (при наличии), формируется приоритетный бэклог дефектов к устранению, по результатам проведенного анализа защищенности разрабатывается итоговый отчет.

Процесс безопасной разработки в Bercut сопровождает ряд организационных документов:

  • Отчет о проведении анализа защищенности
    Описывает результаты проведенного анализа защищенности с приоритизированным списком выявленных дефектов.
  • Дорожная карта внедрения практик разработки защищенного ПО
    Описывает поэтапный план внедрения практик разработки защищенного ПО и документирует критерии для систем, приложений и сервисов, попадающих в контур SSDL.
  • Концептуальная архитектура внедрения инструментов обеспечения разработки защищенного ПО
    Описывает целевую концептуальную архитектуру комплекса решений для разработки защищенного ПО с учетом интеграции с целевым контуром DevOps.
  • Технические требования для инструментального стека обеспечения разработки защищенного ПО
    Описывает технические требования для инструментального стека обеспечения разработки защищенного ПО, а также методику их оценки с учетом результатов анализа применимости всего спектра технологий для систем / приложений / сервисов, попадающих в контур SSDL в контексте всех технологических особенностей и организационных ограничений.
  • Регламент процесса разработки защищенного ПО
    Документирует централизованный процесс управления практиками создания защищенного ПО для систем, приложений и сервисов. Регламент устанавливает порядок взаимодействия самостоятельных структурных подразделений в рамках поддержки непрерывного производственного процесса DevSecOps. Требования Регламента распространяются на всех сотрудников ИТ и ИБ подразделений, задействованных в процессе SSDL.
  • Базовые требования ИБ к ПО
    Описывает требования информационной безопасности при разработке ПО, также документирует методику проведения тестирования данных требования для приложений, попадающих в контур SSDL.
  • Организационная структура
    Описывает организационную структуру с учетом центра компетенций Application Security / DevSecOps. Документирует описание должностей, подход к развитию экспертизы внутри ИТ, а также ресурсный план.

Контроль на всех этапах жизненного цикла разработки ПО

«
В дополнение к классическим активностям Bercut проводит обучение по безопасной разработке, запускает собственные программы bug bounty, а также применяет концепцию Security Champions, когда человек внутри команды мотивирован дополнительными KPI’s. Это дает сотрудникам дополнительную заинтересованность в обеспечении безопасности продукта и личном контроле исполнения метрик информационной безопасности.
»

При разработке продуктов в Bercut используются исключительно локальные репозитории, проводится анализ открытых библиотек. Требования информационной безопасности соблюдаются и при проведении тестирования продуктов. В рамках процедуры отдел информационной безопасности совместно с группой тестирования производят оценку защищенности продуктовых стендов прежде, чем передать их в опытную эксплуатацию.

Безусловное выполнение необходимых проверок и контроль выставляемых требований достигается за счет организации единого автоматизированного циклического процесса, в который регулярно интегрируются новые методы и инженерные практики. Ведение чек-листа, учитывающего модели угроз для каждого продукта, использование технологических метрик позволяет оперативно выявлять проблемные зоны и контролировать эффективность на каждом этапе SSDLC ( secure software development life cycle) Bercut.

Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A1%D1%82%D1%80%D0%B0%D1%82%D0%B5%D0%B3%D0%B8%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B9_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B8_%D0%98%D0%A2-%D0%BF%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82%D0%BE%D0%B2._%D0%9F%D0%BE%D0%B4%D1%85%D0%BE%D0%B4_Bercut»

Править
Короткая ссылка   |  Просмотров: 5437
В России создали безалкогольное вино, защищающее почки при рентгене
Экс-главврач новгородской станции скорой помощи получил срок за подтасовку данных о скорости прибытия врачей
В 2 млн бутылок воды Perrier найдены бактерии
Экс-первый зампред правительства Подмосковья, курировавшая здравоохранение, задержана по делу о взятке
Конференция «ИТ в ритейле» состоится 28 мая в рамках Tadviser SummIT
Конференция «Информационная безопасность 2024» состоится 28 мая
Конференция «ИТ в промышленности 2024» состоится 28 мая
«Группа Астра» разрослась до двух десятков компаний. Ключевые активы экосистемы
Как защищать «поумневшие» промышленные сети: «Синоникс» на страже безопасного объединения изолированных сетей
TATLIN.BACKUP: российская СХД для резервного копирования
РЕД АДМ Промышленная редакция 1.1.1. от РЕД СОФТ. Больше доверия, сценариев и функций
Как исключить незапланированные расходы при выборе и внедрении BI-системы
Конференция «ИТ в банках 2024» состоится 28 мая
Евгений Титов, «Фитконсалтинг»: Мы идем решать проблемы розничного бизнеса в сегменте СМБ, однозначно понимая их
AUXO: Решение F.A.C.C.T. Attack Surface Management особенно актуально для Enterprise-компаний
Зачем бизнес переводит кибербез в облака
Антон Балагаев, Arenadata: Нужно освоиться и использовать облака тогда, когда это оправдано
Искусственный интеллект для служб поддержки от AutoFAQ
Быстрее, больше, мощнее: построение высоконагруженных систем на базе «Форсайт. Аналитическая платформа»
Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
Рынок заказной разработки ПО в России: особенности, перспективы, крупнейшие участники. Обзор TAdviser
Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser
Депутат Госдумы экс-программист Анатолий Вассерман примет участие в TAdviser SummIT 28 мая
28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser
Российский рынок СЭД/ECM борется с демпингом и рассчитывает на возможности искусственного интеллекта. Обзор и рейтинг TAdviser