Стратегия безопасной разработки ИТ-продуктов. Подход Bercut.
С начала 2022 года зарегистрировано несколько крупных утечек данных пользователей российских сервисов. Инциденты приобретают массовый характер. Директор по информационной безопасности Bercut рассказывает о том, как партнер по цифровой трансформации бизнеса с 27-летим опытом обеспечивает безопасность и конфиденциальность данных на всех этапах жизненного цикла разработки программного обеспечения.
«Мы понимаем и учитываем актуальные угрозы. Bercut регулярно, проводит мониторинг тенденций и трендов мира киберпреступности, проводит анализ всевозможных рисков с целью оптимизации методик по предотвращению и отражению угроз.» (Алексей Кощиенко, Директор по информационной безопасности Bercut)
Например: в последнем отчете Security X-Force Treat Intelligence Index 2022 компании IBM упомянуто, что процент программ-вымогателей увеличился на 146% в сравнении с прошлым годом. Что позволяет сделать вывод об увеличении уровня инноваций в области программ-вымогателей для Linux.
Построение стратегии информационной безопасности любой организации требует внимания к тому, какие информационные ресурсы могут потенциально заинтересовать злоумышленников.
Решения Bercut инсталлированы в ИТ-ландшафт крупнейших интегрированных провайдеров цифровых услуг, обеспечивая бесперебойное обслуживание и сохраняя конфиденциальность данных миллионов пользователей ежедневно. Системы соответствуют мировым стандартам отрасли и поддерживают высокие требования по информационной безопасности наших партнеров.
Многолетний опыт позволил компании нарастить компетенции и укрепить экспертизу в вопросах, связанных с обеспечением информационной безопасности высокотехнологических продуктов. Основываясь на современных практиках, Bercut внедрил собственную нормативную базу, регламентирующую прохождение оценки соответствия базовым требованиям по информационной безопасности на всех этапах жизненного цикла разработки программного обеспечения. Иными словами, Bercut разработал собственный подход к организации процесса безопасной разработки ПО для бизнеса.
Модель зрелости BSIMM
Подход к процессу безопасной разработки Bercut основывается на модели зрелости BSIMM (Building Security In Maturity Model) версии 12, на текущий момент, являющейся самым актуальным индустриальным срезом в области безопасности приложений (Aplication Security). Модель опирается на практический опыт и данные, полученные от 128 организаций по всему миру. BSIMM включает в себя меры по повышению безопасности приложений путем обнаружения, исправления и предотвращения уязвимостей.
В основе методологии — разделение процесса Application Security на 4 группы практик (далее «домен»), каждая из которых отвечает за определенные операционные процессы:
- Governance — организация, управление и оценка эффективности инициативы Application Security;
- Intelligence — сбор и консолидация знаний в области информационной безопасности внутри организации;
- SSDL Touchpoints — анализ и оценка конкретных артефактов и процессов в рамках производства ПО;
- Deployment — взаимодействие с подразделениями сетевой и инфраструктурной безопасности и службами технической поддержки.
Каждый домен содержит в себе 12 практик, в совокупности насчитывающих 122 активности. Для активностей предусмотрены 3 уровня зрелости: начальный, средний и продвинутый. Сложная специфика отрасли и продуктов делает модель зрелости BSIMM наиболее релевантной для построения подхода к безопасной разработке в Bercut.
Использование BSIMM позволяет:
- Оценить текущий уровень процессов безопасной разработки, с учетом специфики отрасли;
- Использовать best practices, управлять активностями за счет удобной и понятной иерархии;
- Следить за уровнем зрелости процесса в организации;
- Составлять дорожные карты и обдуманно внедрять процессы безопасной разработки в командах.
Выбор активностей, которые будут включены в план по реализации, обуславливается спецификой отрасли и продуктов Bercut, а также систем, приложений и сервисов инфраструктуры, попадающих в контур разработки безопасного ПО. Анализ активностей позволяет сфокусироваться на наиболее приоритетных. Далее формируются требования к стеку инструментов и комплекс мер по обеспечению разработки ПО, включая требования по информационной безопасности.
Анализ защищенности приложений.
Для решения задач по автоматизированному анализу защищенности приложений. Bercut применяет следующие практики:
Автоматизированный анализ кода (SAST – Static Analysis Security Testing)
В автоматизированном режиме проводится инструментальный анализ исходного кода, что позволяет обеспечить максимальное покрытие кодовой базы, снизив общую стоимость поиска уязвимостей.
Инструмент SAST идентифицирует уязвимости, проводятся фильтрация false-positives и классификация дефектов (OWASP Top 10, OWASP Mobile Top 10, SANS Top 25), разрабатываются рекомендации по устранению.
Динамическое тестирование (DAST – Dynamic Analysis Security Testing)
Динамическое тестирование позволяет выявить уязвимости приложений и сервисов в рабочем окружении.
Инструмент DAST идентифицирует уязвимости, проводятся фильтрация false-positives и классификация дефектов (OWASP Top 10, OWASP Mobile Top 10, SANS Top 25), разрабатываются рекомендации по устранению.
Автоматизированный анализ Open Source рисков ПО (SCA – Software Composition Analysis)
Для идентификации публично задекларированных уязвимостей производится автоматизированный анализ используемых компонентов с открытым исходным кодом.
Инструмент SCA идентифицирует уязвимости, проводятся фильтрация false-positives и классификация дефектов (CVE), разрабатываются рекомендации по устранению дефектов.
Формирование бэклога дефектов
Проводится корреляция всех идентифицированных уязвимостей, устраняются дубликаты (при наличии), формируется приоритетный бэклог дефектов к устранению, по результатам проведенного анализа защищенности разрабатывается итоговый отчет.
Процесс безопасной разработки в Bercut сопровождает ряд организационных документов:
- Отчет о проведении анализа защищенности
Описывает результаты проведенного анализа защищенности с приоритизированным списком выявленных дефектов.
- Дорожная карта внедрения практик разработки защищенного ПО
Описывает поэтапный план внедрения практик разработки защищенного ПО и документирует критерии для систем, приложений и сервисов, попадающих в контур SSDL.
- Концептуальная архитектура внедрения инструментов обеспечения разработки защищенного ПО
Описывает целевую концептуальную архитектуру комплекса решений для разработки защищенного ПО с учетом интеграции с целевым контуром DevOps.
- Технические требования для инструментального стека обеспечения разработки защищенного ПО
Описывает технические требования для инструментального стека обеспечения разработки защищенного ПО, а также методику их оценки с учетом результатов анализа применимости всего спектра технологий для систем / приложений / сервисов, попадающих в контур SSDL в контексте всех технологических особенностей и организационных ограничений.
- Регламент процесса разработки защищенного ПО
Документирует централизованный процесс управления практиками создания защищенного ПО для систем, приложений и сервисов. Регламент устанавливает порядок взаимодействия самостоятельных структурных подразделений в рамках поддержки непрерывного производственного процесса DevSecOps. Требования Регламента распространяются на всех сотрудников ИТ и ИБ подразделений, задействованных в процессе SSDL.
- Базовые требования ИБ к ПО
Описывает требования информационной безопасности при разработке ПО, также документирует методику проведения тестирования данных требования для приложений, попадающих в контур SSDL.
- Организационная структура
Описывает организационную структуру с учетом центра компетенций Application Security / DevSecOps. Документирует описание должностей, подход к развитию экспертизы внутри ИТ, а также ресурсный план.
Контроль на всех этапах жизненного цикла разработки ПО
«В дополнение к классическим активностям Bercut проводит обучение по безопасной разработке, запускает собственные программы bug bounty, а также применяет концепцию Security Champions, когда человек внутри команды мотивирован дополнительными KPI’s. Это дает сотрудникам дополнительную заинтересованность в обеспечении безопасности продукта и личном контроле исполнения метрик информационной безопасности.» (Алексей Кощиенко, Директор по информационной безопасности Bercut)
При разработке продуктов в Bercut используются исключительно локальные репозитории, проводится анализ открытых библиотек. Требования информационной безопасности соблюдаются и при проведении тестирования продуктов. В рамках процедуры отдел информационной безопасности совместно с группой тестирования производят оценку защищенности продуктовых стендов прежде, чем передать их в опытную эксплуатацию.
Безусловное выполнение необходимых проверок и контроль выставляемых требований достигается за счет организации единого автоматизированного циклического процесса, в который регулярно интегрируются новые методы и инженерные практики. Ведение чек-листа, учитывающего модели угроз для каждого продукта, использование технологических метрик позволяет оперативно выявлять проблемные зоны и контролировать эффективность на каждом этапе SSDLC (secure software development life cycle) Bercut.