Главная О компании Блог

Как создать надежную защиту от потенциальных киберугроз?

Андрей Шедько
Андрей Шедько

Цифровая инфраструктура предприятий и организаций постоянно находится под непрерывными волнами кибератак. Их интенсивность меняется, как и методы злоумышленников. Будь то финансовые отчеты, персональные данные или коммерческие тайны, нужно выстраивать устойчивую защиту, чтобы противостоять растущей угрозе.

При этом, как отмечают эксперты, ужесточается и регулирование сферы информационной безопасности. Может требоваться как соответствие индустриальным стандартам, таким как PCI DSS при проведении платежей, так и соответствие требованиям государственного регулирования, например, рекомендациям ФСТЭК.

Концепция DevSecOps призвана решить эту дилемму и предоставить разработчикам необходимые инструменты для интеграции информационной безопасности в бизнес-процессы. Применение DevSecOps-практик становится не только признаком высокой инженерной культуры, а в большей степени, насущной необходимостью.

DevSecOps — это встраивание мер обеспечения безопасности во все этапы разработки программного обеспечения. В частности, это добавление дополнительных шагов в конвейер непрерывной интеграции и непрерывной поставки версий разрабатываемого программного продукта (CI/CD).

Эти меры можно разделить на 2 большие категории:

Static Application Security Testing (SAST) — меры по анализу кода без его выполнения.

Dynamic Application Security Testing (DAST) — меры по анализу кода с помощью его выполнения.

SAST меры включают в себя:

  • Анализ кода с помощью статического анализатора на предмет выявления дефектов кода, которые потенциально могут приводить к уязвимостям. Примерами таких анализаторов могут служить: Fortify, SonarQube, Qodana, Солар.
  • Сверка с базами данных известных уязвимостей в библиотеках. Данная функциональность уже встроена в механизмы управления зависимостями зрелых технологических стеков, таких как Maven у Java и NuGet у .NET. Также существуют сторонние анализаторы, такие как checkmarx.
  • Анализ собранных контейнеров на предмет уязвимостей в среде исполнения. Также эта мера может служить “второй линией обороны” по выявлению уязвимостей библиотек. Это может быть осуществлено с помощью таких инструментов, как trivy или docker scout. В последнее время получает всё большую популярность подход с непрерывным сканированием контейнеров во время эксплуатации, т.е. данные меры перестают жить в замкнутом мире разработки и распространяются на сферу эксплуатации.

DAST меры включают в себя:

  • Penetration testing (тестирование на проникновение), иногда называемое так же “белым хакингом”. Это попытка этичного взлома системы без причинения ущерба бизнес-ценности, имитация атаки на систему настоящим “чёрным хакером”. Для осуществления типовых вредоносных действий так же существуют инструменты, такие как Zap.
  • Fuzzing. Подача случайных воздействий на тестируемый программный комплекс. Этот подход также реализован в таких инструментах, как Zap.

Меры укрепления кибербезопасности должны включать в себя не только разработку программных продуктов без уязвимостей, но и укрепление инфраструктуры. Они могут включать в себя чеклисты настроек безопасности (и инструменты автоматических проверок этих чеклистов) и внедрение Security Information and Event Management (SIEM) систем.

При правильном применении DevSecOps может дать компаниям огромные возможности для успешного выпуска ПО. Она объединяет разработку и операционную деятельность для создания эффективной и надёжной IT-инфраструктуры. Поэтому инициативу по ее внедрению необходимо проявлять не c этапа приемо-сдаточных испытаний, а с этапов планирования и проектирования, предъявляя необходимые требования и регламенты, анализируя риски и выявляя потенциальные угрозы.

Оставайтесь в курсе последних лучших практик и используйте процессы безопасной разработки программного обеспечения при работе над бизнес-проектами.