Как подружить безопасность и разработку с выгодой для бизнеса?

Исторически разработка и безопасность находятся по разные стороны баррикад. Даже с точки зрения бизнеса различные проверки со стороны безопасности выглядят как ненужные для достижения конечного результата, улучшения показателей и т.д. Основная причина - в том, что безопасность и разработка разнесены как территориально, так и организационно, у них разные цели, задачи и руководители. И самое главное - разный подход к понятию "качественный" продукт.

Все бы ничего, но это провоцирует рост проблем безопасности, различным утечкам данных, внутренним конфликтам, потери репутации. А в России сегодня велика потребность в программном обеспечении, особенно в надежном и качественном.

Изменить ситуацию может сближение и взаимная вовлеченность в процесс отделов безопасности и разработки. Во-первых, безопасность ПО - это такой же атрибут качества, как и его стабильная работа. Во-вторых, внедрять ИБ-инструменты в процесс разработки - проще, чем может показаться изначально. Всё это объединяется термином DevSecOps, который ориентирован, как это ясно из названия, на то, чтобы объединить процессы разработки и безопасности.

Какая связь между DevSecOps и AppSec.Hub?

Для эффективного внедрения DevSecOps применяется AppSec.Hub – платформа, разработанная российской компанией Swordfish Security, позволяющая максимально быстро встроить практики обеспечения ИБ приложений в процесс DevOps и реализовать DevSecOps в организации любого масштаба.

AppSec.Hub обладает широким функционалом, сфокусированным на трех основных направлениях: оркестрации, корреляции и аналитике. Блок оркестрации берёт на себя реализацию и применение практик ИБ. Со стороны DevOps не надо задумываться, как и чем проверить исходный код или собранный бинарник. Достаточно вызвать AppSec.Hub - он всё сделает сам. Блок корреляции агрегирует данные об уязвимостях, позволяет ИБ эксперту отсортировать их, автоматически группирует их в дефекты и синхронизируется с дефект-менеджмент системами. В свою очередь, блок аналитики объединяет технические данные сведения о статусе ИБ в хранилище и предоставляет метрики через предварительно определенные панели мониторинга и отчеты.

Реализация DevSecOps - максимально автоматизированный процесс. AppSec.Hub интегрирует процесс анализа и контроля информационной безопасности приложений в существующие рабочие процессы DevOps, и обеспечивает новые возможности для разработчиков программного обеспечения и экспертов информационной безопасности. Внедрение основного инструментария и всех основных процессов занимает несколько недель а, не месяцев (или даже лет) в ручном режиме. Подробно он описан на схеме ниже.

Преимущества подхода DevSecOps, которые обеспечивает внедрение платформы оркестрации AppSec.Hub

Одно из главных преимуществ, которое обеспечивает переход на “рельсы” DevSecOps, - это полная прозрачность. Все уязвимости, которые содержат ваши программные продукты и приложения, могут выявляться при помощи единого решения, интегрированного с системами управления исходного кода, репозиториями артефактов ПО и реестрами контейнеров, а также с индустриальными инструментами ИБ. Обнаружение проблем безопасности гармонично встроено во все связанные между собой этапы разработки программного обеспечения.

Еще одно важный плюс модели DevSecOps - это исключение False Positives (ложных срабатываний). Подход к безопасной разработке, который предлагает AppSec.Hub, позволяет определить единожды ложные срабатывания для всех инструментов ИБ и больше не беспокоиться о них. Возможности платформы помогают также рассчитать стоимость риска для каждой уязвимости, создать из них группы по степени критичности и передать разработчикам для последующего исправления. Так организация сможет расставить правильные приоритеты для исправления уязвимостей в нужное время в рамках процесса разработки.

И, наконец, еще одно важное преимущество DevSecOps и платформы AppSec.Hub, на которой все базируется, - это масштабируемая интеграция с процессами CI/CD. Это позволяет контролировать все сборки ПО вне зависимости от их количества. К платформе нажатием одной кнопки в любое время могут быть подключены ИБ-сканеры, системы управления дефектами, исходным кодом, артефактами и контейнерами. Используйте умные настройки по умолчанию, которые позволят максимально быстро интегрировать платформу в вашу среду разработки.

Формирование дефектов ИБ

AppSec.Hub использует машинное обучение для анализа и автоматической фильтрации ложных срабатываний и применяет правила корреляции для группировки уязвимостей в дефекты на основе заранее выбранных правил и степени критичности.

Информация о дефектах синхронизируется с инструментами дефект-менеджмента.

Когда выигрывают три стороны

От внедрения модели DevSecOps выигрывают три основные команды, включая ИБ, разработку и бизнес. Давайте посмотрим внимательнее, в чем преимущества каждой из сторон.

Во-первых, информационная безопасность. В процессе внедрения DevSecOps специалист ИБ больше не выпадает из процесса, он становится его частью. Начинает работать парадигма "сдвиг влево" (shift left), когда проблемы ИБ начинают выявляться раньше, подход начинает приносить пользу. Это видят как сами инженеры ИБ, так и команда разработки. AppSec.Hub трансформирует ручные процессы в полностью автоматизированный конвейер разработки защищенного ПО, предоставляя инструменты построенные с применением технологий искусственного интеллекта, необходимые для соответствия мировым индустриальным стандартам и повышению уровня компетенций. Больше не нужно вручную анализировать все инструменты в поисках возможных проблем. Благодаря использованию этого подхода, у команды ИБ постоянно под рукой находится единый источник данных обо всех уязвимостях, предоставляющий доступ к ним через удобный интерфейс.

А что получают разработчики? Им важны функционал и готовность продукта, а о безопасности они предпочитают думать в последнюю очередь. Выявлять уязвимости в программном продукте и так непросто, а для устранения дефектов нужно еще и согласовывать приоритеты.

Поэтому важно, что внедрение AppSec.Hub позволяет сразу встроить безопасность в разработку и получать на выходе защищенное ПО. Все, что вам нужно будет сделать, это:

• Приоритизировать уязвимости по стоимости и риску для принятия решений;
• Получать быстро обратную связь от команд разработки за счет полноценной интеграции с дефект-трекерами Jira / YouTrack;
• Выбирать инструменты ИБ в зависимости от их полезности, а не скорости или простоты интеграции;
• Фокусироваться на точных результатах сканирования, чтобы знать, на чем сосредоточить свое время, внимание и ресурсы.

И бизнес? Как насчет него? Бизнес беспокоит бюджет и время выхода ПО или его обновления на рынок. С другой стороны, информационная безопасность, надежность и непрерывность цифровых сервисов являются ключевыми критериями успеха в современном мире. С другой, бизнесу нужно держать баланс между уровнем защищенности цифровых продуктов и затратами на обеспечение безопасности.

Платформа AppSec.Hub сокращает стоимость выпуска защищенных приложений, помогая сократить ресурсные и временные затраты компаниям-разработчикам ПО, для которых неприемлем компромисс между соблюдением требований информационной безопасности и скоростью вывода продуктов на рынок.

Таким образом, достигается синергия всех ключевых направлений (Бизнес / Разработчики / ИБ) и максимально быстро раскрываются все преимущества внедрения DevSecOps.

Наш опирающийся на данные подход хорошо зарекомендовал себя для полностью прозрачного управления всем процессом DevSecOps, а индустриальные метрики помогают отслеживать его эффективность и уровень защищенности выпускаемых программных продуктов в реальном времени.

Преимущества от внедрения AppSec.Hub в цифрах

• В 10 раз сокращаются затраты на внедрение практик DevSecOps за счет наличия интеграции с инструментальным стеком прямо ”из коробки”
• Экономится до 15% годового бюджета на разработку благодаря своевременному устранению уязвимостей и проактивному сокращению технического долга
• В 2 раза увеличивается продуктивность разработчиков при устранении уязвимостей за счет полной автоматизации процесса с применением технологий машинного обучения
• На 20% сокращается Time-to-Market благодаря комплексному подходу при реализации DevSecOps-практик и управлении в рамках единой платформы, что позволяет разработчикам максимально фокусироваться на бизнес-задачах, а все задачи информационной безопасности эффективно решать “на лету”
• Достигается до 700% ROI (Return Of Investment). Расчет произведен на основе индустриальных данных и оценок эффекта внедрения в референсных клиентских проектах

AppSec.Hub уже используют: Россельхозбанк, Газпромбанк.

Несколько слов о конкурентах

Конечно они есть. Как и положено, они бывают open-source и коммерческие, реализуют комплексный и точечный подход к реализации DevSecOps на практике.

DefectDojo

DefectDojo (https://github.com/DefectDojo/django-DefectDojo) - это ПО с открытым кодом, большим сообществом и широким использованием по всему миру, но у него есть свои особенности. Если сравнить подход, реализованный в AppSec.Hub, с DefectDojo, то сразу обращает на себя внимание встроенный в AppSec.Hub интеграционный модуль с наиболее популярными сканерами. Благодаря этому инструменту система может самостоятельно "забрать" найденные уязвимости из используемых сканеров. В то же время, в DefectDojo была реализована другая парадигма - сканер должен сам ему отдать уязвимости после завершения скана. Таким образом, DefectDojo использует пассивный подход по отношению к сканам и процессу загрузки уязвимостей.

И главное, DefectDojo не управляет процессом проверки ИБ, не касается пайплайнов, критериев качества. Его основное направление - это работа с уязвимостями (vulnerability management platform). 

Checkmarx CxFlow

CxFlow - это часть платформы Checkmarx. Основное назначение этого модуля - оркестрация процесса анализа и запуска различных инструментов в рамках платформы. Таким образом, CxFlow, как и AppSec.Hub, умеет управлять сканами, последовательностью запуска анализаторов, но работа с уязвимостями тут совсем не представлена. То есть, CxFlow не умеет обрабатывать уязвимости, фильтровать, коррелировать и группировать их в дефекты. 

ZeroNorth

ZeroNorth (https://www.zeronorth.io) - коммерческий продукт из США. ZN и AppSec.Hub декларируют главную идею интеграции в DevOps - это реализация единой точки интеграции, вместо того, чтобы встраивать каждый инструмент отдельно. Отличаются они только подходом - AppSec.Hub даёт больше гибкости в настройке сканирования каждой кодовой базы, артефакта или инстанса. А так же AppSec.Hub предоставляет возможность автоматического онбординга команд на основе шаблонов, чего не в ZeroNorth.

В контексте обработки уязвимостей и корреляции у AppSec.Hub тоже чуть больше возможностей - ревью уязвимостей и корреляция на базе ML моделей с возможностью активного обучения и автоматического улучшения выдаваемых предсказаний.