Apsafe от УЦСБ: безопасная разработка — теперь это просто

Рост интереса к отечественному ПО и усложнение отраслевого законодательства побуждает российские компании фокусироваться на информационной безопасности инфраструктуры разработки и защищенности собственных приложения. При этом сложная задача по выстраиванию процесса безопасной разработки (DevSecOps) ложится не только на плечи разработчиков ПО, но и тех, кто его использует. Для оперативного закрытия этой потребности Центра кибербезопасности УЦСБ создал новое решение — облачную платформу для непрерывного анализа защищенности приложений Apsafe.

DevSecOps (англ. Development, Security, Operations) — методология непрерывной разработки программного обеспечения с учетом требований безопасности, которая помогает создавать защищенное ПО.

Apsafe представляет собой экосистему инструментов для анализа защищенности разрабатываемых продуктов (SAST, SCA, DAST, IAC-S, ASOC) с ручной верификацией результатов специалистом по безопасности приложений. Подключение к платформе занимает около 10 дней, при этом ее использование не требует изменений в инфраструктуре разработки.

Apsafe осуществляет проверку кода при каждом выпуске обновления ПО или с заданной регулярностью, осуществляя:

• статический анализ кода (SAST) — позволяет выявлять дефекты в исходном коде приложения в момент его разработки;
• композиционный анализ зависимостей (SCA) — проводит анализ состава ПО для выявления угроз в подключаемых компонентах и соблюдения политик использования открытого кода;
• анализ безопасности подхода «инфраструктура как код» (IAC-S) — осуществляет поиск чувствительной информации, проводит анализ образов контейнеров и Docker file’ов, контроль конфигурации и манифестов;
• динамический анализ приложения (DAST) — помогает обнаружить уязвимости в запущенном ПО методом «черного ящика».

Apsafe — это экосистема инструментов и процессов, которые обеспечивают практически полный цикл безопасной разработки (DevSecOps). Она легко расширяется не только новыми инструментами, но и процессами, например, доработкой правил на Web Application Firewall.

Информацию о найденных уязвимостях решение передает в Jira, Youtrack, Redmine, а также в WAF и SOC. При этом, как утверждает владелец решения, это не исчерпывающий список интеграций — платформа умеет «общаться» с мессенджерами и с их помощью «рассказывает» разработчикам об обнаруженной в ПО проблеме.

Для каждого пользователя Apsafe организуется отдельный, изолированный контур, что позволяет обеспечить безопасность данных, передаваемых платформе. А чтобы при необходимости иметь возможность сделать оперативный срез текущей ситуации, платформа предоставляет информацию об уровне защищенности приложения в одном окне на интерактивных дашбордах.

В чем уникальность и привлекательность Apsafe для бизнеса

Apsafe помогает компаниям включать безопасность в процесс разработки с самого начала и решает актуальные задачи бизнеса, связанные с регуляторными требованиями и рисками кибербезопасности.

В частности, платформа помогает исполнять требования Приказа ФСТЭК России №239, ГОСТ Р 56939-2016, PCI DSS и другие. Решение не только обеспечивает быстрое внедрение основных принципов безопасной разработки, автоматизирует многие процессы безопасности, но и тем самым сокращает время на исправление ошибок и вывод продукта на рынок (Time to Market).

Использование Apsafe также позволяет сократить количество рутинных операций по безопасности, освобождая персонал для решения более важных задач.

С Apsafe вы получаете возможность ускорить внедрение DevSecOps и улучшить безопасность своих приложений без значительных финансовых и временных затрат.

Внедрение безопасной разработки в бизнес — процесс непростой и связан с рядом ограничений. На рынке труда нет достаточного количества специалистов, а для внедрения практики необходимо минимум четыре сотрудника. Кроме того, продукты для анализа кода имеют высокую стоимость, и их внедрение в процессы компании требует длительного времени. На достижение достаточного уровня зрелости уходит 2-3 года.

При этом скорость разработки постоянно растет, и это также сказывается на безопасности разрабатываемого ПО.

Платформа Apsafe от команды УЦСБ мягко и без лишних усилий помогает преодолеть все эти трудности. Решение обеспечивает легкое начало использования практик DevSecOps — около 10 рабочих дней займет подготовка Apsafe к анализу кода пользователя. Альтернативное внедрение инструментов in-house займет до года.

Стоимость базового пакета Apsafe значительно меньше, чем прием в штат AppSec-инженера и приобретение необходимых инструментов. Дополнительно для более комфортного использования платформы при подключении более одного приложения применяется прогрессивная модель скидок.

Выявление уязвимостей с помощью Apsafe занимает не более 5 дней с момента проверки кода инструментами платформы. При этом разработчик не остается наедине с найденными уязвимостями. Специалисты УЦСБ помогут командам разработки передать информацию о них на другие элементы защиты и подготовят комплексные отчеты по результатам проверок инструментами платформы.

Для кого Apsafe — идеальное решение

Apsafe — это решение для тех, кто хочет обеспечить безопасность своей разработки, не имеет собственных ресурсов или компетенций, но нуждается в быстром старте. Поэтому сервис особенно актуален для компаний, которые:

1. Не имеют собственной экспертизы в области DevSecOps. Внедрение безопасной разработки может оказаться сложной задачей для компаний, не имеющих опыта и специалистов в этой области. Apsafe помогает решить эту проблему, предоставляя готовые решения и экспертизу в одном пакете.
2. Сталкиваются с проблемой взаимодействия между службой ИБ и разработчиками. Часто между отделами безопасности и разработки возникают разногласия. Apsafe действует как координатор, помогая согласовать процессы и обеспечить эффективное взаимодействие между обеими сторонами.
3. Ищут быстрого и эффективного решения для обеспечения безопасности своих приложений. Apsafe предоставляет готовые инструменты и решения, которые помогают включить безопасность в процесс разработки с минимальными затратами времени и ресурсов.
4. Сталкиваются с ограничениями по штатным единицам или бюджету. Apsafe — это экономически выгодное решение, которое позволяет обеспечить безопасность приложений, не нанимая дополнительных специалистов и не перестраивая существующую инфраструктуру.
5. Ищут быстрое решение после ИБ-инцидента. Apsafe помогает быстро выявить уязвимости и передать их на устранение.

Евгений Тодышев

Руководитель направления «Безопасная разработка» УЦСБ, CPO продукта

В Центре кибербезопасности УЦСБ накопился значительный опыт реализации проектов по анализу защищенности приложений для разных отраслей бизнеса и госсектора. Мы поняли, что на рынке очень не хватает такого решения, как Apsafe  — простого и удобного инструмента внедрения необходимых процессов безопасной разработки для команд, где нет на это собственных ресурсов, отсутствует опыт внедрения DevSecOps, когда есть сложности с оценкой текущего уровня защищенности приложений и остро стоит задача выполнить требования регулирующих органов и отраслевых стандартов.

Кроме того, экосистема Apsafe будет актуальна для компаний, поставляющих ПО на объекты критической информационной инфраструктуры (КИИ). 

Один из российских разработчиков программного обеспечения для автоматизации промышленных и гражданских объектов обратился в УЦСБ за помощью в обеспечении полного соответствия ПО требованиям регулятора. Специалисты УЦСБ провели аудит платформы, проверили ее на соответствие требованиям Приказа ФСТЭК России №239 и подготовили необходимую документацию. В результате проекта разработчик получил:

1. Подтверждение зрелости процессов безопасной разработки ПО.
2. Заключение УЦСБ о соответствии требованиям пункта 29.3 Приказа ФСТЭК России от 25.12.2017 №239.
3. Полный пакет подтверждающей документации.

Проект был выполнен в кратчайшие сроки и помог разработчику подтвердить высокие стандарты безопасности своего продукта.

Дальнейшая поддержка процесса безопасности разработки этого и других программных продуктов компании логично передается на обслуживание Apsafe  —  пользуясь сервисом, разработчики закрывают потребность по безопасной разработке в своих решениях, учитывают требования регуляторов на всех этапах создания продукта.

Как Apsafe работает

Базово Apsafe предполагает облачную инсталляцию. Код отправляется в облако платформы, затем проводится полный комплекс работ по его анализу, включая автоматизированные и ручные проверки. Такой вариант не требует создания собственной инфраструктуры или привлечения специалистов по безопасности приложений.

Для компаний, заинтересованных в локальной инсталляции, существует отдельное предложение, когда платформа Apsafe развертывается на площадке заказчика. Можно работать с платформой как самостоятельно, так и с помощью специалистов УЦСБ. Этот вариант подходит, если у заказчика высокие требования к масштабируемости, сложная инфраструктура разработки, имеется запрет на передачу исходного кода или уже есть команда безопасности, которой нужны дополнительные инструменты. 

Евгений Тодышев

Руководитель направления «Безопасная разработка» УЦСБ, CPO продукта

Внедрение безопасной разработки — это не просто модное слово. Это необходимость для создания надежных и конкурентоспособных продуктов. Apsafe, в свою очередь, является инструментом для быстрого и эффективного внедрения безопасной разработки в любом бизнесе. В эпоху цифровых угроз Apsafe станет надежным союзником, помогая создавать безопасные и конкурентоспособные программные продукты

Чтобы задать другие вопросы о применении Apsafe или подключиться к ее демопоказу, читатели Cyber Media могут связаться с Центром кибербезопасности УЦСБ через сайт или написать на почту команде продукта cybersec@ussc.ru.

erid: 2SDnjeCjTqU

* Реклама, Рекламодатель ООО «УЦСБ», ИНН 6672235068