Андрей Матвеенко, VK: Баланс безопасности и скорости — всегда история про компромиссы

Андрей Матвеенко, старший специалист по информационной безопасности (senior AppSec), VK рассказал в интервью Cyber Media о нюансах интеграции безопасных практик в жизненный цикл разработки: от взаимодействия с командами до соблюдения баланса между рисками и дедлайнами.

Cyber Media: С какими ИТ-отделами AppSec-специалист взаимодействует при построении процессов безопасной разработки? Как найти взаимопонимание и донести важность информационной безопасности?

Взаимодействуем практически со всеми: разработчиками, QA-инженерами, инфросеками, смежными appsec командами, архитекторами и, конечно же, руководителями проектов. Донести важность информационной безопасности можно только через простой язык и примеры из реальной жизни — не зря говорят, что хороший безопасник еще и немного психолог. Иначе, все, что ты говоришь, пройдет мимо ушей незаинтересованных людей. Нужно уметь общаться не через инструкции и регламенты (многие компании грешат этим), а через понятные кейсы.

Cyber Media: Взаимодействие между ИТ-специалистами и AppSec-командой: на каких этапах разработки подключается команда безопасности, какова ее роль?

Команда AppSec подключается уже на этапе планирования и проектирования, потому что исправлять ошибки архитектуры гораздо дороже и сложнее, чем сразу продумать безопасность. Затем активно подключаемся на этапе написания кода (code-review), во время тестирования и, конечно же, при релизе, хоть иногда приходится делать все в сжатые сроки. Роль AppSec-команды — помогать исправлять и показывать ошибки со стороны безопасности.

Cyber Media: Как команда AppSec может эффективно интегрировать процессы DevOps и DevSecOps в процессы разработки? Какие практики помогают снижать риски?

Интегрировать DevSecOps можно, если не просто добавлять безопасность как отдельный шаг в pipeline, а встраивать ее в каждое звено цепочки разработки. Это значит автоматизированные проверки, понятные метрики и постоянный мониторинг. Хорошо работают простые практики: security-чеклисты для разработчиков и внедрение автоматических инструментов анализа безопасности прямо в процессы на каждом из этапов.

Cyber Media: Какие инструменты и методологии вы используете для проведения тестирования безопасности кода? Какие из них наиболее эффективны в вашей практике?

Используем SecurityGate, как общую платформу, там уже все есть. Начали тестировать DAST, ну и ручной code-review — никуда без него. Используем проверки на секреты мержей и коммитов. Из наиболее эффективных не могу что-то выделить, ведь все зависит от конкретного языка, инфраструктуры и настроек.

Cyber Media: Кастомная разработка систем и инструментов ИБ: когда в ней возникает потребность и с какими сложностями может столкнуться команда?

Кастомные инструменты обычно нужны, когда готовые решения не покрывают специфические потребности компании (например, у вас слишком специфичный технологический стек). Проблемы тут банальные: высокая стоимость поддержки, сложность обновлений, нехватка документации, нехватка людей на разработку. Поэтому кастомные инструменты делаем только тогда, когда выгода действительно превосходит эти сложности.

Cyber Media: Как вы подходите к организации работы с уязвимостями? Существует ли процедура управления уязвимостями, и как отслеживаете их устранение и проверку?

Управление уязвимостями у нас организовано через понятный workflow: обнаружение, приоритизация, создание тикетов, устранение со стороны разработчиков и обязательная повторная проверка. Все уязвимости отслеживаются через специализированные платформы (Jira и SecurityGate).

Cyber Media: Как обеспечить баланс между соблюдением принципов безопасности и потребностью в скорости разработки? Какие компромиссы приходится искать?

Баланс безопасности и скорости — всегда история про компромиссы. Мы не пытаемся закрыть вообще все риски сразу — это невозможно. Вместо этого фокусируемся на критичных и высоких уязвимостях, автоматизируем проверку типовых рисков и стараемся ускорять команды за счет удобных инструментов и простой документации. Да, бывают особые случаи, но приходится подстраиваться под исторически сложившиеся процессы компании.

Cyber Media: Можете привести пример уязвимости, которая потребовала нестандартного подхода?

Все уязвимости требуют нестандартного подхода. Легкие все уже сдали или это где-то пропущенный «if».

Cyber Media: По вашему опыту, какие практики обучения разработчиков информационной безопасности наиболее эффективны? И что больше всего помогает мотивировать команду разработки уделять больше внимания безопасности?

Наиболее эффективно себя показали неформальные тренинги, CTF и примеры уязвимостей, на основе принесенных на Bug Bounty и найденных внутри уязвимостей. Также могу отметить, регулярные code-review с обратной связью, но на такое приходится тратить очень много времени команды. Мотивация растет, когда разработчики видят последствия своих ошибок посредством демонстрации эксплуатации найденных уязвимостей. Из смешного — на первое апреля мы хотели ввести рейтинг самых «уязвимых» разработчиков, но это так и осталось на уровне шутки.

Cyber Media: Используете ли вы искусственный интеллект или ML в работе команды безопасной разработки? Например, для анализа кода или прогнозирования уязвимостей? Если нет, то почему? Какие перспективы и ограничения вы видите в применении ИИ в вашей сфере?

Наша команда сейчас исследует возможность интеграции инструментов на основе ML, но массово их пока не используем. В пример могу привести команду SecurityGate, они внедрили проверку секретов на основе LLM и это очень облегчает задачу по триажу. Главная причиной, почему мы сконцентрировались ИИ — это большое количество «мусорных» результатов, которые увеличивают время обработки. Для критических задач LLM-модели пока не подходят. Тем не менее перспективы очевидны, это и автоматический анализ паттернов уязвимостей, и прогнозирование риска на ранних этапах разработки, и генерация темплейтов для инструментов.

Cyber Media: Какие тренды в AppSec, на ваш взгляд, будут актуальны в ближайшие 5 лет?

Выделю несколько тем, на которые мне хотелось бы видеть больше исследований или статей:

• Безопасность web 3.0 платформ;
• «AI-assisted» сканеры и инструменты, как умные помощники;
• Semantic Fuzzing или DAST нового поколения;
• Live Dependency Management, который позволит заменять уязвимые библиотеки/модули во время работы микросервисного приложения.