По состоянию на 2024 год количество кибератак на российский бизнес выросло в 4 раза. Поэтому конкурентное преимущество будет у тех компаний, которые осознают важность кибербезопасности и дорожат личными данными своих клиентов. Обнаружить уязвимости и лазейки, которыми активно пользуются хакеры, а также ускорить и удешевить разработку можно с помощью DevSecOps или подхода к разработке ПО с акцентом на кибербезопасность. Подробно рассказываем об этой практике и разбираемся, как ее внедрить.
Содержание
Что такое DevSecOps: Development, Security, and Operations
Еще совсем недавно специалисты по безопасности тестировали и находили уязвимости продукта лишь после сборки программного обеспечения. Однако такой подход неэффективен с точки зрения временных ресурсов. А самое главное — обходится бизнесу дороже, так как если при тестировании готового продукта обнаруживаются ошибки, все придется начинать с нуля.
Еще один существенный минус такой практики — вероятность утечки пользовательских данных при развертывании ПО, а это неизбежно тянет за собой финансовые и репутационные риски. Например, в 2023 году киберпреступники воспользовались уязвимостью в архиваторе WinRAR и отправляли пользователям вредоносные код, обходя проверку безопасности.
DevSecOps позволяет оперативно скорректировать код и отправить его на повторную проверку. Подход основывается на концепции shift-left. Это означает, что разработка ПО и проверка безопасности происходят параллельно друг другу.
На схеме видно, что контроль безопасности сдвигается влево — в самое начало работы на продуктом — и присутствует на протяжении всего цикла разработки. Источник: yandex.cloud
Таким образом, DevSecOps — это своего рода эволюция DevOps и не рассматривается отдельно от него.
Какую пользу DevSecOps дает бизнесу
Раннее выявление уязвимостей и угроз
Согласно исследованиям Positive Technologies, за третий квартал 2024 года случаи кибератак по всему миру участились на 15% по сравнению с третьим кварталом 2023 года. Вредоносное ПО по-прежнему остается самым популярным оружием злоумышленников (65% случаев атак на организации ) — при этом в 52% случаев хакерам удавалось заполучить конфиденциальную информацию.
Источник: ptsecurity.com
Если компания пользуется методологией DevSecOps обнаружить ошибки получается до выпуска ПО, а значит, оно будет более устойчиво к кибератакам.
Ускоренный запуск продукта
Автоматизация процессов DevSecOps улучшает показатель time to market — промежуток времени с момент зарождения продукта и его релиза. Это в свою очередь также сокращает и количество ошибок человеческого фактора. Автоматическое сканирование кода позволяет найти уязвимости в нем на этапе написания, инфраструктура защищена еще при создании конфигурационных файлов, а инструменты CI/CD (Continuous Integration / Continuous Delivery или Deployment) автоматизируют процессы разработки, тестирования и развертывания программного обеспечения. Они упрощают и ускоряют доставку нового кода, делая процесс более надежным и предсказуемым. Наиболее популярные инструменты CI/CD с открытым исходным кодом — Jenkins и GitHub CI/CD. Ими можно пользоваться бесплатно и они постоянно развиваются сообществом. Благодаря этим и другим функциям, о которых расскажем далее в статье, компании получают конкурентное преимущество, так как могут вывести безопасный продукт на рынок раньше.
Снижение затрат
Раннее обнаружение и исправление проблем безопасности обходится значительно дешевле. Проактивная защита уменьшает вероятность дорогостоящих утечек данных или простоев. Если же ошибки обнаруживается только в продакшене, затраты включают часы работы разработчиков, тестировщиков, специалистов по безопасности, а иногда и компенсации клиентам.
Формирование культуры безопасности
При традиционном подходе специалисты по безопасности изолированы от остальных команд и подключаются лишь на поздних стадиях работы над продуктом. DevSecOps, объединяя сотрудников различных департаментов устраняет этот барьер, а также уменьшает риск конфликтов, которые часто возникают, если проверка безопасности происходит в финале. Развитие культуры безопасности объединяет усилия команд и меняет корпоративную культуру, так как у команд появляется общей ответственность.
DevSecOps под капотом: процессы и инструменты
Планирование, сборка, тестирование, развертывание, эксплуатация, мониторинг. Источник: atlassian.com
Планирование
Этот этап включает в себя совместную работу команд, в ходе которой они разрабатывают стратегию анализа безопасности, а также моделируют потенциальные угрозы на основе различных методик.
Например, в 2023 году Google представил методику SLSA. Она детально описывает угрозы, связанные с CI/CD-конвейерами, которые автоматически проверяют, собирают и устанавливают обновления в приложении, позволяя быстрее выпускать новые функции и исправлять ошибки.
В этом же году была опубликована методология OSC&R (Open Software Supply Chain Attack Reference), которая позволяет организациям выявлять, оценивать и минимизировать риски в области кибербезопасности, а также повышать устойчивость к атакам с использованием открытых данных и инструментов. Ее совместно создали специалисты из сообществ GitLab, Microsoft, Google, OWASP и CheckPoint.
В России тоже есть своя методология моделирования угроз — она изложена в ГОСТ Р 58 412 «Разработка безопасного ПО. Угрозы безопасности информации при разработке ПО». Ее суть заключается в идентификации и анализе угроз на всех этапах разработки ПО, а также внедрении мер для их предотвращения. Стандарт помогает создать безопасное ПО, минимизируя риски утечек, взломов и других проблем.
Сборка
Задача DevSecOps заключается в автоматическом анализе выходных данных сборки проекта. При этом происходит ревью кода, мониторинг уязвимостей, статическое тестирование программных приложений (SAST) и динамическое тестирование (DAST).
SAST-системы позволяют выявлять ошибки и небезопасные шаблоны, такие как SQL-инъекции, межсайтовый скриптинг или переполнение буфера. В первых двух случаях хакер пытается внедрить вредоносный код в SQL-запрос или веб-страницу, а переполнение буфера может привести к потере контроля над системой, если злоумышленнику удастся переписать память приложения.
SAST-системы предоставляют разработчикам детализированную информацию о первостепенных причинах уязвимостей, что, в свою очередь, упрощает их устранение. Среди российских SAST-решений популярны PT Application Inspector и PVS-Studio.
Однако у SAST есть один минус — проанализировать работающее приложение с их помощью не получится. Эту задачу выполняют DAST-инструменты, которые симулируют атаки для обнаружения уязвимостей в реальной или тестовой среде — без доступа к исходному коду, как это делал бы потенциальный злоумышленник.
Тестирование
Развертывание
Здесь важнее всего уделить внимание ключевым аспектам безопасности, связанным с запуском системы в рабочей среде. Нужно тщательно проанализировать все различия в конфигурациях между рабочей средой, промежуточной и средой разработки. Также требуется проверить обновления сертификатов TLS/SSL. Они нужны для обеспечения защищенных сетевых соединений, подтверждения подлинности веб-сайтов и проверки владельца открытого ключа в частных сетях.
Этот этап подходит для внедрения инструментов мониторинга в реальном времени, таких как Osquery, Falco и Tripwire. Эти инструменты анализируют данные работающей системы и проверяют, корректно ли она функционирует. Помимо этого можно применить подход инженерии хаоса, чтобы проверить устойчивость системы к непредсказуемым сбоям. Например, — смоделировать ситуации вроде отказа серверов, сбоев жестких дисков или обрывов сетевых соединений.
Схема хаос-инжиниринга: эксперимент начинается с формулирования гипотезы. Например, что произойдет если элемент системы Х перестанет работать и хакер воспользуется уязвимостью? Эксперимент происходит в формате А/Б теста с контрольной экспериментальной группой. Затем результаты сравниваются.
Во время релиза основной акцент делается на защите инфраструктуры среды выполнения, включая проверку конфигурации управления доступом пользователей, настройки сетевых брандмауэров и управления секретными данными. Ключевая задача — соблюдение принципа минимальных привилегий (PoLP, Principle of Least Privilege). Этот подход предполагает, что пользователи, программы и процессы получают только тот уровень доступа, который необходим для выполнения их задач. Для этого нужно провести аудит ключей API и токенов доступа, чтобы ограничить их использование только авторизованными владельцами. Без такого аудита злоумышленники могут получить доступ к закрытым частям системы. Инструменты управления конфигурациями, такие как Ansible, Puppet, Chef, Configu пригодятся для того, чтобы протестировать статическую конфигурацию динамической инфраструктуры.
Мониторинг
После развертывания и стабилизации приложения в рабочей среде необходимо принять дополнительные меры для обеспечения безопасности. Нужно организовать постоянное наблюдение за приложением, чтобы выявлять атаки и предотвращать утечки данных. Для этого используются автоматизированные системы проверки безопасности и циклы мониторинга.
Технологии защиты приложений во время их работы (RASP, Runtime Application Self-Protection) автоматически обнаруживают и блокируют угрозы в режиме реального времени. Эти системы, подобно прокси-серверам, отслеживают входящие атаки и позволяют приложению адаптировать свою конфигурацию без участия человека в ответ на возникающие угрозы. При этом RASP обнаруживает не только типовые атаки, но и попытки эксплуатации уязвимостей нулевого дня (zero-day). Под этим термином подразумеваются все слабые места ПО, против которых пока нет защитных механизмов и которые невозможно обнаружить заранее.
Дополнительно можно привлечь специализированную команду — внутреннюю или внешнюю — для проведения тестов на проникновение. Это позволит выявить уязвимости и вредоносные элементы путем симуляции реальных атак.
С какими проблемами можно столкнуться при внедрении DevSecOps-практики
В первую очередь бизнесу понадобятся высококвалифицированные специалисты с экспертизой не только в области разработки, но и в информационной безопасности. Как правило такие сотрудники обходятся компании дорого и их сложно найти.
Еще одна сложность — выстраивание эффективной коммуникации между отделами. Часто ИБ-специалисты, найдя уязвимости и другие проблемы ПО, не могут договориться с командой разработки, как эти проблемы решить. Кадровые недопонимания вообще являются фундаментальным препятствием к внедрению практик DevSecOps, так как для реализации таких трудоемких процессов нужны ресурсы, стратегия обучения персонала и непрерывное развитие культуры информационной безопасности в коллективе.
Так как DevSecOps по многим параметрам дорогостоящая практика, бывает сложно донести важность этого подхода до стейкхолдеров и получить финансирование. Однако текущая ситуация все равно обнадеживает. Например, ведущие специалисты по кибербезопасности на конференции «Лучшие российские практики DevSecOps» рассказали, что повышенный интерес к методологии в является естественным следствием тенденции импортозамещения зарубежного софта. Собственные разработки все чаще подвергаются кибератакам, а также должны следовать требованиям регуляторов. В таких условиях безопасная разработка становится дополнительной гарантией качества программного обеспечения.
Реальные кейсы: как компании внедряют DevSecOps и какие результаты получают
ВТБ
Банк начал внедрение DevSecOps в рамках цифровой трансформации, автоматизации процессов и повышения защищенности ПО. Основная цель компании — ускорить работу банка, сделать ее безопаснее и эффективнее.
DevOps-пайплайн ВТБ состоит из трех этапов: Continuous Integration, Continuous Delivery и Continuous Deployment.
На первом этапе происходит сборка дистрибутива и проверка кода на безопасность и соответствие внутренним стандартам. На втором — продукт из среды разработки передается в среду тестирования, а Continuous Deployment происходит в автоматическом режиме, выявляя финальные проблемы продукта. DevSecOps при этом интегрирован в каждый этап, а новые практики, которые появляются в банке, также проверяются на соответствие принципам безопасности.
В процессе разработки система сканируют на уязвимости внешние библиотеки, исходный код и готовые приложения. До этого проверка новых поставок вручную занимала несколько недель, однако интеграция инструментов в конвейер разработки позволяет автоматически анализировать метрики, включая показатели безопасности. Такой подход обеспечивает своевременное выявление критических уязвимостей.
В результате скорость поставки изменений сократилась с 80 до 10 минут, что позволило быстрее внедрять обновления и адаптироваться к изменениям среды. Это привело к увеличению активности клиентов примерно на 30%.
Netflix
Netflix работает в высоко динамичной среде с непрерывным развертыванием и архитектурой микросервисов. Компания хотела повысить безопасность, при этом не замедляя внедрение инноваций. Netflix внедрили DevSecOps, используя автоматизированные инструменты тестирования безопасности, мониторинг уязвимостей и применение методов безопасного кодирования на протяжении всего процесса разработки. Для этого специалисты компании использовали инструмент Spinnaker и интегрировали в свои конвейеры средства проверки безопасности. В результате Netflix справились с задачей без ущерба темпам разработки, поддерживая высокий уровень инноваций.
Pokemon Go
Ошеломительный успех мобильного приложения Pokemon Go в 2016 году поставил перед компанией Pokemon проблему ответственности, так как большинство из миллионов загрузок были сделаны детьми. Компания понимала, что должна не только соблюдать стандарты конфиденциальности, такие как Общие правила ЕС по защите данных (GDPR), но и показать обеспокоенным родителям, что компании можно доверять. В Pokemon считают, что важно повышать культуру информационной безопасности во всей организации, тогда сотрудники становятся экспертами в этой области, сами того не осознавая. Также компания пользуется услугами Sumo Logic. Это облачное решение, которое занимается анализом машинных данных и специализируется на информационной безопасности.
***
«КОРУС Консалтинг» может выполнить e-commerce-проект любой сложности. Если у вас остались вопросы или требуются партнеры в разработке e-commerce-проекта для бизнеса — оставьте заявку в форме ниже или напишите на адрес omni@korusconsulting.ru. Мы с вами свяжемся.
