Почему DevSecOps должны стремиться к повышению эффективности применения мер безопасности

Дата: 20.08.2021. Автор: ООО "ТИК". Категории: Статьи по информационной безопасности
Почему DevSecOps должны стремиться к повышению эффективности применения мер безопасности

Беседы с потенциальными клиентами дают больше сведений, чем исследования рынка. Производитель решений для обеспечения информационной безопасности Radware в ходе недавних обсуждений с клиентами (к сожалению, все еще виртуальных) выяснила, что компаниям требуется эффективная, точнее говоря, действенная и результативная защита.

1. Определение эффективной защиты

Не нужно каждый раз изобретать колесо. Развитие современных приложений, архитектуры доставки и платформа разработки приложений предоставляют максимум гибкости специалистам по исследованиям и разработкам. Кроме того, доступны готовые сервисы, модули и функции, которые легко интегрировать. Однако все усложняет необходимость гарантировать доступность приложений, а также целостность и конфиденциальность данных.

Купить решение для защиты довольно просто — стоит только выбрать технологию, устраняющую те или иные угрозы. Управлять этим решением уже сложнее. Прежде всего, новые технологии меняют баланс между безопасностью и производительностью, что должны учитывать разработчики приложений. Предприятия могут ускорить вывод приложений на рынок и выпуск их версий с меньшими затратами, предоставив специалистам по разработке и поставке приложений (AD&D) больше полномочий в принятии решений по обеспечению безопасности. Эффективная система защиты должна быть частью вашей стратегии. Другими словами, она не должна нарушать процессы, приводить к сбоям или вызывать снижение производительности.

2. Эффективная система защиты должна обнаруживать угрозы

Существуют разные подходы к интеграции технологий защиты приложений в рабочий процесс CI/CD. Каждый из этих подходов, учитывающих задачи разработки, исходит из стремления удовлетворить потребность в скорости и минимизировать влияние на среду таких факторов, как задержка, потребление ресурсов или стоимость рабочих нагрузок. Как правило, в любом подходе имеется один или два недостатка:

i. Решение не полностью покрывает поверхность атаки

ii. Решение не позволяет автоматически применять меры безопасности

i. Угрозы безопасности в отношении приложений выходят за рамки уязвимостей кода и логических схем — которые сами по себе уже представляют более чем существенную задачу для анализа и принятия мер. Отслеживание известных уязвимостей, новейших протоколов для проверки подлинности и авторизации, а также способов их взлома — довольно трудная работа.

Современные приложения, особенно в передовых средах разработки, широко используют API для обмена и применения конфиденциальных данных. Это также представляет уязвимость и требует специализированной технологии для предотвращения нецелевого применения токенов, неправомерного использования или кражи данных посредством внедрения кода.

Помимо защиты API, для многих услуг, основанных на интеграции или обслуживании ботов, требуется четко различать полезных и зловредных ботов. Технология RASP (Runtime Application Self Protection) уязвима к некоторым атакам (например, атакам типа отказ в обслуживании) из-за того, что ее используют специалисты AD&D. И это только один пример.

ii. С точки зрения DevOps, рискованно принудительно применять меры безопасности. Это может повлиять на работу пользователей или даже нарушить технологический процесс, что приведет к ошибкам выполнения. Жизненный цикл разработки программного обеспечения (SDLC) содержит много слепых зон в отношении безопасности, особенно в современной гибридной мультиоблачной архитектуре. Именно поэтому во многих системах есть оповещения, что весьма полезно.

3. «Эффективная защита» должна работать

Инструменты, которые предоставляют только видимость данных безопасности, не упрощают процесс. Автоматизированного тестирования безопасности, сканеров уязвимостей веб-серверов, операционных систем и даже образов контейнеров недостаточно для принятия мер защиты, и разработчикам приходится делать несколько шагов назад и вносить исправления. Когда таких оповещений много, их гораздо сложнее приоритизировать и обработать.

После выпуска версии разработчики больше к ней не возвращаются до тех пор, пока специалист по безопасности не попросит исправить уязвимость. Если вы смогли обнаружить уязвимость, блокируйте ее. Только помните, что необходимо выявить весь спектр угроз. Нет пользы в слишком многочисленных специализированных решениях, потому что это зачастую не способствует появлению более надежной стратегии безопасности.

4. «Эффективная защита» должна оставаться эффективной

По причине динамической природы гибкого цикла SDLC с частыми изменениями и ежедневными обновлениями приложений точность политик безопасности постоянно снижается. Процесс настройки политик безопасности в ручном режиме не масштабируется. Штатный сотрудник должен обновлять правила, составлять белые списки и обрабатывать исключения. Для эффективной защиты современных приложений необходимы механизмы автоматизированного создания и оптимизации политик безопасности. 

ООО

Об авторе ООО "ТИК"

ООО “ТИК” является поставщиком ИТ-решений на территории России, включая интегрированные инфраструктурные решения, сетевое и коммуникационное оборудование, системы обеспечения информационной безопасности, облачные сервисы.
Читать все записи автора ООО "ТИК"

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *