Концепция DevSecOps коренным образом изменила подход к кибербезопасности и разработке программного обеспечения. По мере того, как компании пытались справиться с головокружительной скоростью технического прогресса, приятие принципов DevSecOps стало ключевым шагом в нивелировании рисков, усовершенствовании взаимодействия между системами и создании безопасных продуктов ПО высокого качества. Эволюция в этой области продолжается и сейчас: появляются новые инструменты и решения.
Члены Forbes Technology Council поделились полезными замечаниями о том, какие тренды DevSecOps можно назвать ключевыми в этом году и как именно DevSecOps способствует развитию систем кибербезопасности, повышая их эффективность и сопротивляемость.
Мы попросили Антона Квардакова, заместителя начальника отдела технической защиты конфиденциальной информации Cloud Networks, рассказать, что он думает об этих трендах, и пояснить, насколько, с его точки зрения, эти тренды актуальны и действительно ли они помогут сделать будущее безопаснее.
***
Комментирует Антон Квардаков: «В целом, исходя из нашего опыта работы и взаимодействия с командой разработчиков, которая работает на государственных информационных системах, у них этот процесс действительно отлажен, есть отдельные специалисты, отвечающие за контроль версионности, за контроль безопасной разработки, за продумывание и создание механизмов защиты информации, которые они встраивают в решения. Иногда они используют уже существующие механизмы. При этом если речь идёт не просто о приложении, но о приложении с механизмом защиты информации, то к ним есть дополнительные требования по оценочному уровню доверия, и в рамках этого оценивается сам процесс разработки продукта. Также есть дополнительные требования, которые касаются лицензиатов, имеющих лицензию, например, ФСТЭК России, на разработку средств защиты информации. Или лицензию ФСБ, если мы говорим про средства криптографической защиты информации. По этой части описано очень много организационных мер, но не так много написано о том, какими методами должен проводиться анализ кода».
Антон Квардаков: «Что касается использования ИИ при разработке приложений, нельзя отрицать, что в последнее время разработчики довольно часто делают запросы ИИ по поводу того, как написать функцию в тот или иной оператор. Но такого, чтобы включить ИИ в весь процесс изначально, я пока что лично не слышал. И, с учётом всех требований ФСТЭК России по изолированности защищённой разработки, я думаю, что в нашем контексте это затруднительно, если не запрещено.
Если мы говорим о средствах против разглашения государственной тайны, там никакого ИИ допущено быть не может. В случае, если он и будет допущен, то будет максимально урезан и изолирован: в дальнейшем он абсолютно не будет развиваться, обучаться и т.д. Если же мы говорим о каких-то программных продуктах, которые не являются средствами защиты, то да, ИИ действительно используется довольно широко».
Антон Квардаков: «Машинное обучение используют при анализе кода, сканируя его и подсвечивая потенциальные уязвимости. При этом машинным обучением часто называют вещи, которые не до конца попадают под это понятие, поэтому стоит учитывать контекст. Если говорить о каких-то глобальных продуктах, МО всё чаще применяется при оказании услуг. Само МО подвержено определённым угрозам, но в целом технология развивается и наверняка будет использоваться в дальнейшем, учитывая объём задач, которые уже были проработаны. Но пока что вкупе с ним необходима постоянная премодерация».
Антон Квардаков: «Да, мы всё чаще сталкиваемся с тем, что организации стали запрашивать анализ защищённости и пентесты. Количество атак на информационные системы с 2022 года увеличилось, появилась потребность в защите, и рынок стал развиваться активнее. В связи с этим даже те, кто не занимался разработкой средств анализа защищённости, начинает погружаться и в этот аспект тоже. Сам рынок давно уже сформирован, но понемногу появляются новые игроки».
Антон Квардаков: «Не думаю, что так, поскольку остаются прежними требования по безопасности. Скорее, наоборот, бизнес начнёт больше ориентироваться на DevSecOps, потому что бизнес заинтересован в том, чтобы работа была эффективной и не было утечек и нарушений безопасности. Если DevSecOps ориентируется на бизнес, то он делает всё возможное, чтобы не допустить нарушений, не мешая при этом бизнес-процессу. Он должен ориентироваться на бизнес, но в рамках приемлемого уровня, чтобы не упускать риски недопустимого характера».
Антон Квардаков: «Можно лишь повторить сомнения насчёт вовлечённости в эти процессы ИИ, уже озвученные выше: таким образом мы только отдаём всю информацию о потенциальных нарушениях потенциальным нарушителям. Встаёт также аналогичный вопрос: какого объёма в таком случае должна быть премодерация?».
Антон Квардаков: «Да, в рамках основных ЦОДов SaaS-инструменты очень развиты на разных уровнях: на уровне защиты инфраструктуры, операционных систем, и, если мы говорим про сетевую безопасность, даже приложений».
Антон Квардаков: «В принципе, всё описанное действительно так, но не сказал бы, что это новый тренд. Что-то подобное можно найти уже в 2017 году или даже раньше».
Антон Квардаков: «Конечно, требования к коду и к разработке вполне могут помочь обеспечить безопасность системы. С этим можно только согласиться».
Антон Квардаков: «Опять же это несколько устаревший тренд. У нас уже принято иметь промышленный контур, демо- и тестовый контуры, а также контур разработчиков. Сейчас всё действительно проверяется с помощью средств защиты, но без живых данных – чисто для функционирования системы».
Антон Квардаков: «Конечно, если нет петли, сокращения могут быть глобальные. У централизованной и децентрализованной сетевой безопасности есть свои преимущества и недостатки, но помочь сэкономить время пограничные вычисления действительно могут».
Антон Квардаков: «Да, контейнеризация – это хорошо развивающаяся тема. Заказчики всё больше используют подобные решения, и уже существует ряд встроенных механизмов, к примеру, по обеспечению целостности контейнеров».
Антон Квардаков: «Чтобы перехватить трафик или взломать текущее шифрование, нужно быть высококвалифицированным IT-специалистом. Сложно сказать, насколько метод квантовой криптографии вообще доступен на сегодняшний день и сколько он может стоить. Да, всё вышеописанное возможно, но, как минимум, это требует большого количества времени и огромных ресурсов. Это очень специфичная история, находящаяся сейчас, скорее, на уровне теории, чем практики».
