Расскажем об основных принципах, которые используются для безопасной разработки.
Рассмотрим, что такое безопасное программирование. В первую очередь устанавливается защищенная операционная система, преимущественно российского ПО, где топология и архитектура разработана для защиты от различного рода атак.
Для обеспечения безопасности операционной системы на рабочие места программистов устанавливаются агенты антивируса и SIEM-контроллеры, которые позволяют контролировать сетевой трафик и обращения к другим службам.
Стандарт безопасной разработки — это прежде всего безопасное хранение исходного кода. Эффективная защита достигается за счет отделения кода от процесса разработки. Далее настраивается и шифруется канал связи, где хранится и передается исходный код.
Функциональные требования к программному обеспечению, предполагающие интеграцию с внешними платформами, включают использование так называемых API SDK. Сейчас все API обязательно требуют комплексной защиты: шифрования данных, усиленную защиту паролей, многофакторную аутентификацию, централизованное управление доступом и аутентификацией.
Какое решение предпочтительнее: On-Premise или Hybrid?
Недавно безопасным считали использование On-Premise решений, когда серверное оборудование и софт устанавливаются в изолированный контур заказчика. Такой подход был актуален для банковского сегмента, крупных корпораций и предприятий, — рассказывает эксперт НТЦ ПРОТЕЙ, менеджер продуктов направления «NGN/IMS» Александр Григорищенко. — Сейчас On-Premise решения постепенно уступают использованию облачных решений. Если работа ведется над решением с меньшей чувствительностью к рискам и атакам, достаточно On-Premise или гибридных решений.
Минусы On-Premise решений
- увеличение затрат на службу безопасности, обучение и развитие экспертизы, временных и человеческих ресурсов;
- постоянный поиск новых способов и мер защиты, необходимость обновлений;
- ограничения в вычислительной мощности локальных платформ усложняют защиту от DoS-атак;
- изолированная платформа проще чем облачная инфраструктура подвергается атакам.
Плюсы облачных технологий
- новые технологии, меры защиты и обновления внедряются быстро и централизованно;
- постоянная синхронизация и актуализация всех данных.
На этапе компиляции применяются встроенные санитайзеры и инструменты проверки на уязвимости, например, MaxPatrol, которые позволяют проверить использование библиотек и степень их уязвимости к известным сейчас атакам. Существует ряд инструментов, которые дополнительно оснащаются искусственным интеллектом для того, чтобы прогнозировать и устранять потенциальные уязвимости.
Риски открытого кода
После санкционного давления наблюдается ряд уязвимостей в хранилищах открытого исходного кода. Например, во всем мире используется GitHub. Хранилище представляет собой различные библиотеки и программы, которые пишутся энтузиастами в университетах и целевыми компаниями.
Открытый исходный код передается для того, чтобы можно было его компилировать на базе операционной системы Linux. При работе с рядом таких открытых исходных кодов разработчики замечали, что, например, при тестированиях в изолированной end-to-end лаборатории в этих кодах выявлялись инъекции со стороны злоумышленников. В коды добавлялись различные трояны и вирусы, которые пытались собрать и передать конфиденциальную информацию в определенные источники, — отмечает эксперт.
Защитные мероприятия
Описанная выше проблема решается путем постоянной миграции на новые дистрибутивы. После сборки ПО включается система пакетизации и система хранилища этих пакетов, которые находятся в изолированном контуре с обязательным ограничением прав доступа. Такие мероприятия позволяют избежать открытия дополнительных каналов уязвимости, — добавляет эксперт.
Также разработаны регламенты, в которых четко прописаны способы передачи программного обеспечения заказчику. Прежде всего, учитываются регламенты самих заказчиков и их служб информационной безопасности (ИБ). Так, обязательно используются индивидуальные по паспорту учетные записи для доступа через VPN до внешнего DMZ контура заказчика. Применяется специальный способ передачи инсталляционных пакетов, которые попадают в службу ИБ на проверку антивирусами. Кроме того, проводятся промежуточные проверки на уязвимости уже инсталлированного ПО. Помимо этого, проводится проверка портов: анализируется матрица связности портов, определяются внедренные способы авторизации и какие порты необходимы для функционирования сервиса, а какие необходимо закрыть.
Перечисленные меры безопасности выполняются производителем и приемочной комиссией заказчика, что обеспечивает необходимую ИБ и перекрывают контуры.
Комплексный подход — залог безопасности
Перечисленные выше меры — взаимодействие производителя как непосредственного поставщика и заказчика, который устанавливает это оборудование — обеспечивают защиту лишь части потенциальных угроз.
Дополнительные работы проводятся и внутри компаний. Например, рассылаются письма с фишинговой ссылкой для выявления реакции сотрудников, а дальше проводится анализ: были ли открыты ссылки и какие действия были предприняты.
При ведении разработок возможно внедрение ИИ-системы для выявления уязвимостей, написания документации по защите продуктов и других вспомогательных задач.
В результате комплексное внедрение мер безопасности и формирует итоговую защиту.
__________________________________________________________________________________________
Вы читаете канал о технологиях в ИТ и телекоме. Здесь мы сложное раскладываем по полочкам: делимся российскими разработками, исследуем связь науки и бизнеса, приглашаем к диалогу экспертов, ученых, представителей технологического сектора.
Оставайтесь с нами, чтобы не пропускать важные новости и приходите гостем на наш подкаст:
• Амбассадор российской телеком-индустрии: рассказываем о российских разработках в области ИТ и телекоммуникациях, освещаем новые технологии и делимся мнениями экспертов из научного и бизнес-сообществ.