Тонкости построения процессов безопасной разработки в организации на полях Восточного цифрового форума Russky MeetUp & Digital Region (16+) во Владивостоке раскрыл руководитель продукта по управлению безопасной разработкой компании МТС RED Сергей Деев, сообщает ИА PrimaMedia.
Компания МТС RED входит в группу компаний МТС и является новым игроком в области кибербезопасности. Несмотря на то, что она еще совсем молодая, МТС RED активно собирает вокруг себя опытных экспертов в области кибербезопасности и ведет разработку глобальных сервисов и продуктов. Об особенностях одного из них участникам цифрового форума рассказал Сергей Деев.
Более 10 лет Сергей Деев посвятил работе в области кибербезопасности. Семь из них он занимается вопросами анализа безопасности программного обеспечения. В ходе выступления он объяснил слушателям, какими компаниями наиболее востребована безопасная разработка. На первом месте, по его словам, стоит финансовый сектор, то есть те организации, деятельность которых напрямую связана с монетизацией, использованием информационных технологий и получением за это выручки.
"Именно такие организации в большей степени являются целями атак злоумышленников. Поэтому эти компании применяют самый широкий набор подходов в области обеспечения информационной безопасности и практик безопасной разработки. Надо отметить, что помимо коммерческих банков, вопросами безопасной разработки всерьез занимаются платежные сервисы и системы, а также различные занятые в этой сфере ИТ-платформы", — отметил Сергей Деев.
Еще один большой пласт интересантов находится среди компаний, занятых в электронной коммерции (e-commerce). Речь идет о различных онлайн-сервисах, через которые люди получают услуги, покупают или продают какие-либо товары.
"Эти компании осознанно занимаются кибербезопасностью и обеспечением безопасной разработки своих сервисов именно потому, что это важная составляющая их бизнеса. В этом случае руководству компании не нужно доказывать, зачем им продукты кибербезопасности, и почему в них необходимо вкладываться", — сказал эксперт.
Еще одним важным участником рынка, в фокусе которого находятся вопросы безопасной разработки, являются те организации и компании, которые разрабатывают различные средства защиты информации, отечественные операционные системы и прочее программное обеспечение, подлежащее обязательной сертификации по требованиям безопасности.
"В крупных компаниях уже сформировалась культура применения лучших практик безопасной разработки или в целом обеспечения информационной безопасности с использованием различных подходов. Но средний и малый бизнес пока только начинает искать способы обезопасить себя теми мерами, которые им доступны, исходя из их финансовых и организационных возможностей", — сказал эксперт.
По словам Сергея Деева, с прошлого года практически каждая компания, которая находится на территории РФ, подверглась кибератакам или находится в поле зрения злоумышленников. Поэтому в настоящее время необходимость применения практик безопасной разработки выросла многократно и наблюдается по всему ИТ-рынку во всём ИТ-сообществе.
Рассказывая подробнее о том, что же такое безопасная разработка, Сергей Деев пояснил, что это внедрение контролей и безопасности на всех этапах жизненного цикла разработки программного обеспечения. Одна из важных мер при безопасной разработке заключена в применении статического анализа кода, когда анализу на наличие уязвимостей подвергается исходный код еще до запуска программы. При построении модели будущего приложения отслеживаются потоки данных, корректность исполнения тех или иных программ — все это позволяет находить новые свойства, о которых ничего не было неизвестно. Говоря простым языком, такой подход позволяет найти слабые места в коде конкретного приложения и устранить их еще до того, как они станут известны широкому кругу злоумышленников.
Еще одной важной мерой при безопасной разработке является прямо противоположный статическому анализу динамический анализ кода. В этом случае разрабатываемое приложение запускается на специальном стенде и тестируется в процессе работы. К примеру, веб-интерфейс проверяемого приложения осознанно нагружается различными запросами. Аналитик отслеживает, как оно себя при этом ведет. Если в ходе тестирования возникает ошибка или поведение нетипично, то фиксируется успешное выполнение атаки.
Именно такое сочетание динамического и статического анализа, по словам эксперта, дает наилучший результат и позволяет наиболее полно выявить имеющиеся проблемы. Данный подход является одной из лучших практик и применяется повсеместно, в том числе и за рубежом.
Еще одной важной мерой является применение анализа уязвимостей, который позволяет просканировать исходный код и состав программного обеспечения на наличие в нем уязвимостей в сторонних компонентах, — композиционный анализ. Так как в современной разработке помимо самостоятельно написанного кода, используются заимствованные "куски" кода или сторонние библиотеки, то они также требуют внимания со стороны экспертов ИБ. Информация о наличии уязвимостей в широко распространенных сторонних компонентах так же, как правило, публично известна и находится во внешних базах. Композиционный анализ позволяет определять сторонние компоненты и выявлять информацию о наличии уязвимостей в них из публичных источников автоматически, что является важным дополнением статического и динамического метода анализа.
Как отметил в ходе выступления Сергей Деев, когда речь идет о внедрении мер безопасной разработки в деятельность конкретной коммерческой компании, необходимо учитывать ее бизнес-интересы. Как правило, крупный бизнес требует высокой скорости реакции от выявления проблемы до ее устранения.
"Очень важно применять инструменты безопасной разработки таким образом, чтобы они минимально влияли на срок выпуска нового релиза. Для этого, конечно же, важно автоматизировать процессы проверок и уменьшить роль человека в цепочке принятия решений, влияющих на выпуск версии. В том числе путем снижения рутинных действий человека", — подчеркнул Сергей Деев.
Следуя такому принципу, группа компаний МТС приняла решение создать программную платформу, которая помогала бы выстраивать процессы безопасной разработки во всей экосистеме и автоматизировала бы управление ими. Решение находится в стадии реализации.
В дополнении к докладу, озвученному на Форуме в ДВФУ, состоялась беседа Сергея Деева с корр. ИА PrimaMedia, в которой были затронуты более широкие вопросы из области информационной безопасности. Сергей начал с того, что кратко рассказал о компании МТС RED. Компания была создана для развития бизнеса экосистемы МТС в сфере кибербезопасности, в том числе и для создания подобной автоматизированной системы безопасной разработки. В настоящий момент МТС RED действует как самостоятельный игрок рынка кибербезопасности.
"Мы чувствуем поддержку компании МТС, она является нашей ключевой опорой в этой части, но при этом мы действуем на рынке кибербезопасности самостоятельно. Экспертиза наших опытных коллег проявляет себя практически с первого дня работы", — отметил Сергей Деев.
По его словам, костяк коллектива компании МТС RED был сформирован из экспертов, являющихся лидерами отрасли кибербезопасности, много лет проработавших в других компаниях.
"В этом смысле у нас есть полная уверенность в том, что мы действительно будем полезны профессиональному сообществу и нашим потенциальным заказчикам. По ряду сервисов и услуг мы уже помогаем нашим коллегам из различных компаний", — сказал он.
Эксперт также добавил, что события последнего года создали в нашей стране огромный спрос на кибербезопасность. На это повлиял и уход иностранных вендоров программного обеспечения, и возросшее количество кибератак на все сегменты рынка, на всё русское ИТ-сообщество и даже на те компании, которые напрямую не связаны с государством. При этом в России вопрос импортозамещения в сфере кибербезопасности в настоящий момент не стоит остро. ИТ-специалисты успешно работают над созданием отечественных продуктов в этой сфере. Тем более, что в этой области в стране давно ведутся разработки, и есть много хороших решений международного уровня.
"Иностранные игроки, которые до этого захватывали наш рынок и держали его, либо ушли, либо к ним утрачено доверие. Поэтому сейчас прекрасное время для того, чтобы проявить себя, в том числе и специалистам в регионах", — подчеркнул Сергей Деев.
В качестве позитивного примера он привел активность Дальневосточного федерального университета. По его словам, вуз в настоящее время очень серьезное внимание обращает на разработку новых технологий, их исследование. Студенты и ученые готовят интересные научные работы, в том числе в области кибербезопасности.
"МТС проводит стажировки, участвует в студенческих активностях по всей территории РФ. В ДВФУ у нас, например, есть свой офис. Много лет мы сотрудничаем с проектным центром университета, есть также соглашения с технопарком "Русский". Взаимодействие идет по всем направлениям", — заключил Сергей Деев.
И, наконец, отвечая на вопрос корреспондента о том, как обычному человеку обезопасить себя от киберугроз, Сергей Деев дал простые и понятные советы гражданам. Во-первых, необходимо в строжайшем секрете хранить свои логины и пароли, начиная от обычного электронного почтового ящика, заканчивая данными для авторизации на портале "Госуслуги" (6+). Ни одна компания, ни один банк не будут запрашивать такую информацию у своего клиента. Во-вторых, в условиях развития искусственного интеллекта следует критично относиться к любой информации, брать ее только из проверенных источников и неоднократно ее проверять. То же самое касается сообщений и звонков будто бы от близких с просьбой о помощи. Следует перезванивать и все перепроверять. Развивающиеся технологии могут создать подделку, которую невозможно будет отличить от оригинала.
"И, конечно, надо соблюдать простые правила безопасности при использовании любых электронных устройств — это касается как мобильных устройств, так и компьютеров. Они должны быть как минимум защищены антивирусным программным обеспечением. Кроме того, не стоит устанавливать на них какие-то программы из недоверенных источников. Тем более, сейчас, когда санкции не позволяют приобрести лицензионные продукты, и велик соблазн скачать взломанную программу. Но если желание поиграть, например, в какую-то игру слишком велико, то надо делать это с отдельного устройства, через которое не осуществляются никакие транзакции, нет авторизации в социальных сетях, на Госуслугах и так далее. Для всех этих действий ваше устройство должно быть чистым и защищенным антивирусом", — подчеркнул эксперт.
