Изучение непрерывной безопасности

  • 6 мин

Непрерывная безопасность — одна из восьми возможностей, характерных для методологии DevOps.

Необходимость непрерывной безопасности

Киберпреступность — это неизбежный факт цифровой эпохи, в которой мы живем. Многие организации ежедневно подвергаются атакам со стороны злоумышленников, которые стараются причинить ущерб, или хакеров, делающих это ради забавы. И наши организации, и мы, как пользователи сторонних сервисов, являемся возможными целями всех этих атак.

Вот несколько примеров из реальной жизни.

Компания Истории из реального мира
Значок: проблема, затронувшая компанию Yahoo Деревенщина В 2013 году все 3 миллиарда учетных записей пользователей Yahoo пострадали от кражи данных. Расследование показало, что украденные данные не содержали паролей в открытом текстовом виде, данных платежных карт или реквизитов банковских счетов.
Значок: проблема, затронувшая компанию Uber Uber В 2016 году хакеры получили доступ к личным данным 57 миллионов водителей Uber. После атаки компании Uber пришлось заплатить хакерам 100 000 долларов за уничтожение этих данных. Компания не сообщила об этом ни регулирующим органам, ни пользователям, чья информация была украдена. Информацию об атаке компания обнародовала год спустя.
Значок: проблема, затронувшая компанию Instagram Instagram В 2017 году взлом Instagram затронул миллионы учетных записей и привел к раскрытию телефонных номеров пользователей. Номера оказались в базе данных, и люди могли искать контактную информацию жертв, платя по 10 долларов за поиск.
Значок: проблема, затронувшая компанию Facebook Facebook В 2018 году хакеры украли подробные личные данные 14 миллионов пользователей Facebook. Украденные данные включали в себя результаты поиска, последние данные геолокации и места рождения пользователей.
Значок: проблема, затронувшая компанию Equifax Equifax 6 марта 2017 года Apache Foundation объявила о новой уязвимости в своей инфраструктуре Struts 2 и о доступности соответствующего исправления. Вскоре после этого Equifax, одно из бюро кредитных историй, которое оценивает финансовое состояние многих потребителей в США, начало уведомлять некоторых клиентов о том, что они пострадали от взлома. В сентябре 2017 года Equifax публично сообщила об этом взломе. Взлом затронул 145,4 млн потребителей в США и 8000 потребителей в Канаде. В Великобритании в общей сложности было скомпрометировано 15,2 миллиона записей, в том числе конфиденциальные данные 700 000 потребителей. В марте 2018 года компания Equifax объявила, что в США пострадало на 2,4 млн потребителей больше, чем сообщалось изначально.

Майкл Хайден, бывший директор АНБ и ЦРУ, дает сегодня следующий совет: предположите, что вы подверглись взлому, и на каждом уровне организуйте глубинную защиту, которая должна занимать центральное место во всем комплексе мер по обеспечению безопасности организации. По словам Хайдена, есть два типа компаний: те, которые подверглись взлому, и те, которые еще не знают об этом.

Философия, которую Майкрософт исповедует в своей группе продуктов и которая инспирирует подход компании к DevSecOps, заключается в следующем:

  • предположите, что вы подверглись взлому;
  • предположите, что злоумышленники уже находятся в сети с внутренним доступом;
  • обеспечьте глубинную защиту — это крайне важно.

Организации устанавливают приложения повсюду. Они используют веб-приложения и мобильные приложения для привлечения клиентов, а также используют программное обеспечение, работающее на большом количестве новых устройств Интернета вещей (IoT). Однако эти приложения подвергают компании постоянно растущему риску. На вопрос о том, как внешним злоумышленникам удалось провести успешные атаки, руководители, ответственные за безопасность глобальных сетевых каналов связи, чьи компании подверглись взлому в течение последних 12 месяцев, ответили, что два основных способа проведения атак — это прямые атаки на веб-приложения и использование уязвимого программного обеспечения. И компании в обозримом будущем будут лишь увеличивать потоки клиентов и данных через эти уязвимые точки. Forrester прогнозирует, что к 2022 году от 76 до 100 % общего объема продаж большинства компаний будет приходиться на цифровые продукты и/или продукты, продаваемые через Интернет. Поэтому специалисты по безопасности должны приложить все усилия к защите приложений.

На схеме показаны результаты состояния безопасности приложений за 2020 год, демонстрирующие, что приложения остаются самым распространенным вектором атаки. 42% внешних атак были совершены с использованием уязвимости программного обеспечения. 35% осуществлялись через веб-приложения. 27% были проведены с использованием украденных учетных данных. 25% были связаны с эксплуатацией потерянных или украденных активов, и 24% произошли из-за компрометации стратегических ресурсов в Интернете. 24% атак были распределенными атаками типа

Источник изображения: "Состояние безопасности приложений", 2020 год, исследование Forrester Research Inc., 4 мая 2020 г.

Что такое непрерывная безопасность?

Обеспечение безопасности — это применение необходимых технологий, процессов и элементов управления для защиты систем, сетей, программ, устройств и данных от несанкционированного доступа или использования в преступных целях.

Безопасность означает гарантию конфиденциальности, целостности и доступности защищаемых ресурсов в случае преднамеренных атак и попыток использовать ценные данные и системы в ненадлежащих целях.

Внимание

Важно подчеркнуть, что меры безопасности ориентированы не противодействие ошибкам, а на противодействие преднамеренным атакам. Это важно, потому что в этих различных случаях потребуются различные контрмеры: в случае ошибочных действий можно сделать простое уведомление или запрос на подтверждение действия, что определенно неприемлемо в случае вредоносных действий.

Непрерывная безопасность — это практика, обеспечивающая безопасность, которая является неотъемлемой частью жизненного цикла доставки программного обеспечения. Непрерывная безопасность в DevOps должна включать в себя целостное представление о безопасности, включая культуру соблюдения безопасности, безопасную доставку программного обеспечения и безопасность инфраструктуры.

Непрерывная безопасность требует изменения мышления, а также обучения и использования автоматизации.

Существует три элемента, обеспечивающие реализацию непрерывной безопасности.

  • Особый акцент на соблюдении безопасности во внутренней культуре организации.
  • Инфраструктура, внедренная и управляемая с использованием актуальных рекомендаций по обеспечению безопасности.
  • Процесс доставки программного обеспечения, ориентированный на безопасность, например жизненный цикл разработки защищенных приложений (Майкрософт) (SDL).

Вот три принципа DevOps, которые необходимо соблюдать при каждой возможности, чтобы обеспечить непрерывную безопасность.

Принцип Описание
Значок сдвига влево
Сдвиг влево		 Сдвиг влево означает предвидеть действия по обеспечению безопасности и проводить их на более ранних, а не на более поздних этапах процесса доставки программного обеспечения. Исследования показали, что устранение ошибок на более ранних этапах цикла разработки оказывает значительное влияние на степень затрат и убытков.
Значок автоматизации Служба автоматизации Автоматизация повторяющихся действий — ключ к снижению вероятности возникновения ошибок. Такой подход позволяет чаще выполнять задачи и процессы, которые, как правило, выполняются не так часто (например, развертывание).
Значок непрерывного улучшения Непрерывное улучшение Непрерывное улучшение достигается за счет анализа текущего поведения и поиска возможностей для оптимизации.

На схеме показаны элементы непрерывного обеспечения безопасности: сдвиг влево, непрерывное улучшение и автоматизация. Эти элементы в сочетании с безопасной инфраструктурой, культурой безопасности и безопасной доставкой программного обеспечения представляют собой комплексный подход к обеспечению безопасности.

Внимание

Объединение трех принципов (сдвига влево, автоматизации и непрерывного улучшения) с элементами непрерывной безопасности (культурой соблюдения безопасности, доставкой программного обеспечения и инфраструктурой) представляет собой целостный подход к безопасности.