Код безопасности


Пока Big Tech выходит на финансовые рынки, банки сами торопятся превратиться в технологические компании, и героем нашего времени часто становится не клиентский менеджер или инвестиционный управляющий, а программист. Это добавляет удобства и клиентам, и бизнесу, но создает дополнительные возможности для злоумышленников. Глава Swordfish Security Юрий Сергеев рассказал SPEAR’S Russia, сколько ошибок совершают программисты, как дорого они могут обойтись и какие банки следует считать самыми безопасными.

28.12.2020





«Цифровая трансформация» – одно из главных выражений 2020 года. Вы очень важная часть этого понятия, чем занимается компания Swordfish Security?

Мы занимаемся тем, что помогаем клиенту наладить выпуск защищенных приложений, программных продуктов и цифровых сервисов, в рамках проектов цифровой трансформации. Если коротко, то мы внедряем практики кибербезопасности в каждый этап цикла разработки программного обеспечения.

Объясню на примере. В банковской индустрии есть такая удобная, автоматически работающая штука – кредитный конвейер. Она хороша стандартизацией процесса и унификацией всех задач, возникающих при сопровождении кредитной заявки. Даже когда у клиента появляются уникальные требования, их можно упаковать в типовой проект. С точки зрения управления рисками и банк, и клиент выигрывают здесь за счет минимизации человеческого фактора. Конвейер позволяет внедрить любое количество проверок безопасности, проверок самого клиента, его кредитной истории в полном соответствии с существующими регламентами. Вдобавок само движение информации, формирование ответов на запросы разных департаментов и ведомств происходит без участия сотрудников.

То же самое и у нас. Мы помогаем клиентам сделать обычный процесс производства программного обеспечения более современным, максимально автоматизированным, помогаем наладить конвейер и встраиваем в него многочисленные проверки защищенности конечного продукта. Это технологическая и методологическая задача. В итоге получаем удобство, надежность, масштабируемость и контроль над рисками. Можно сказать, мы минимизируем риски для пользователей нашего клиента.

Еще один вопрос о базовых понятиях. Ваш слоган: Application Security for a Better World. Под словом Application («приложение») многие понимают квадратик на экране своего смартфона.

Все так. Для меня как для клиента банка приложение – это иконка в телефоне, но именно в ней может заключаться весь бизнес нашего клиента. Без этого квадратика нет, например, «Тинькофф» или «Яндекса». И если мы говорим про application security («безопасность приложений»), то имеем в виду некий стандарт, предписывающий, что необходимо делать в процессе разработки, чтобы этот вот квадратик был максимально защищен для конечного пользователя. Минимизировать риски того, что деньги, персональные данные из квадра­тика несанкционированно уйдут неведомо куда.

Можно сказать, что ваша security-работа состоит в некотором замедлении процесса. Но инвестиционные компании иногда прямо говорят, что разрешают себе ошибки, потому что важнее всего запустить новый продукт как можно быстрее.

Ошибки бывают разные. В сфере информационной безопасности ошибки могут быть фатальными для бизнеса в целом. Метод, который называется «подкручиваем колеса во время езды», был распространен лет 10–15 назад. Происходило все примерно так: делаем продукт, проводим тест на проникновение, если что-то находим, исправляем скорее, потом – уже в процессе промышленной эксплуатации. В те времена это работало, так как основной методикой разработки программного обеспечения была так называемая водопадная модель (waterfall). Она подразумевала, что все задачи идут поэтапно и клиент получает IТ-результат, например, раз в полгода или раз в квартал.

Сегодня базовые подходы к разработке программных продуктов сильно изменились и эволюционировали. Клиент может получать новые версии приложения раз в неделю или даже ежедневно. Реализовывать проверки безопасности в необходимом объеме постфактум при таких скоростях невозможно. Увеличение скорости разработки и сокращение Time-To-Market – это основной вызов как для бизнеса в целом, так и для экспертов, отвечающих за информационную безопасность в частности.

Чтобы справиться с этим вызовом, необходимо реализовать сложный технологический процесс, главные задачи которого – сокращать время, обеспечивать объем и гибкость всех внедрений. При этом IT и бизнес в компании должны работать сообща, в едином порыве по современной методологии в рамках непрерывного технологического конвейера, четко контролируя все изменения, доработки и реализацию новой фунциональности. Такой процесс называется модным термином DevOps.

Но если при реализации DevOps вы забудете об информационной безопасности, то совершите слишком дорогую ошибку. Наша главная задача как раз и состоит в том, чтобы трансформировать DevOps в DevSecOps, то есть встроить security прямо в конвейер разработки, стать его частью. Вторая наша задача – сделать так, чтобы все эти проверки имели минимальное влияние на время выпуска релизов, при этом все необходимые индустриальные стандарты были соблюдены и выполнялись требования регуляторов.

Что можно привести в качестве примера фатальной и дорогой ошибки?

Вспомним компанию Equifax, кредитное бюро с более чем 800 млн пользователей. В 2017 году злоумышленники обнаружили в ее web-системе уязвимость и смогли ею воспользоваться, скомпрометировав почти 143 млн пользовательских записей с именами, номерами социального страхования и кредитных историй. Причиной тому была ошибка в свободно распространяемой и широко используемой для разработок на языке Java библиотеке – Apache Struts 2. Через эту уязвимость можно было запустить удаленное исполнение любого зловредного кода и любой команды (так называемый Remote Code Execution, RCE). Хакеры пользовались своей находкой около двух-трех месяцев, а в Equifax об этом никто не знал. Итог – в начале 2020 года Федеральный суд США утвердил решение по всем коллективным искам, поданным к компании после этого инцидента, на общую сумму 1,4 млрд долларов.

Повторяю, это был просто дефект в свободно распространяемой компоненте – библио­теке языка Java. Он давно исправлен, но не факт, что крупные компании, ведущие самостоятельную разработку, обязательно об этом узнали. Есть множество продуктов, до сих пор использующих такие же устаревшие, уязвимые библиотеки или компоненты. Справиться с этими и другими потенциальными проблемами поможет только системный процесс, он дает возможность на каждом этапе в автоматическом режиме контролировать максимум всех необходимых параметров и гарантировать соответствующий уровень защищенности от технологических рисков.

А вот совсем свежий пример другого рода, к которому имеют непосредственное отношение мои эксперты. В рамках одного из проектов мы занимаемся созданием программного решения для поиска и анализа уязвимостей в мобильных приложениях. Идентифицируя некоторые специфичные проблемы мобильных платформ, ребята обнаружили уязвимость, которая позволяла без специальных разрешений, без прав администратора подменить любое приложение на операционной системе Android на зловредное. Отличный вектор атаки, особенно на банковские приложения и сервисы. Этот баг наши специалисты скоммуницировали в Google, и буквально месяц назад был выпущен фикс для операционной системы, а команду экспертов внесли в зал славы Google.

А правило «чем примитивнее, тем защищеннее» еще работает? В России есть крупные банки, которые очевидно отстают от лидеров цифровизации, может, им и не надо наращивать темп и подвергать себя все новым и новым угрозам?

Правило работает, но конкурировать с его помощью не получится, олдскульные варианты мешают бизнесу. Почему клиент должен сохранять лояльность к морально и технически устаревшим финансовым институтам? Тем более что поменять банк или брокера теперь можно по щелчку пальцев.

Чего хотят клиенты банков? Иметь быстрый, надежный и защищенный сервис в любой точке мира в любой момент времени. Если один потрудился над тем, чтобы сделать свое приложение удобным и многофункциональным, а другой – нет, я как клиент выберу первого. В такой ситуации все банки стараются не уменьшать, а только лишь наращивать количество и качество доступных онлайн-сервисов, а это значит, что также придется на каждом шаге думать о безопасности.

Среди ваших сервисов есть создание центров компетенций. Что это такое и как они формируются?

Тут можно выделить несколько cоставляющих. Сам по себе DevSecOps – это комплекс, включающий технологии, процессы и человеческие ресурсы. Центр компетенций, конечно же, в наибольшей степени касается людей. Для начала мы должны создать программу осведомленности, сказать: «Ребята, внутри компании формируется экспертиза, задавайте любые вопросы о построении защищенных продуктов и архитектур, вот единая точка входа». Помимо всего прочего, это еще и некоторый внутренний маркетинг: иметь компетенции в информационной безопасности классно, это повышает рыночную стоимость любого технаря.

Вторая составляющая – это тренинги и обучение как для новичков, так и для профессионалов. Тут все – от азов до практик secure coding для различных языков программирования. Кроме того, мы составляем дорожную карту повышения компетенций как для технарей, так и для менеджеров среднего и высшего звена (ведь все должны быть в общем контексте происходящего).

Третья – непосредственно приобретение опыта работы с инструментами, разработка специализированных рекомендаций и гайдлайнов для применения полученных знаний. Каждый, кто ежедневно занимается своим участком работы, должен иметь под рукой «шпаргалку» и при необходимости проверить, правильно ли он проектирует или разрабатывает.

Наконец, есть задача формирования технологической культуры внутри организации через непрерывный процесс поддержки и развития экспертизы кибербезопасности для технических команд. Сложность состоит в том, что в крупных компаниях никто не будет на несколько дней останавливать производственные процессы, чтобы отправить на очный тренинг всех программистов: это слишком сложная и ресурсоемкая история. Поэтому наряду с плановым очным обучением, с одной стороны, необходимы форматы интерактивных тренингов, внутренних митапов, персонализированных тестовых заданий, доступ к библиотеке записей выступлений экспертов на конференциях. Также необходимо обеспечить контроль полученных знаний и навыков через обратную связь по реальным производственным задачам. А с другой стороны, необходимо сформировать сообщество внутренних экспертов, способных взять на себя консультации остальных членов команд по многим базовым вопросам кибербезопасности.

Сколько ошибок совершают ваши подопечные из крупных компаний?

Довольно много, но это естественное положение вещей. Есть индустриальная метрика – «плотность уязвимостей» (количество дефектов на 1000 строк кода). Она может быть низкой, но нулевой – никогда, потому что в индустрии разработки программных продуктов невозможно исключить человеческий фактор. Бывают и случайные, бывают специально заложенные в систему ошибки, но, так или иначе, средний показатель по нашему опыту – это примерно 50–60 критичных дефектов на 1000 строк кода. У более зрелых команд этот показатель ниже – 10–15 / 1000 строк. При этом у крупных компаний объем разрабатываемого и эксплуатируемого программного обеспечения может измеряться в десятках и сотнях миллионов строчек кода. Наши же сервисы, в свою очередь, способны не только детектировать и исправлять ошибки, но и направлены на предотвращение возникновения уязвимостей.

Ваши основные клиенты – финансовые компании? Кто, кроме них, нуждается в ваших услугах?

Наверное, 90% клиентского пула – это действительно организации финансового рынка. Во-первых, он очень конкурентный и динамичный, во-вторых, на него серьезно давит регулятор (ЦБ). Банки из топ-10 все время подчеркивают свою технологичность и соответствие духу времени, и с большинством из тoп-10 мы уже работаем. Типовое взаимодействие начинается с формирования стратегии трансформации кибербезопасности, затем поэтапно внедряются DevSecOps-практики и параллельно строится центр компетенций.

Другие клиенты приходят к нам с рынка электронной коммерции и логистики. А вообще, потенциальный интерес к нашим услугам проявляют любые компании, которые пытаются очень быстро перейти в digital, на этом пути действительно лежит много не самых заметных препятствий.

Где сейчас находятся лучшие мозги в вашей индустрии? В коммерческом секторе или на стороне злоумышленников?

Сразу скажу, что русская технологическая школа на данный момент является лучшей в мире. Это можно увидеть даже по присутствию наших технарей в Силиконовой долине. Если судить по тем, кого мы видим и нанимаем лично, то хорошие мозги выходят из МГТУ им. Баумана, МГУ, МИФИ, питерского Политеха.

Мы вживую видим ярких профессионалов в коммерческой сфере – как у вендоров ИБ-решений, так и в компаниях, всерьез вставших на путь цифровой трансформации. Могу предположить, что грамотные эксперты работают и в других сферах – мы видим лишь косвенные подтверждения, например, через сложные комбинированные атаки. Получать хорошие деньги и постоянно прокачивать свою экспертизу можно во многих компаниях. «Сбер», «Тинькофф», «Яндекс» – только самые громкие имена. На самом деле, лучшие умы идут туда, где возможны прорывы и смена интеллектуальной парадигмы. В этом смысле у кибербезо­пасности огромное преимущество перед всеми другими направлениями, потому что в нашей индустрии интересные и нестандартные задачи есть всегда.

Если лучшие умы уже в коммерческом секторе, то стоит ли клиентам банков чего-то бояться?

Всем полезно понимать, что идет борьба за ресурсы, и банки из первой десятки заметно опережают своих конкурентов, именно они нанимают большую часть талантливых разработчиков и шлют рынку сигнал о том, что без кибербезопасности и киберграмотности теперь нельзя. Остальным приходится подтягиваться, хотя в нижней половине топ-100 представить себе такой объем инвестиций довольно трудно.

Как и всегда, впереди те, у кого есть бюджет. Но в группе лидеров самыми безопасными окажутся те, кто умеет эти бюджеты правильно распределять. Честно говоря, и среди самых богатых банков есть отстающие. Уверен, что те, кто раскачивается слишком медленно, имеют шансы испытать массу сложностей. Они уже получают проблемы, просто не всегда это касается клиентов, а значит, не всегда становится публичной информацией. Но однозначно в ближайшие пару лет все мы можем стать свидетелями серьезных киберскандалов.



28.12.2020

Источник: Spear's Russia


Оставить комментарий


Зарегистрируйтесь на сайте, чтобы не вводить проверочный код каждый раз