Как выглядит идеальная цепочка инструментов безопасности приложений

Опубликовано: 1 Апреля, 2023
Как выглядит идеальная цепочка инструментов безопасности приложений

Кажется, нет единого мнения о правильном подходе к построению цепочки инструментов безопасности приложений. Хотя для некоторых людей это так или иначе не имеет значения, подавляющее большинство разделились во мнениях относительно того, является ли правильный путь одним комплексным инструментом или интеграцией лучших в своем классе решений. Нет «правильного» ответа, если это то, что вы ищете, но имеет смысл, что малый и средний бизнес предпочтет первый из-за единой точки обновлений и обслуживания. С другой стороны, список лучших в своем классе хорошо интегрированных инструментов будет иметь очевидные преимущества, заключающиеся в возможности работать независимо друг от друга, если это необходимо.

Если собрать всех лучших игроков вместе, это автоматически не превратится в хорошую команду. Существуют уровни интеграции, и более высокие уровни приходят от зрелости, опыта и, довольно часто, проб и ошибок. Допустим, мы используем лучший в своем классе подход, имея пять различных инструментов для брандмауэра, обнаружения вторжений, резервного копирования, шифрования и соответствия требованиям. Хотя на бумаге это может показаться хорошей идеей, интегрированные системы работают лучше всего, когда они изначально спроектированы для совместной работы. Если это не так, вы обычно получаете набор инструментов, слабо связанных друг с другом с использованием метода наименьшего общего знаменателя, который упускает много хороших вещей.

Комплексные интегрированные инструменты безопасности приложений

Другой вариант — использовать набор инструментов от одного поставщика — это помещает их в категорию решений, созданных для совместной работы. Преимуществом здесь является общий пользовательский интерфейс для всех инструментов в дополнение к общим требованиям к оборудованию, которые легче удовлетворить. Еще лучше, когда поставщик интегрирует свои собственные наиболее эффективные инструменты в «платформу», которая представляет собой нечто большее, чем сумма ее частей. Например, Polaris Software Integrity Platform от Synopsys представляет собой комбинацию трех разных инструментов. Coverity для статического анализа кода, Black Duck для анализа состава программного обеспечения и Seeker для интерактивного тестирования безопасности приложений.

Новой и ключевой функцией этой платформы является плагин Code Sight IDE, который использует Coverity для постоянного сканирования вашего кода и поиска ошибок или неправильных методов кодирования, которые могут вызвать проблемы в производстве. Это также дает вам интерактивную обратную связь в режиме реального времени о том, как исправить такие проблемы. Это предотвращает множество сбоев на этапе кодирования, экономя бесценное количество времени, денег и усилий в будущем. Другие функции включают консолидированные отчеты о рисках и интеграцию с другими платформами безопасности. Хотя решение использовать одного поставщика связано с очевидными опасениями «привязки», Polaris рекламируется как открытая платформа, которая хорошо работает с другими.

Платформа безопасности приложений WhiteHat

Изображение 10006
Flickr / Кэрол ВанХук

Много внимания уделялось DevSecOps и тому, как безопасность должна быть встроена в весь жизненный цикл разработки, чтобы быть действительно эффективной. Это именно то, на что ориентирована платформа безопасности приложений WhiteHat. Подобно платформе Polaris, эта представляет собой комбинацию ряда инструментов, включая Sentinel Dynamic для динамического тестирования безопасности приложений (DAST), Sentinel Source для статического тестирования безопасности приложений (SAST) и WhiteHat SCA (анализ состава программного обеспечения). В сентябре 2018 года компания WhiteHat вышла на новый уровень, добавив возможности искусственного интеллекта в динамику Sentinel, что не только резко сократило время, необходимое для выявления векторов угроз, но и устранило много времени, занимающего ложные срабатывания.

Чем WhiteHat отличается от толпы, так это тем, что они действительно делают упор на образование и, в частности, решают проблему нехватки навыков. Вот почему платформа включает в себя решение для электронного обучения, предназначенное для того, чтобы сотрудники службы безопасности, а также более широкое сообщество разработчиков были в курсе таких тем, как безопасное кодирование, смягчение последствий и защитное исправление. В годовом отчете организация весьма громко заявила о том, что новые технологии неизбежно привносят в предприятие новые уязвимости. В отчете также освещаются последствия для безопасности новых инициатив по цифровому преобразованию и то, как их необходимо учитывать с самого начала, а не задним числом.

Преодоление разрыва

Другой платформой, ориентированной на DevSecOps и, в частности, устраняющей разрыв между командами Sec и Dev, является Veracode. Это достигается за счет хорошей интеграции с процессами Dev и Sec, а также позволяет им обмениваться информацией друг с другом и сотрудничать. Veracode основан на тех же принципах, что аномалии кода необходимо обнаруживать на ранних этапах жизненного цикла приложения, и он делает это с помощью Veracode Greenlight. Greenlight — это мощный инструмент, работающий в фоновом режиме и использующий минимум ресурсов для обнаружения дефектов в вашем коде в режиме реального времени. Помимо интеграции с GRC (управление, риски и соответствие), Veracode также преуспевает в аналитике.

Одной из платформ безопасности, которая не только хорошо интегрируется в жизненный цикл разработки приложений, но и имеет открытый исходный код, является Snyk. В то время как некоторые произносят это как «сник», а другие произносят как «скрытно», суть в том, что это отличная платформа безопасности. Угрозы обычно не появляются из ниоткуда, они растут из базовых зависимостей приложений, которые со временем ухудшились. Возможность отображать и отслеживать зависимости приложения является одной из ключевых функций Snyk. Это и, конечно же, возможность автоматически находить и устранять уязвимости на основе обогащенной и «отобранной вручную» базы данных уязвимостей. Snyk интегрируется со средами разработки и предлагает автоматические исправления проблем, обнаруженных в коде, пока он еще пишется.

Проверка на проницаемость

Изображение 9947
Шаттерсток

Довольно часто говорят, что лучшая защита — это нападение, и если вам интересно, как это применимо к DevOps, подумайте о программе ChaosMonkey от Netflix. Для непосвященных они построили программу, которая просто случайным образом продолжает атаковать себя весь день, чтобы научиться всегда быть готовым к проблеме. Чуть более «одомашненная» версия — это то, что мы называем тестированием на проникновение, которое, по сути, является попыткой нарушить безопасность вашей собственной системы с использованием тех же инструментов, которые доступны потенциальным злоумышленникам. Это отличный способ обеспечить безопасность в масштабе и метод, который в настоящее время используется рядом инструментов безопасности в своих интересах.

Хорошим примером является чикагская компания по обеспечению безопасности мобильных устройств NowSecure, которая изначально была мобильной криминалистической лабораторией, а теперь предоставляет лучшие в своем классе услуги по тестированию на проникновение. NowSecure также хорошо интегрируется с другими решениями для анализа угроз, что позволяет получать доступ к гораздо более широкому набору данных. Другим примером является HyperCube, который продвигает тестирование пера на шаг вперед и создает виртуальную модель всей вашей инфраструктуры, чтобы ее можно было атаковать по желанию, фактически не нарушая вашу реальную среду. Хотя это может звучать как безопасная для детей версия Chaos Monkey, не все достаточно хардкорны, чтобы на самом деле атаковать свою собственную живую среду. HyperCube также преуспевает в сетях с нулевым доверием, которые мы наблюдаем гораздо чаще в условиях глобальной блокировки.

Нулевое доверие или отсутствие периметра — это два новых модных словечка, которые мы, вероятно, будем чаще встречать по мере того, как будем продвигаться в новый мир, где работа из дома является необходимостью. Без четко определенного периметра для защиты нам нужно начать смотреть на безопасность не как на одноразовую сделку «установи и забудь», а как на услугу, которую необходимо будет постоянно обновлять и внедрять инновации, чтобы идти в ногу с плохие парни. Нет сомнений в том, что машинное обучение и искусственный интеллект сыграют ключевую роль в защите этой новой, казалось бы, безграничной поверхности атаки. Что нам определенно нужно больше, так это нетрадиционные идеи, такие как люди из Nullafi, которые сейчас сосредоточены на защите данных там, где они лежат, а не на поиске периметра для защиты.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023