DevSecOps та SecOps: що це і як впроваджувати

За матеріалами Спирос Псарріс (Spiros Psarris), reblaze.com/blog
 
Вимоги, які можна часто почути в компаніях із розроблення програмного забезпечення — «прискорюємо роботи», «спочатку дизайн для хмари», «замовники чекають» тощо. Це свідчить про те, що розробники насамперед приділяють увагу функціональності продукту, а безпека та операційна діяльність відходять на другий план. DevSecOps є новим модним словом у сфері розроблення програмного забезпечення. Але для впровадження цього підходу потрібно спочатку зруйнувати поточну організаційну структуру бізнесу. Водночас, коли загальна система безпеки компанії перебуває в критичному стані, це не завжди прийнятно.

Фокус на циклах розроблення та нехтування безпекою можуть зробити організації вразливими для атак. Усього одна публічна компрометація суттєво підриває довіру клієнтів і становить серйозну загрозу для бізнесу. Компанії, які одночасно масштабують свою операційну діяльність та гарантують кібербезпеку нарівні з розробленням програмного забезпечення, мають значно більші можливості для розвитку та задоволення потреб клієнтів, а також збереження їхньої довіри в довгостроковій перспективі.

Що таке SecOps?

SecOps — це скорочення від Security Operations (безпека операцій). Ця діяльність охоплює впровадження та підтримання різноманітних систем і процесів безпеки, а також постійний моніторинг і підтримання цих систем для забезпечення ефективного загального захисту від потенційних атак. Є спокуса звести SecOps до «будь-яких операцій, орієнтованих на безпеку». Однак, найбільшу потенційну цінність можна здобути саме від покращення операційної діяльності та кіберзахисту в комплексі.

Ознаки погіршення операційної культури

Погана операційна культура виявляється в невирішених вразливостях безпеки, що часто є наслідком недосконалих процедур. Також це проявляється в обмеженій видимості виробничих середовищ або використанні ручних процесів безпеки, які не можуть масштабуватися на велику організацію. Якщо немає спільних знань у командах або підрозділах компанії, а також обмежене використання інструментів, таких як журнали з контекстним пошуком або інформаційні панелі, операційна безпека може опинитися під загрозою. Наприклад, традиційна втома від сповіщень систем безпеки призводить до ігнорування або неправильної реакції на вразливості. Це є ознакою поганої операційної культури.

Зосередження на операційній культурі може приносити користь будь-якій команді, що займається розробленням програмного забезпечення. Наявність ефективних операційних процесів, інструментів та систем — основний компонент не тільки для підтримання безпеки та стабільності систем, що вже є, але і для швидкого впровадження нових робочих продуктів та функцій.

Чому саме DevSecOps?

Одне з питань, що часто виникає під час обговорення інформаційної безпеки, звучить так: «А як щодо DevSecOps?» Це запитання має сенс, оскільки від парадигми DevOps виникла філософія, спрямована на безпеку, відома як DevSecOps. Ця філософія полягає в зміні підходу до забезпечення кібербезпеки через впровадження методології DevSecOps. Проте вона жодним чином не є простим шляхом і може стати викликом для команд, які вже змінюють свою культуру розроблення програмного забезпечення.

Зазвичай процес переходу організації до культури, орієнтованої на DevOps, відбувається поступово та із труднощами. Спроби запровадити DevSecOps без належного навчання та розвитку культури, які є необхідною умовою для міцної основи DevOps, часто призводять до невдачі. Здебільшого компанії, які готуються до впровадження DevOps, спочатку потребують встановлення базових робочих процесів цього підходу, і насправді немає швидких шляхів для здійснення культурних змін. Тому саме ці культурні зміни роблять впровадження DevSecOps набагато простішим. Автоматизація та інтеграція цілей безпеки в процес розроблення програмного забезпечення мають найбільший ефект, коли вони виконуються в здоровому середовищі DevOps.

На початку шляху компаніям достатньо деяких дрібних і швидких вдосконалень для покращення рівня безпеки та операційної діяльності навіть без повного впровадження DevSecOps. Перевірте, наприклад, чи усі ваші системи реєструються в централізованому інтерфейсі з можливістю пошуку. Впровадження такого функціоналу підвищить ефективність роботи та рівень безпеки без серйозних організаційних змін. DevSecOps є ідеалом, до якого варто прагнути, але для початку можна використовувати простіші операційні методи та інструменти безпеки.

Обмін знаннями

Ще одна сфера уваги для операцій масштабування — обмін знаннями. Команди мають швидко накопичувати спільні знання. Важливо побудувати систему, яка дає змогу організовувати, шукати та зберігати знання для подальшого читання та навчання в асинхронному режимі.

Сьогодні звичайним є стиль роботи в середовищі, коли тільки один висококваліфікований інженер знає всі тонкощі системи, а також усі хитрощі для виправлення будь-яких помилок чи проблем. Відсутність такої людини, будь то через відпустку, хворобу або навіть звільнення із компанії, може призвести до проблем. Використання інструментів спільного використання знань, таких як Confluence або Notion, а також увага до ефективної документації дадуть змогу уникнути цих песимістичних сценаріїв.

Аварії та аварійне відновлення

Під час збою важливо визначити систему оповіщення або моніторингу, яка має необхідну інформацію про ситуацію. Це дасть змогу уникнути втрати часу на пошук потрібної інформації. Рекомендується працювати із чітко визначеними інструментами та інформаційними панелями, щоб усі учасники мали спільне розуміння проблеми. Це особливо важливо для гарантії безпеки вебсайту, де важливо бути в курсі трафіку в реальному часі та мати можливість контролювати його під час атак.

Ще одним важливим аспектом є впровадження механізму аварійного відновлення. Навіть невелика команда програмістів-інженерів має провести експеримент, щоб визначити мінімальний набір дій для відновлення системи в разі повної втрати або компрометації. На жаль, часто операціям аварійного відновлення не приділяють достатньо уваги, доки не станеться справжня катастрофа. Але коли криза вже виникла, зрозуміло, що розпочинати ефективне відновлення системи запізно. Створення якісної документації та незмінність в інфраструктурі та процесі розроблення можуть сприяти полегшенню процесу відновлення після аварійної ситуації. Ідеально, коли інженери запускають сценарії відновлення ще до початку роботи системи та регулярно впродовж її життєвого циклу.

Централізація

З технічної точки зору, важливою темою для команди з безпеки, яка має намір оперативно масштабуватись, є централізація. Сучасні команди безпеки зазвичай мають обмежену кількість працівників як порівнювати з розробниками, яких вони підтримують. Тому необхідно використовувати інструменти, що забезпечують масштабний вплив на управління.

Основні аспекти централізації передбачають такі складові:

• Ідентифікація: замість поодиноких облікових записів користувачів на кожному сервері або вузлі, необхідно керувати ідентифікацією розробників та їх доступом із централізованого інтерфейсу. Якщо виникає компрометація, система безпеки має швидко скасувати доступ до кожної програми чи сервісу для цієї особи за допомогою єдиного інструменту. Можна використовувати такі рішення, як FoxPass та Okta.


• Спостереження/моніторинг: використання різних інструментів моніторингу оперативної діяльності, розроблення та безпеки ускладнює створення зрозумілої і послідовної картини щодо проблем оперативності та вразливостей безпеки. Стандартизація з використанням інструментів, таких як Prometheus/Grafana, дає змогу централізувати моніторинг.
  


• Знання: залежність від неявних або загальних знань у галузі інженерії може призвести до проблем і труднощів у роботі. Команди з внутрішніми замовниками та відповідальністю за інфраструктуру мають забезпечувати актуальну й добре організовану ієрархію документації з використанням програмного забезпечення, наприклад Confluence або Notion.


• Комунікація: для обговорення конкретних тем або проблем, таких як збої або компрометація, важливо мати уніфіковане середовище зв’язку із чітко визначеними процесами, правилами керування подіями та часовими мітками. Використання двох або більше окремих засобів зв’язку може призвести до хаотичності та менш ефективного реагування на інциденти. Інструменти, такі як Slack, можуть значно полегшити комунікацію щодо цього.

 

SecOps — черговий термін, вигаданий маркетологами?

Security Operations не є ще однією модною концепцією серед різних технологій та методик зі скороченням «Ops». SecOps охоплює багато аспектів, які мають вагомий маркетинговий складник, але є чинники, що спрямовуються на досягнення операційної досконалості. Це сприяє як безпеці, так і операційній ефективності. Хоча DevSecOps, можливо, є кінцевою метою для багатьох розробників програмного забезпечення, SecOps може бути важливою проміжною точкою на цьому шляху.

Захист від Reblaze

Reblaze забезпечує захист вебзастосунків, безпеку API, захист від DDoS, розширене керування ботами, клієнтський SDK для захисту мобільних/власних програм тощо.

Reblaze — це повністю керована, сертифікована платформа веббезпеки, що сумісна з будь-якими системами, сайтами, вебслужбами та допомагає захистити ваші онлайн-ресурси від різноманітних загроз. Зв'яжіться з нами — офіційним дистриб'ютором Reblaze в Україні — за адресою: soft@megatrade.ua, щоб дізнатися більше й обговорити, як ми можемо допомогти захистити ваші цифрові активи.

5 висновків щодо нещодавньої DDoS-атаки на критичну інфраструктуру

Підступна цифрова екосистема: виклики 2023 року

Запобігання атакам типу ATO. Частина 1: етапи, типи, методи виявлення