Меню
Подобряването на сигурността на процеса на разработване на софтуер е от ключово значение за предотвратяването на инциденти
Професионалните и спонсорираните от държавата хакерски групи посвещават все повече време, пари и усилия на киберпрестъпленията с всяка изминала година. Авторите на заплахите използват нови техники в нови видове атаки, които някои от най-добрите експерти по киберсигурност в света не са виждали досега. Окуражени и добре финансирани, лошите вече разполагат с ресурсите да атакуват не само големи корпорации, чийто успешен пробив може да бъде изключително доходоносен, но и по-малки организации. Неотдавнашно проучване на университета Дюк установи, че зашеметяващите 85 % от анкетираните средни компании в различни сектори съобщават, че системите им са били успешно пробити в някакъв момент, въпреки че много от тези организации потенциално са следвали отдавна установени най-добри практики.
Една от индустриите, в които заплахите са съсредоточени, е разработването на компютърен софтуер. Тъй като разчитаме на софтуера почти постоянно в личния и професионалния си живот, от решаващо значение за компаниите е да разполагат с процеси, които да им помогнат да гарантират, че софтуерът им е безопасен, и да останат крачка напред пред хакерите и непредвидимите заплахи.
В SolarWinds помагаме за създаването на по-сигурно разработване на софтуер с нашата система за изграждане от следващо поколение, която използва процес на паралелно изграждане за разработване на софтуер в множество сигурни, дублиращи се и ефимерни среди. За да помогнем за защитата на цялата индустрия срещу бъдещи заплахи, ние пускаме компоненти на тази система за изграждане като отворен код, така че други компании да могат да се възползват от това, което сме създали.
Ето четири ръководни принципа на системата за изграждане от следващо поколение, които компаниите могат да обмислят да приемат. В съчетание с публично-частното сътрудничество и обмена на информация, свързана със заплахите, тези принципи могат да помогнат на организациите да подобрят сигурността в условията на повишени рискове.
За да защитят процеса на разработване на софтуер, организациите трябва да внедрят системи, които не оставят дълготрайни среди. Това е от решаващо значение, тъй като зрелите среди и системите за изграждане могат да съдържат по-сериозни уязвимости и остарели компоненти, приканвайки нападателите към по-лесна възможност за атака.
Организациите могат да намалят тези уязвимости, като разработват продукти в среди за изграждане на софтуер с кратък срок на годност, което означава, че те се самоунищожават след приключване на всяка задача. По този начин се премахва възможността нападателите да създадат „домашна база“ в системите, което значително затруднява опитите за атака от страна на извършителите на заплахите.
Наличието на система за изграждане, базирана на код, дава възможност за модела на краткосрочно самоунищожение и осигурява предпазни мерки и създаване на версии за компонентите за изграждане.
Този метод на разработка изисква строго контролиран процес и организирано ръководство, тъй като организациите трябва да изолират, административно да разделят и внимателно да наблюдават системите за изграждане.
Когато става въпрос за разработване на софтуер, възпроизводимостта е от ключово значение за гарантиране на сигурността на компилацията. Предпоставката за възпроизводимостта е, че екипът за разработка може да изгради софтуер на едно място и да го възстанови на друга система или по друго време със същия резултат.
Като разчитат на възпроизводими компилации, разработчиците могат да гарантират, че техният софтуер се държи по един и същ начин, като се премахват различията в кода, идентифицират се аномалии и се предотвратяват прониквания. С възпроизводими компилации компаниите за разработка на софтуер могат да възпроизвеждат грешки, за да ги разберат по-добре и да ги отстранят, както и да идентифицират всички неразрешени корекции в конвейера за компилации.
Възпроизводимата компилация е от решаващо значение, тъй като тя също така позволява на разработчиците на софтуер да сравняват крайния резултат от изходния код, за да се уверят, че той е един и същ, независимо от това къде или кога е създадена компилацията. Това е от решаващо значение за следващата стъпка от процеса: паралелното изграждане.
Друг начин за укрепване на целостта на процеса на разработване на софтуер е така нареченият „паралелен процес на изграждане“. За постигане на максимална сигурност това означава използване на три логически конвейера за изграждане: разработчик, етапна проверка и производство. Всички компилации трябва да отговарят на характеристиките, описани по-горе.
Конвейерът за разработчици извършва нормални инженерни компилации. Достъпът до средата за изграждане е необходим за повечето инженерни дейности. Изграждането на staging/validation има ограничен достъп. Освен че извършва компилация, там се провеждат и тестове за качество, сигурност и производителност.
Последният конвейер е производственият конвейер. Достъпът до този конвейер е изключително ограничен. Само няколко предварително определени лица имат достъп. Преди изпращане от производствения конвейер се извършва сравнение с конвейера за стациониране. Моделът за изграждане използва подхода на предполагаемо нарушение, което означава, че едно компрометирано лице не може самостоятелно да компрометира производствената изработка.
Тези паралелни среди имат по една входна точка и са независими среди, като намаляват уязвимостта чрез фокусиране на потенциалната заплаха върху една среда. Ако една от тях е компрометирана, усилията за атака имат малка вероятност да бъдат възпроизведени в останалите две среди.
Проследимостта е последният принцип, който е от решаващо значение за осигуряване на сигурен процес на изграждане. От ключово значение е да се проверява всяка стъпка на изграждане чрез процес на проследяване, който можете да проверите преди пускането на софтуера. Това изисква подписване от инженерите и ръководството за всеки проект, преминаващ през конвейера.
Идеята е да се наблюдава внимателно всяка стъпка, като се проверява дали всеки код съответства и е правилно изпълнен, както и дали има ясна, проследима история, за да се разберат всички грешки или отклонения. Добавянето на човешка проверка преди пускането в производство помага да се гарантира, че са предприети всички подходящи стъпки за осигуряване на качество и сигурност.
Пейзажът на киберсигурността непрекъснато се променя. Всеки ден се появяват нови заплахи ито мотивирани и добре финансирани хакери. Подобряването на сигурността на процеса на разработване на софтуер е ключова част от осуетяването и ограничаването на тези нападатели. Насърчаваме индустрията да възприеме тези принципи, да бъде по-открита по отношение на сигурността и да споделя информация и най-добри практики, за да подобри сигурността на индустрията като цяло.
Автор: Тим Браун, CISO и вицепрезидент по сигурността, SolarWinds
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
