Cómo garantizar la seguridad del desarrollo, ahorrando tiempo y nervios

La transición al segmento digital de bancos, minoristas, medicina y otras ramas vitales de producción y servicios ha provocado numerosas amenazas de seguridad. Hoy, en todo el mundo, la actividad de los atacantes continúa creciendo, y los problemas de protección de los datos corporativos y de los usuarios contra el robo y el daño intencional se están convirtiendo cada vez más en un tema de discusión por parte de los profesionales.

Cómo es correcto que las empresas y la TI integren la seguridad en el proceso de desarrollo, qué herramientas se utilizan mejor para esto, cómo todo esto recae en la práctica de implementación real. Compartimos los enfoques de Rostelecom, M. Video-Eldorado, DD Planet, AGIMA.

Yaroslav Aleksandrov, Jefe de Desarrollo, Solar appScreener en Rostelecom, sobre cómo integrar SAST en el desarrollo

Con el crecimiento de la compañía y el aumento en el número de desarrolladores, verificar el producto en busca de vulnerabilidades "manualmente" se está volviendo cada vez más difícil. Debe usar SAST: pruebas de seguridad de aplicaciones estáticas (Pruebas de seguridad de aplicaciones estáticas). En Solar appScreener, la seguridad de la información se basa en un producto interno. El producto analiza el código fuente. Hoy en día, se admiten 26 lenguajes de programación, cuya fuente puede analizarse vulnerabilidad, y es compatible con todos los formatos populares y sistemas de gestión de proyectos.

¿Cómo elegir SAST?

Incluso una vulnerabilidad simple no se puede encontrar utilizando algoritmos primitivos. Hoy en el mercado hay muchas soluciones SAST, tanto de pago como gratuitas. Los más populares son AppScan de IBM Security, Synopsys, Veracode, Application Inspector, Micro Focus, Appercut, Checkmarks.

La efectividad del proceso de desarrollo depende de la elección de la herramienta. Las principales ventajas de las soluciones pagas:

• Centrarse en la seguridad: algoritmos específicos y grandes bases de reglas.
• Soporte para muchos lenguajes de programación.
• Interfaz de usuario amigable.
• Disponibilidad de complementos y API.
• Disponibilidad de soporte técnico para la herramienta.

Las herramientas gratuitas y las interfaces web a menudo son inferiores a las pagas, porque contienen algoritmos más simples y las bases de reglas son menos completas. Su tarea principal es encontrar errores en el código. La especialización y funcionalidad de tales soluciones suele ser muy limitada.

Una vez que se selecciona la solución SAST, debe integrarla en el proceso de desarrollo. Las opciones de integración pueden incluir: incrustar la herramienta en el repositorio, entornos de desarrollo, servidores CI / CD, sistemas de seguimiento de tareas. Una buena herramienta puede integrarse con éxito en todas las clases de sistemas enumeradas.

Nota : la API abierta de SAST incluye la API y la CLI de JSON y ofrece amplias oportunidades para una integración y automatización adicionales.

Para elegir la herramienta que mejor cumpla con las metas y objetivos del desarrollador, debe llevar a cabo su comparación funcional y su comparación en calidad.

Se realiza una comparación funcional de acuerdo con varios parámetros: analizan la conveniencia de la interfaz y la conveniencia de la integración con sus propias herramientas. Al mismo tiempo, es importante llevar a cabo la verificación de sus propios códigos.

El siguiente paso es una comparación de calidad: analizan vulnerabilidades y falsos positivos en relación con su propio código.

Los matices y sutilezas del análisis de código

Cuanto antes se encuentre una vulnerabilidad, más barata será para el desarrollador y el cliente. Esto significa que el producto debe verificarse periódicamente en busca de vulnerabilidades durante el proceso de desarrollo y, además, llevar a cabo verificaciones de control antes del lanzamiento.

Velocidad y recursos : generalmente se espera que la herramienta funcione rápidamente; ejecutar en cada cambio; mostrar sobre la marcha quién y cuándo introdujo la vulnerabilidad. De hecho, SAST analiza el código durante al menos 8 horas, es difícil ejecutarlo en cada cambio; es difícil identificar al autor de la vulnerabilidad; los falsos positivos suceden. Entonces, surge la pregunta: cómo configurar DevSecOps.

Es muy importante aquí:

• Calcule el tiempo y los recursos para analizar su código.
• Identifique los desencadenantes para desencadenar una exploración basada en los resultados.
• Tenga en cuenta que el poder deberá ser recalculado periódicamente.
• Es mejor usar análisis incremental, pero esto debe hacerse con precaución, ya que las vulnerabilidades pueden perderse.

Por ejemplo, puede ejecutar pruebas usando SAST cuando un desarrollador envía una tarea para su revisión. También puede comenzar a escanear al final de la jornada laboral.

Otro problema son los falsos positivos y obtener información sobre múltiples vulnerabilidades en el informe. En este caso, se recomienda al desarrollador: filtrar los analizadores estáticos por vulnerabilidad y por archivo. Puede excluir bibliotecas, analizar la criticidad, agregar excepciones para ciertos parámetros. Es suficiente hacer tal trabajo solo una vez, para que en el futuro la información sobre falsos positivos no caiga en los informes. También es importante asegurarse de que no aparezcan nuevas vulnerabilidades y desmontar gradualmente la base de datos de vulnerabilidades existente en segundo plano.

Al trabajar en la integración de SAST en el proceso de desarrollo, es importante implementar los procesos gradualmente sin bloquear el lanzamiento. El flujo del proceso puede ser el siguiente:

• Selección de herramienta.
• Descripción del proceso (creación de normativa).
• Descripción de soluciones técnicas.
• Trabajo de implementación.
• Operación de prueba.

Es mejor comenzar con los sistemas más críticos: es importante eliminar nuevas vulnerabilidades, realizar diseños, implementar regulaciones y soluciones técnicas.

Las regulaciones necesariamente deben indicar:

• Pasos para verificar el código en busca de vulnerabilidades.
• Responsable de iniciar el escaneo.
• Roles y resultados.
• Cómo se establecerá el proceso de comunicación.
• Acuerdo de nivel de servicio.
• Responsable del control de procesos.
• El orden de agregar nuevos sistemas al proceso.

Este enfoque permite la implementación de SAST en el proceso de desarrollo en un año calendario. Es importante considerar todos los cambios y riesgos.

Recomendaciones finales:

• Use SAST en cada etapa de desarrollo.
• Adapte la integración a su código y su proceso.
• Comience arreglando nuevas vulnerabilidades.
• Eliminar gradualmente las viejas vulnerabilidades.
• Crea un proceso basado en SAST.
• Implemente gradualmente, comenzando sin impacto en las versiones.

Vladimir Sadovsky, Jefe del Equipo de Monitoreo y Respuesta a Incidentes de Seguridad de la Información de M.Video-Eldorado, sobre cómo construir un proceso de programación seguro

La idea básica detrás del concepto de programación segura se reduce a ayudar al negocio; acelerar procesos; minimizar los riesgos de problemas asociados con vulnerabilidades en el producto.

El enfoque clásico de la seguridad se puede visualizar de la siguiente manera:



Su principal problema está relacionado con el alto costo de las mejoras que son necesarias para garantizar la seguridad. Además, es importante proporcionar protocolos de cifrado de datos, cifrado del protocolo de transferencia de los buses de integración, etc.

En cuanto a los sitios de comercio electrónico, son atacados con más frecuencia que muchos otros. Los objetivos de tales ataques son un intento de obtener un cierto beneficio financiero (engañar al programa y comprar bienes caros de forma gratuita) o confiscar los datos personales de los clientes. Desafortunadamente, aunque algunos problemas no se pueden cerrar con los escáneres de vulnerabilidad clásicos. Por ejemplo, si la aplicación tiene un escáner de autorización de huellas digitales, ningún análisis estático mostrará la incorrección de dicha funcionalidad en la aplicación. Esto aumenta el riesgo de incidentes relacionados con la penetración de intrusos en las cuentas de usuario de la aplicación. Al mismo tiempo, cuanto más cerca esté la aplicación del minorista del lanzamiento, más costosa será reparar vulnerabilidades y errores.

El esquema para usar las herramientas de prueba de seguridad de código para la plataforma de comercio electrónico puede tener el siguiente aspecto:



Muestra claramente qué equipo participó en la implementación de una funcionalidad de aplicación particular. Si se detecta un error o vulnerabilidad, la funcionalidad estará dirigida a finalizar este equipo en particular. Como resultado, el tiempo dedicado a corregir errores y problemas se reduce, porque los desarrolladores directos conocen mejor su código.

A continuación, se inicia la prueba final, durante la cual se analiza todo el código del producto final y se "limpian" los errores residuales.

Amenazas de seguridad minorista

El principal impulsor del comercio minorista son las ventas, ya sean tiendas fuera de línea, Internet, marketing, bases de datos de clientes. Todo apunta a acercarse lo más posible al usuario. Además, el comercio minorista moderno busca vender sus productos utilizando omnicanal; Lanza varias campañas y programas de marketing. Todo esto es interesante no solo para los consumidores, sino también para los intrusos. Aquí aparece una evaluación de seguridad adicional: daño potencial. El análisis está diseñado para identificar errores en el sitio, errores lógicos y problemas de seguridad clásicos que los consumidores reales sufren posteriormente.

También es importante comprender que el daño potencial comienza con la fase de prueba. Sucede que el entorno en el que se produce está profundamente integrado con el productivo, por lo que los cambios que se realizan durante la fase de prueba pueden causar incidentes y problemas. Para evitar esto, es importante desarrollar un mapa de proceso y tomar las medidas apropiadas antes del inicio del desarrollo.

Si un contratista externo está involucrado en el desarrollo, es importante evaluar si puede cumplir con los requisitos de seguridad necesarios. Para esto, es necesario realizar evaluaciones periódicas de la competencia de los desarrolladores y el nivel de la empresa ejecutora en términos de seguridad de Internet. El contrato debe incluir puntos para la certificación de desarrolladores; Registre quién es responsable de los errores que provocaron daños. Es importante capacitar regularmente a los equipos de desarrollo y proporcionar una protección integral de la propiedad intelectual.

También es muy importante proporcionar control de acceso, organizar un entorno confiable y configurar herramientas de monitoreo y prevención de fuga de datos. También tendremos que formular requisitos detallados y políticas para una programación segura, corregir todas las versiones de código abierto y bibliotecas externas.

En la etapa de diseño, tiene sentido utilizar un enfoque de escenario, construir un modelo de amenaza y realizar un análisis de riesgo en varias etapas. Cuando se trata de una nueva tarea para los desarrolladores, es importante comprender a qué procesos comerciales afectará y evaluar las iniciativas en términos de posibles escenarios de fraude a nivel de los requisitos comerciales. Cada riesgo se considera en el marco de tres probabilidades: evaluación optimista, promedio y pesimista. Los bots se envían al sitio o aplicación. Cada décima parte de ellos es maliciosa. Basado en tres escenarios, se calcula el daño potencial al negocio.

Existen varios analizadores estáticos y dinámicos que le permiten identificar problemas y solucionarlos a tiempo. La tarea del departamento de TI es verificar que la cadena de código funcione correctamente desde el punto de vista de los requisitos técnicos. La tarea del departamento de seguridad es verificar el código para detectar vulnerabilidades de seguridad.

La búsqueda de vulnerabilidades de seguridad en la lógica empresarial se reduce a los siguientes aspectos:

• Implementación de autocomprobaciones de seguridad al probar aplicaciones.
• Creación de reglas de vestuario para un analizador estático con referencia a procesos e integraciones empresariales críticos.
• Análisis manual de partes del código modificado, en el contexto de un funcional que tiene una alta criticidad basada en riesgos.
• El proceso de búsqueda de marcadores en el código, auditoría periódica de bibliotecas externas.

No todos los problemas de seguridad pueden eliminarse a nivel de código y desarrollo. La tarea del departamento de seguridad es construir y establecer un proceso efectivo para gestionar vulnerabilidades e incidentes. Para hacer esto, debe analizar constantemente el comportamiento de los usuarios, perfilarlos y monitorear el comportamiento. Si se desvía de los patrones habituales de negocios, debe considerar esto como un incidente y responder de inmediato.
Analizar el comportamiento del usuario ayuda a:

• Trabajando con Big Data y construyendo modelos de comportamiento anormal y anormalidades.
• El proceso de monitoreo y auditoría de scripts JS. Los sitios modernos no funcionan sin scripts JS. A menudo se cargan de recursos externos. Por lo tanto, es importante comprender su funcionalidad y qué tipo de amenaza son los scripts JS para el sitio.
• Busque vulnerabilidades basadas en servicios de análisis y métricas Google y Yandex.
• Pruebas de seguridad periódicas del proyecto en su conjunto.
• Usando Bug Bounty para identificar nuevas vulnerabilidades.
• Integración de WAF para proteger aplicaciones y responder eficazmente a los problemas.

Es importante recopilar y analizar datos constantemente para identificar nuevos casos anormales.

Dmitry Nikulchev, DD Planet: sobre cómo proteger los datos de los usuarios de los servicios web y móviles

La programación segura en DD Planet se basa en varios principios. El primero de ellos es la fiabilidad. El rendimiento del producto debe ser predecible, correcto y sin problemas. Incluso si los datos iniciales se ingresaron incorrectamente (accidental o intencionalmente como parte de un ataque a un producto).

El segundo es la seguridad. La capacidad de proteger contra amenazas externas, ataques y mantener la operatividad después de su reflexión y eliminación.

El tercero es la privacidad. Garantizar un trabajo seguro y correcto con datos personales. Esto es crítico cuando se desarrollan aplicaciones empresariales y personalizadas.

Por ejemplo, el servicio Zhivu.RF, desarrollado y respaldado por DD Planet, es una red social privada para vecinos y contiene muchos datos personales. El perfil del usuario se confirma con la ayuda de los servicios públicos y pertenece a una dirección específica (vecindario): extraiga la USRN de Rosreestra. Esto impone al desarrollador obligaciones serias relacionadas con la protección de la información personal.

Almacenamiento y procesamiento de datos del usuario.

Almacenamos todos los datos personales en ISPDn (Sistema de información de datos personales). Están contenidos en una red virtual aislada con una infraestructura de TI segura. Las herramientas de detección de intrusos, un servidor de análisis de seguridad y búsqueda de vulnerabilidades, así como un servidor de respaldo están integrados en la red virtual.

Para identificar vulnerabilidades, utilizamos el "enfoque manual" y confiamos en el análisis de expertos. Este principio no implica el uso de herramientas automatizadas: la investigación la lleva a cabo un especialista experimentado y, al identificar vulnerabilidades, se centra en su propio conocimiento. Está claro que esta técnica requiere mucho tiempo y requiere la presencia de especialistas altamente calificados en la empresa. Sin embargo, se considera el más efectivo en términos de precisión e integridad de la cobertura de datos durante la verificación.

Severidad en la lucha por el producto perfecto

En el desarrollo del cliente, es importante realizar lanzamientos a tiempo, mientras que la aplicación debe estar libre de errores y garantizar la seguridad de los usuarios. Siguiendo este principio, durante la prueba del producto, utilizamos el principio de evaluar las tareas por prioridad: la gravedad. Es decir, clasificamos todas las tareas para eliminar errores dependiendo del grado de impacto negativo en el producto del defecto.

La prioridad para resolver errores en DD Planet es la siguiente:

1. En primer lugar, identificamos y eliminamos bloqueadores o errores en los que el usuario no tiene la oportunidad de realizar la acción objetivo. Por ejemplo, un visitante no puede registrarse en el sitio o en la aplicación; inicie sesión en su cuenta; Acceda a los datos de destino o secciones de la aplicación.
2. A continuación, rastreamos y eliminamos errores críticos: problemas de seguridad, bloqueos del sistema, un proceso comercial defectuoso y bloqueos periódicos de la aplicación.
3. Luego analizamos los problemas del nivel medio: encontramos errores que aparecen solo en ciertas situaciones específicas.
4. El último paso son los cambios menores: nos deshacemos de los errores menores, elaboramos comentarios en la interfaz, etc.

Esta secuencia nos ayuda a eliminar rápidamente los errores, centrándonos en los aspectos clave para el usuario.

El lanzamiento del producto se lleva a cabo en varias etapas. Primero, se publica en un entorno de prueba para identificar errores. Luego hay una corrección de errores de prioridades con el nivel de Gravedad 1 y 2. Después de eso, hacemos un lanzamiento para producción. Durante algún tiempo después del lanzamiento, parte del equipo se dedica a solucionar errores con una prioridad de 3 y 4. Unos días más tarde, hay otra actualización en prod después de solucionar los problemas restantes.

Para garantizar la máxima seguridad del producto:

• Use consultas parametrizadas a la base de datos.
• Deshágase de la construcción de consultas dentro de la aplicación para evitar inyecciones sql.
• Conéctese a la base de datos solo bajo una cuenta cableada especial con el conjunto mínimo de derechos necesarios.
• Mantenga registros de seguridad regularmente.

No confíe en la entrada del usuario: cualquier dato del cliente (usuario) debe verificarse en el servidor. Esto evitará el paso de scripts o códigos hexadecimales maliciosos. Los datos del usuario a menudo se pasan como parámetros para llamar a otro código en el servidor y, si no se verifica, pueden comprometer seriamente la seguridad del sistema. Es por eso que es tan importante verificar estrictamente que todos los datos de entrada estén correctos.

Andrey Ryzhkin y Alexey Klinov de AGIMA: sobre cómo y por qué controlar la seguridad de las aplicaciones en el desarrollo personalizado

La seguridad de la arquitectura digital de cualquier producto es un atributo crítico tanto para las empresas como para los usuarios. Este es un indicador adicional de calidad y fiabilidad, que debe mantenerse en todas las etapas de la producción y operación de la aplicación.

Cualquier organización tiene información valiosa, que incluye:

• Datos personales de empleados y clientes.
• Datos de acceso al banco del cliente.
• Datos del cliente de la empresa.
• Dibujos de producción.
• Documentación del proyecto.
• Y otros

Estos datos se localizan en diferentes sistemas y su seguridad es bastante difícil de controlar. Y el robo o la tergiversación de dicha información conlleva grandes pérdidas financieras, una disminución de la reputación de la organización, la pérdida de clientes y socios clave y la interrupción de transacciones y proyectos.

Sin embargo, hay muchas herramientas de protección de la información en el mercado:



y es muy posible organizar una buena protección integral; habría un deseo y medios.

¿Qué pasa con la seguridad de la aplicación?

Una empresa necesita una aplicación estable y funcional con una funcionalidad efectiva que pueda generar beneficios financieros. Pero no importa cuán ideal sea la aplicación en términos de funcionalidad, puede tener artefactos relacionados con vulnerabilidades. Por lo general, no piensan en ello, ya que estos artefactos no se manifiestan hasta cierto momento, hasta que los competidores o un hacker curioso lo necesitan. Las vulnerabilidades pueden explotarse con el propósito de intentar infiltrarse en la infraestructura de una organización a través de un sitio web o aplicación o para obtener acceso a datos valiosos que esta aplicación procesa o almacena. Como resultado, el negocio podría verse seriamente afectado.

Desafortunadamente, el análisis de seguridad sigue siendo raro para el desarrollo personalizado. La razón es la singularidad de los proyectos. Todos son muy diferentes y cada uno tiene sus propias necesidades. Esto afecta el costo del análisis. Dado el bajo margen del negocio, no siempre es posible poner en marcha el proceso en el desarrollo personalizado. Sin embargo, es mejor no descuidar el proceso.

¿Cómo evitar el robo de datos de la aplicación?

Desde el comienzo del desarrollo de una aplicación móvil o web, tiene sentido introducir un análisis del código del producto para seguridad.

No puede confiar únicamente en WAF (firewall) en términos de protección: la regla puede no funcionar, se puede usar una configuración incorrecta o firmas obsoletas. Solo un conjunto de medidas: el uso del análisis estático del código fuente durante el proceso de desarrollo, el análisis instrumental en un entorno de combate, el pen-test, WAF y la protección contra DDoS ayudarán a garantizar un alto nivel de seguridad de la aplicación.
Los escáneres instrumentales y el pen-test detectarán vulnerabilidades que no se pudieron identificar al analizar el código durante el desarrollo.

¿Cómo organizar el proceso de prueba de vulnerabilidades?

AGIMA implementa varios enfoques para el análisis del código de seguridad:

• Integración completa durante el desarrollo de CI / CD.
• Auditoría de seguridad en puntos de control.
• Auditoría de seguridad situacional o única.

La opción ideal es integrar el análisis de seguridad en el proceso de desarrollo. Este enfoque es especialmente relevante para proyectos que el mismo desarrollador ha estado desarrollando durante mucho tiempo.

La segunda opción es una auditoría de seguridad en los puntos de control. Este método es adecuado si el producto tiene lanzamientos raros y también puede ser una gran adición al análisis integrado.

Tiene sentido aplicar una auditoría situacional o única si el proyecto es bastante simple o si ha sido transferido de otro desarrollador. En el segundo caso, es importante determinar la deuda técnica del producto: la cantidad de errores y vulnerabilidades existentes. Después de eso, debe crear una hoja de ruta para eliminarlos. A veces todo se puede arreglar en la primera etapa. Si hay muchos problemas, tendrá que lidiar con ellos en el proceso de un mayor desarrollo. Primero, elimine los críticos, y luego los menos peligrosos.

El enfoque, combinado con las tres versiones enumeradas anteriormente, le permite: reducir la cantidad de vulnerabilidades potenciales en el lanzamiento, minimizar la deuda técnica del producto y acortar el tiempo que se tarda en vender la aplicación al producto

El resultado de un análisis de seguridad implementado en las primeras etapas de desarrollo es:

• , .
• .
• .

En lugar de una conclusión

Hoy, la búsqueda de vulnerabilidades en productos de software, aplicaciones móviles y web se está convirtiendo en un área de actividad importante para todos los desarrolladores líderes. Algunos consideran que el análisis de vulnerabilidad experto es confiable y confían en las pruebas a especialistas internos. Otros usan pruebas de lápiz, escáneres de vulnerabilidad y analizadores de código. Otros integran herramientas SAST en el proceso de desarrollo. Además, se recomienda crear modelos de amenazas y analizar los riesgos potenciales asociados con el robo y la distorsión de datos críticos antes de comenzar a trabajar.

No confíe únicamente en el firewall y las funciones de seguridad gratuitas. La forma más confiable es utilizar un enfoque integrado, verificar de forma regular y exhaustiva el código en busca de errores y vulnerabilidades.