يتم تنفيذ معظم الهجمات الناجحة للمؤسسة من خلال نقاط الضعف والإشارات المرجعية في البرامج. لحسن الحظ ، لا تعتبر الشركات بالفعل أداة فحص مشكلة عدم الحصانة للبرامج شيئًا غريبًا ، ولكنها عنصر ضروري في البنية التحتية للحماية. إذا كان بإمكانك استخدام الماسح الضوئي كما هو الحال مع وحدات التخزين الصغيرة ، فعندما تكون وحدات التخزين كبيرة الحجم ، يتعين عليك أتمتة العملية. ولكن من يجب أن يديرها؟ تقرر كم مرة للتحقق من الإصدارات؟ التحقق من الضعف؟ تقرر ما إذا كنت ستستخدم حق النقض (الفيتو) للإصدار وإرسال الكود لإصلاح الثغرات الأمنية؟ والإجابة على العديد من الأسئلة الأخرى. هذا هو المكان الذي يتصدر فيه Application Security Manager ، مدير تطوير البرمجيات الآمنة.
ولكن أين تجد مثل هذا الطائر النادر أو كيف تنمو بنفسك؟ يصف أرتيم بيشكوف ، مدير أمن التطبيقات في Raiffeisenbank JSC ، ودانييل تشيرنوف ، رئيس Rostelecom Solar ، Solar appScreener ، متطلبات مدير أمان التطبيقات الذي تمليه ممارسات التطوير في الشركات الروسية.
من هو مدير أمان التطبيق
بدأت المؤسسات عاجلاً أم آجلاً في إدراك الحاجة إلى توظيف مثل هذا الشخص في الفريق. على وجه الخصوص ، لأنه لا يوجد أي من المتخصصين المتاحين في الشركة مناسب مباشرة لهذا الدور. المطورين؟ ترتبط تجربة العمل الخاصة بهم على وجه التحديد بتطوير البرامج - من الصعب جدًا عليهم ترجمة الثغرات الموجودة في مخاطر IS ، وحتى مخاطر الأعمال. حراس الأمن؟ يعد الانغماس في تعقيدات التطوير مشكلة بالنسبة لهم: للتحقق من نقاط الضعف ، يجب أن يكون المرء قادرًا على فهم رموز البرامج بلغات مختلفة ، الأمر الذي يتطلب تجربة تطوير خطيرة.
دعونا نلقي نظرة على المهام التي تنشأ أثناء تنفيذ عملية التطوير الآمن ، والتي يجب معالجتها بواسطة مدير أمان التطبيق (AFM).
قد يرى القارئ أن عمل AFM يرتبط فقط بالتحقق من تطورات البرامج من أجل الامتثال لمتطلبات السلامة. ولكن تنشأ مشكلات الأمان في مراحل مختلفة من دورة حياة النظام ، من التصميم إلى النشر إلى الإنتاج. هناك نماذج مختلفة لبناء دورة تطوير آمنة (نقاط أمان البرامج الأمنية ، SDLC وغيرها) وطرق مختلفة لتضمين هذه الممارسات في العملية (اعتمادًا على النهج المستخدم - الشلال ، الرشيقة). لكنهم يتفقون جميعًا على النقاط الرئيسية: عليك التفكير في الأمان في جميع مراحل دورة حياة النظام.
من الواضح ، في إطار مشروع كبير إلى حد ما ، من غير المحتمل أن يكون شخص واحد قادرًا على أداء العمل في جميع المراحل. من النادر أن يتمكن أي شخص بمفرده من تطوير متطلبات أمان التطبيق ، وإجراء مراجعة لهيكله والتحقق من نتائج عمل المحللين ، وإجراء تدقيق أمان الكود ، والتحقق من إجراء اختبارات أمان التطبيق الضرورية أثناء الاختبار ، وأنه قد تم نشر النظام بأمان وتهيئته بشكل صحيح. علاوة على ذلك ، في كثير من الأحيان يتم تنفيذ هذه الأنشطة من قبل ممثلي مختلف الفرق والوحدات. لكي تعمل الآلية بالكامل كما ينبغي ، يجب أن تكون القوة الدافعة لهذه العملية هي AFM. تتمثل مهمة AFM في ضمان تنفيذ ممارسات التنمية الآمنة ، إما بمفردها أو عن طريق تفويض مهام معينة إلى متخصصين متخصصين. ومع ذلك ، بناءً على ممارستنا ، لا يمكن لـ AFM ببساطة توزيع المهام على المسؤولين والراحة على أمجادهم.
ما هي متطلبات AFM
أولاً ، مطلوب منه فهم المشروع الذي يرافقه. هذا مهم بشكل خاص في التطور الرشيق ، عندما ، على عكس نموذج الشلال ، لم يكن لديك شهرين لإجراء مراجعة قبل الإصدار. يعتمد ذلك على AFM ، على سبيل المثال ، كيف سيتم تفسير المتطلبات التي تم تشكيلها في مرحلة التصميم من قبل الفريق ، وكيف ستندرج في الهيكل ، وما إذا كانت قابلة للتحقيق بشكل عام وما إذا كانت ستخلق مشاكل تقنية خطيرة في المستقبل. غالبًا ما يكون AFM هو المستهلك الرئيسي والمترجم والمقيّم لتقارير الأدوات الآلية وعمليات التدقيق التي تجريها جهات خارجية. إن إدارة الشؤون المالية هي التي ترشح النتائج غير ذات الصلة والخاطئة ، وتقيم المخاطر ، وتشارك في عمليات إدارة الاستثناءات ووضع التدابير التعويضية.
في ما يلي مثال للحياة: كشف التدقيق أو ماسح ضوئي لرمز مصدر عن استخدام دالة تجزئة غير آمنة (MD5) في المشروع. تصر سياسة الشركة رسميًا على أنه لا يمكن استخدامها ، ويوافق البائع على استبدال الوظيفة بوظيفة أكثر أمانًا خلال 3 أشهر وكمية كبيرة. كان الفارق الدقيق هو أنه في هذه الحالة ، فإن عدم استقرار وظيفة التجزئة ضد التصادم لم يؤثر على أمان النظام ، حيث لم يتم استخدام الوظيفة لحماية السلامة. أدى النهج الرسمي في هذه الحالة واستبدال وظيفة بواحدة أخرى إلى تأخر وقت غير معقول لكي يكون ناتج المشروع تكاليف إنتاجية وهامة ، مما يعطي ربحًا صفريًا في الأمن.
ثانياً ، بالإضافة إلى الأول ، يجب أن يكون لدى إدارة الشؤون المالية معرفة من مختلف المجالات: تحتاج إلى فهم عمليات التطوير ومبادئ أمن المعلومات. تعد "المهارات الصعبة" مهمة أيضًا ، لأنه من الصعب جدًا تقييم نتائج عمل المتخصصين المتخصصين والأدوات الآلية بشكل نقدي ، إذا لم تتمكن من قراءة الكود ، فلن تفهم الطرق الممكنة لاستغلال الثغرات الأمنية. بالتأكيد ، واجه العديد منهم موقفًا تظهر فيه ثغرة أمنية حرجة في تحليل الشفرة أو تقرير pentest ، لكن المطورين لا يوافقون على هذا (وكقاعدة عامة ، يريدون أيضًا إنشاء نظام آمن) ويشيرون إلى أن المدققين لم يتمكنوا من تشغيل هذا الضعف. كيفية تقييم من هو على حق في وضع مماثل؟ بدون المهارات الفنية ، سيكون حل النزاع بطريقة موضوعية أمرًا صعبًا. إذا كانت عملية تطوير البرمجيات الآمنة مبنية على يد مؤسسة خارجية و / أو وفقًا لنموذج الخدمة ، فمن وكيف سيتم تقييم أداء الممارسات "التقنية"؟
مثال آخر على الحياة: يتم تقديم أداة تطوير جديدة ، ويتم فحص أدائها في مشروع مرجعي ، وبعد ذلك يتم نقله إلى التشغيل التجاري. ترتبط المشاريع بالتدريج ، يتم رسم لوحة معلومات خضراء جميلة ... وهنا يحدث حادث لأمن المعلومات. كما اتضح ، يجب أن يتم اكتشاف "الفتحة" المستخدمة في مرحلة التحليل الديناميكي. ولكن هذا لم يحدث ، لأن ... لم ينظر أحد ، ولكن كيف يعمل ماسح الثغرة الأمنية هذا ، الذي ينتج عادة نتائج ممتازة ، مع تطبيقات SPA باستخدام إطار جافا سكريبت الجديد. اتضح أنه لا يستطيع "رؤية" نموذج المصادقة الذي تم إنشاؤه ديناميكيًا وإجراء الفحوصات اللازمة. ولم يهتم بها أحد ، لأن كل شيء يعمل. لم يكن المطورون بحاجة إلى الخوض في تفاصيل عمل الماسحات الضوئية من أجل لفت الانتباه إلى ذلك ، ولم تر فرق الأمان الاختلافات الحرجة بين الطرق المختلفة لتطوير الويب.
أين يمكن الحصول على مثل هذا المتخصص
يجب أن يواجه أولئك الذين درسوا السوق نقصًا حادًا في خبراء أمان التطبيقات. عادةً ما يكون السيناريو كما يلي: يقوم العملاء الداخليون بوضع متطلبات المرشح ونقلهم إلى الموظفين. إذا كانت المتطلبات صارمة ، فاستناداً إلى نتائج البحث المجاني ، تتلقى الشركة صفرًا من المرشحين ، نظرًا لأن المتخصصين الجاهزين نادرًا ما ينشرون السير الذاتية في المجال العام. إذا غيروا الوظائف ، فسيحدث ذلك غالبًا بسهولة وبطريقة طبيعية من خلال جهات الاتصال الحالية. كيف تكون
يمكنك محاولة جذب محترف من شركات أخرى ، ولكن هذا المسار غير مقبول دائمًا لأسباب مختلفة. في كثير من الأحيان ، تظهر المسابقات الخاصة بتفوق الموظفين في السوق ، مما يسمح لك بنجاح بإغلاق المشكلة عن طريق استئجار خبراء من مزود خدمة.
ولكن هناك خيار آخر. يمكنك محاولة لتنمية المهنية الخاصة بك. قد يكون ممثلو مجالين مرشحين مناسبين لهذا الدور:
- أشخاص من التنمية مغرمون أو يرغبون في التطور في مجال الأمن ؛
- حراس التكنولوجيا الذين هم على دراية تطوير البرمجيات والأمن ويريدون الغوص في هذا الموضوع.
سيحتاج كل من هؤلاء المرشحين وغيرهم إلى إتقان حزمة المعرفة المفقودة. في الوقت نفسه ، سيكون لدى الأشخاص الذين يرغبون في تطوير "إعادة تجديد" فهم أفضل للثقافة والعمليات الحالية في الفرق التي يعرفونها. قد يستغرق الأمر بعض الوقت لإتقان مجالات المعرفة المتعلقة بأمن المعلومات. ومع ذلك ، تظهر التجربة أنه من بين المطورين والمختبرين والمحللين والمهندسين المعماريين ، يمكنك العثور على أشخاص مهتمين بالأمان ممن لديهم بالفعل مجموعة معينة من المعرفة في مجال أمان التطبيق. يمكن أن يكونوا مرشحين مثاليين لوظيفة AFM.
سيتعين على حراس الأمن المحترفين التأقلم وتغيير النهج المألوفة الحالية لتنظيم العمل وتبني الثقافة في فرق التطوير. ومع ذلك ، إذا قام متخصص في الأمن بكتابة التعليمات البرمجية ومعرفته بعمليات التطوير ، فسوف ينضم إلى الفريق بسرعة وبساطة.
في المجموع
إن التحكم في أمان التطوير هو في المقام الأول عملية تجارية ، من أجل التشغيل الناجح الذي يتطلب تفاعل منسق من جميع أعضاء الفريق. "قلب" هذه العملية هو AFM مؤهل - إنه الملهم والمحرك الاتجاهي ومنفذ العديد من المهام ، والمدير المسيطر ، وغيرها الكثير. بشكل عام ، القارئ ، والحصادة ، والمتأنق على الأنبوب. ليس من السهل العثور على مثل هذا المتخصص أو تربيته ، ولكن إذا نجحت ، فسيكون الجميع سعداء.