100-ден 1-еуі: Қауіпсіздік алшақтықтарын жою үшін топтарды жобалау

100-дің 1-і

Егер сіз үлкен ұйымда жұмыс істесеңіз де, IT саласында жұмыс істейтін барлық қауіпсіздік қызметкерлерінің есімдерін есте сақтау мүмкіндігі бар. Жақында жүргізілген сауалнамаға сәйкес, әзірлеушінің қауіпсіздік қатынасы 100: 1 құрайды (дәл осындай зерттеу әзірлеушіні 10: 1 операциялық жүйенің қатынасына нұсқайды). Алдыңғы зерттеулер 100: 3-тен 100: 6 арақатынасы туралы хабарлады, сондықтан белгілі бір прогреске қол жеткізілді, бірақ бұл тез емес.

Бұл осы ұйымдардың Еуропалық Одақтың GDPR сияқты деректерді қорғау жөніндегі алдағы ережелерімен күресу және соңғы жылдары жаңалықтармен жүйелі түрде таратылатын деректерді тоқтату қабілетінің жақсы белгісі емес. Бүгінгі таңда бұл олқылықты толтыру үшін білікті күзетшілер жеткіліксіз. Қауіпсіз әзірлеу мен пайдалану тәжірибесін сәтті енгізу терең техникалық түсінуді ғана емес, сонымен бірге дамыту топтары мен (көбінесе) басшылық арасында басым болу үшін қарым-қатынас, сенімділік пен тепе-теңдікті қажет етеді.

Біз әлі күнге дейін қауіпсіздік мамандандыруы жеткілікті тартымды емес аймақта тұрмыз, өйткені компаниялар бұрын қауіпсіздікке басымдық бермеген. Қазір сол компаниялардың қауіпсіздік ойынын жақсарту қажеттілігі артып келеді, бірақ оларға қызметкерлер жетіспейді.

Бұл осалдықты жабудың қандай нұсқалары бар?

Біріншіден, қауіпсіздіктің негізгі аудиттерін автоматтандыру (мысалы, үшінші тараптың осалдықтары) және кодтау жөніндегі нұсқаулықтар, сондай-ақ қауіпсіздікті тарату құбырына біріктіру қазіргі уақытта өнімді әзірлеу бойынша кез-келген команда үшін проблема болмауы керек екенін айтайық. DevSecOps-тегі құралдар жиынтығы үнемі кеңейтіліп отырады және қоғамдастық пен кәсіпорын талаптары жақсы қанағаттандырылады.

Сонымен алшақтық қайда? Бұл «хакерлердің ойлауында» шабуылдың жаңа ықтимал векторларын үнемі іздейді («белгісіз»). Сондай-ақ қауіп-қатердің мәнді талдауы мен қауіп-қатерді модельдеу және оны шаралар мен басымдықтарға айналдыру қиын міндет болып табылады. Бұл қауіпсіздік пен терең білім талап етеді. Өнімді әзірлеу бойынша командалардан өздерінің қазіргі міндеттеріне қосымша осы қосымша танымдық жүктемені қабылдауды сұрауға болмайды.

Мэттью Скелтон екеуміз DevOps-тің әртүрлі топологиялары DevOps-ті қабылдауды ілгерілетуде немесе бұғаттауда маңызды рөл атқара алатындығын зерттеу, каталогтау және түсіндіру бойынша жұмыс істеп жатқан мәселеге сәйкес келеді.

Екі топтық топология бар (және мүмкін қосымша):

A) Қауіпсіздік бойынша міндеттерді толығымен бөлу

B) Қауіпсіздік белсенді команда ретінде

Жеке тәсілдердің айырмашылықтары, артықшылықтары мен кемшіліктері қандай?

Қауіпсіздік бойынша жауапкершілікті толығымен бөлу әр өнімді әзірлеу командасы кем дегенде бір қауіпсіздікке бағдарланған T-Shape командасының мүшесін біріктіретінін білдіреді. Бұл тәсіл егер ұйым кросс-функционалды, автономды өнімді жасақтауды мақсат тұтса, орынды болады. Қауіпсіздік қызметкері қауіпсіздікке қатысты күрделі қауіп-қатерлерді қауіпсіздік техникасы тұрғысынан түсінетін және жүзеге асыратын қауіпсіздік есептері мен қабылдау критерийлеріне аудара алады.

Олар сондай-ақ компания үшін қауіптер мен ықтимал шығындар туралы (сәйкестік, сату және бедел) кәсіпкерлер түсінетін және басымдылыққа ие болатындай етіп жеткізе алуы керек. Екінші жағынан, егер қажет болса, олар қауіпсіздікке байланысты емес тапсырмаларды орындауға дайын болуы керек. Уақыт өте келе топтық қауіпсіздікті талдау және іске асыру үшін жауапкершілік кеңейе түседі, ал Т-тәрізді қауіпсіздік қызметкері озық тәжірибелермен, жаңа әдістермен және құралдармен байланысты білімге ие болады және қауіпсіздікке қатысты семинарлар мен өнімнің қауіпсіздігі стратегиясын басқаруға мүмкіндік береді .

Мақсат - барлық қауіпсіздік жұмыстарын қауіпсіздік қызметкеріне тапсыру емес. Олай болмаған жағдайда, біз тек силосты макродеңгейде (оқшауланған қауіпсіздік тобы) микро деңгейге (оқшау команда мүшесі) жылжытамыз.
Әрбір өнім тобы - сары шеңбер түрінде көрсетілген - 7-ден 9-ға дейін команда мүшелері бар, олардың кемінде біреуі Т-тәрізді күзет қызметкері - жасыл шеңберде көрсетілген, бірақ басқа адамдар да қауіпсіздік жұмыстарына қатысады

Әрине, көптеген өнімдер мен бизнес салаларында қауіпсіздікті орталықтандырылған түрде қарау үшін ұйымда маңызды орын бар. Тәжірибе, тәсілдер мен нәтижелермен алмасу өте маңызды. Алайда, бұл тәжірибе немесе гильдия (Spotify тілінде) қоғамдастық түрінде немесе арнайы топтың орнына үнемі жиналатын уәжделген адамдардан болуы мүмкін (егер сіздің ресурстарыңыз болса, бұл жұмыс істей алады).

Артықшылықтары

  • Командалық қауіпсіздік үшін жауапкершілік артады, бұл қауіпсіздік инциденттерін тезірек (тривиальды емес) шешуге және, мүмкін, болашақта ауырсынудың қайталануын болдырмау үшін олардан үйренуге әкеледі.
  • Командаларда табиғи мөлшердің шегі болғандықтан (8-9 адам), IT қызметкерлерінің қауіпсіздік қызметкерлеріне қатынасы (T-тәрізді) уақыт өте келе осы топологиямен бірге 10: 1-ге жақындауы керек. Техникалық білімнің әртүрлілігі проблемалар мен басымдықтарды шешуде артықшылықтар әкеледі.
  • Бұл топологияға көшу ұйымдағы барлық адамдарға біздің өнімдеріміздің қауіпсіздігі қазір бірінші дәрежелі азамат екендігі туралы сөзсіз сигнал жібереді.

Кемшіліктері

  • Іздеу және жалдау (жомарт пакеттерді қажет етуі мүмкін) және қосымша 9 күзетшіні іске қосу (100 әзірлеушісі бар ұйымда) үшін шығындар (осы лауазымның кіріспесінде айтылғандай) күрделі мәселе болады. Бұл ауысуды біраз уақыт алады деп күтіңіз. Осы уақыт ішінде әр түрлі модельдер қолданылуы керек (кейбір автономды топтар және басқалары әлі де орталық командаға тәуелді) және алдымен қай командаларды таңдау керектігін қарастыру керек. Мысалы, тәжірибелі қауіпсіздік қызметкерлерін компанияңыздағы қауіпті өнімдермен жұмыс жасайтын топтарға тағайындаудан бастаңыз.
  • Қуатты автономды командалар тұрақтылық пен бір-бірінің күшті және әлсіз жақтарын білуге ​​негізделген. Команда құрамындағы кез-келген өзгеріс, егер тек бір адам болса да, сөзсіз бұзылуларға әкеледі. Команда қауіпсіздіктің жаңа аспектісін қарастырған кезде өздерін азырақ жеткізетін және аз нәтиже алатындай сезінуі мүмкін. Мұның бәрі қалыпты және қабылданған деп түсінетіні өте маңызды.
  • Қауіпсіздікке қатысты орталық байланыстар жоқ. Атап айтқанда, басшылар орталықтандырылмаған құрылымда ешкім қауіпсіздік қауіпсіздігінде емес деп сезінуі мүмкін. Бұл жерде байланыс каналдарының қол жетімді екендігіне және адамдардың қауіпсіздік туралы ақпарат сұрауларын дұрыс топтарға (немесе тәжірибе қауымдастығына) жібере алатындығына сенімді бола алады.

Эвристика

  • Сіздің ұйымыңызда бизнес иелерін біріктіретін, сапаны қамтамасыз етуге жауапты және олар әзірлеген бағдарламаларды басқаратын және басқаратын кросс-функционалды топтар бар ма?
  • Өнімдер (немесе қызметтер) әр түрлі қауіп-қатер профилін көрсете ме?
  • Өнімдер (немесе қызметтер) біртекті емес техникалық тіректерде және инфрақұрылымдарда жүре ме?

Егер жоғарыда келтірілген сұрақтардың біреуіне немесе бірнешеуіне жауап оң болса, онда бұл топология осалдықты жабудың жақсы әдісі болуы мүмкін.

Қауіпсіздікті іске қосатын команда ретінде қауіпсіздікке арналған арнайы топтың өнімді әзірлеу бойынша топтарды қолдайтынын және қолдайтынын білдіреді (мысалы, қауіпсіз даму үшін жасалған нұсқаулық).

Қауіпсіздіктің орталықтандырылған тобының қауіпсіздіктің нақты талдауы мен жүзеге асырылмауы, керісінше оны алға бастыруы және басқаруы өте маңызды.

Бұл топтың жобаға немесе жарияланымға басынан бастап қатысуы бірдей маңызды, сондықтан өнім тобы өмірлік циклдің әр кезеңіндегі қауіпсіздік салдарын, тәсілдері мен тәжірибесін қарастыра алады.

Тігінен сұр түспен көрсетілген көлденең қауіпсіздік тобы көлденеңінен қызғылт сары түспен көрсетілген үш өнім тобын қолдайды. Бұл ашық жасыл шеңбер түрінде бейнеленген қауіпсіздік үшін ортақ жауапкершілікке әкеледі

Көптеген ұйымдар бұл әдісті таңдады, соның ішінде Spotify және Sportradar. Дәстүрлі «қауіпсіздік тобының силосынан» едәуір азырақ құрылымдық өзгеріс қажет, өйткені біз осы команданың міндеттерін (іске асырудан гөрі басшылық пен қолдау) ауыстырамыз. Алайда, бұл компанияның қалған мүшелеріне өнім топтарының өз жүйелерінің қауіпсіздігін жақсартуды күтетіндігін түсінуін қиындатуы мүмкін.

Пабло Йенсен, Sportradar-дағы CTO, жақында өнімнің топтарымен тығыз ынтымақтастықта қауіпсіздік саясаты мен нұсқаулықтарды ілгерілетудегі өзінің ақпараттық қауіпсіздік тобының рөлі туралы айтты. Олардың жобаларының өмірлік циклдарының бірі - «Дамуды бастау құқығы», қауіпсіздік саласы ескеріліп, сәйкесінше жоспарланған жұмыс қауіпсіздік тобының мақұлдауын талап етеді. Бұл команда тікелей Бас директорға есеп береді және қажет болған жағдайда өнімді шығаруды тоқтатуға құқылы.

Өнімнің қауіпсіздігі жөніндегі жұмысты өз мойнына алмайтын орталықтандырылған қауіпсіздік тобының рөлі, бірақ кеңес (ақпарат көзі: Пабло Йенсен, Sportradar-дағы CTO - QCon London 2018 көрмесіндегі слайд)

Артықшылықтары

  • Қауіпсіздік жұмыстарын көп орындайтын дәстүрлі оқшауланған қауіпсіздік тобынан активтендіру моделіне көшуге аз уақыт кетеді.
  • Көптеген жаңа қызметкерлерді қажет етпейді, осылайша бірлескен күш-жігер мен командадағы мүмкін бұзушылықтардан аулақ болады. Мұнда назар аудару командада техникалық дағдылардан басқа барлық қажетті жұмсақ дағдылардың болуын қамтамасыз ету керек.

Кемшіліктері

  • Бұл команда тиімді қарым-қатынасты игеруі керек, бұл өздігінен жақсы. Бұл уақыт өте келе жетілдіруді қажет ететін дағды. Сондықтан байланыс стратегиясын және мазмұнын анықтау үшін алдымен сыртқы немесе ішкі көмекке қаражат салу қажет болуы мүмкін.
  • Егер сіз осы модельге ауыссаңыз, қауіпсіздік фокусын өзгерту туралы әлсіз сигнал шығады. Сигнал күшейтілуі керек және org культурасының бір бөлігі ретінде батып кетпес бұрын ұзақ уақыт бойы қайталануы керек болуы мүмкін.
  • Жаңа міндеттерді, тәжірибені және құралдарды енгізу ең жоғары деңгейге жеткен өнімді әзірлеу бойынша топтар үшін қиын болуы мүмкін. Орталықтандырылған іске қосу тобына наразылық білдіру және қысым көрсету мүмкін, бұл модельдің жалпы мақсатын тоқтатады.
  • Уақыт өте келе, шығарылым / спринт жоспарлауына қатысатын және команданың күнделікті стендтеріне қатысатын қауіпсіздікті қамтамасыз етусіз, өнім топтарындағы қауіпсіздікке көңіл бөлінуі мүмкін. Мұндай әсерге жол бермеу үшін басқару түрі құрылуы керек.

Эвристика

  • Өнімді әзірлеу бойынша топтар аз ба (қауіпсіздік тобымен тығыз ынтымақтастық орнатуға мүмкіндік беретін)?
  • Өнім тобының мүшелері қауіпсіздік тақырыптарына қызығушылық танытады және білуге ​​дайын (мысалы, техникалық конференцияларға немесе кездесулерге қатысу)?
  • Әрине, өндірістегі қауіпсіздікке қатысты инциденттердің шешімі қауіпсіздікке де, қызметкерлерге де әсер ете ме (әр тарап өзін жауапкершіліктен алшақтататын кінәлі ойынға қарсы)?

Егер жоғарыда келтірілген сұрақтардың біреуіне немесе бірнешеуіне жауап оң болса, онда бұл топология осалдықты жабудың жақсы әдісі болуы мүмкін.

Қорытынды

DevSecOps АТ-да қауіпсіздік профилін күшейтті және деректерді бұзудың тұрақты ағымы көптеген компаниялардың қауіпсіздігін бұзды. Осы лауазымда мен осы олқылықты толтырудың бірнеше мүмкін тәсілдерін ұсындым (қауіпсіздік пен жауапкершілікті күш беретін команда ретінде), олардың артықшылықтары мен кемшіліктері мен контекстке негізделген эвристика.

Есіңізде болсын, командалық дизайн тұрақты болмауы керек. Ұйымдар, адамдар және процестер уақыт өте келе табиғи түрде дамиды. Бүгінгі таңға сай келетін нәрсе ертеңгі жылдам әрі қауіпсіз бағдарламалық жасақтамаға кедергі болуы мүмкін. Компания бастапқыда қауіпсіздіктің дәстүрлі сило тәсілінен «белсенділік тобы ретінде қауіпсіздік» моделіне және уақыт өте келе қауіпсіздік туралы білімі мен білімінің өзгеруі ретінде «толықтай ортақ қауіпсіздік міндеттері» бар құрылымға ауысуы мүмкін. өнім топтарына.

Ұйымдарыңызда немесе клиенттеріңізде топтың басқа қандай топологиялары мен қауіпсіздік стратегияларын көрдіңіз? Төменде түсініктеме беріңіз немесе маған электрондық хат жіберіңіз:

мені manuelpais нүкте торында