Что такое безопасное программирование?
Начнем с защиты операционной системы: агенты антивируса и SIEM-контроллеры устанавливаются на рабочие места программистов чтобы контролировать сетевой трафик и обращение к другим службам. Для этого можно использовать отечественные операционные системы, которые имеют топологию и архитектуру, предназначенную для защиты от различного рода атак.
Стандарт безопасной разработки (ГОСТ Р 56939-2024) подразумевает комплексную защиту исходного кода. Для обеспечения безопасности код необходимо изолировать от процессов разработки с применением специализированных систем контроля версий и защищенных репозиториев. При этом организуется защищённый канал связи до места хранения исходного кода, который должен быть зашифрован на всех этапах передачи и хранения данных.
Функциональные требования к программному обеспечению, предполагающие интеграцию с внешними платформами, включают использование так называемых API SDK. Сейчас все API обязательно требуют комплексной защиты: шифрования данных, усиленную защиту паролей, многофакторную аутентификацию, централизованное управление доступом и аутентификацией.
On-Premise решения или гибридный подход?
Совсем недавно было принято считать безопасным использование On-Premise решений, особенно если речь идет о крупных корпорациях, предприятиях или банковском сегменте.
On-Premise решения — когда серверное оборудование и софт устанавливаются в изолированный контур заказчика — постепенно уступают использованию облачных решений.
Гибридный подход актуален для заказчиков, если работа ведется над решением с меньшей чувствительностью к конфиденциальности, рискам и атакам.
Минусы On-Premise решений
- увеличение затрат на службу безопасности, обучение и развитие экспертизы, временных и человеческих ресурсов
- постоянный поиск новых способов и мер защиты, необходимость обновлений
- ограничения в вычислительной мощности локальных платформ усложняют защиту от DoS-атак
- изолированная платформа проще чем облачная инфраструктура подвергается атакам.
Плюсы облачных технологий
- новые технологии, меры защиты и обновления внедряются быстро и централизованно
- постоянная синхронизация и актуализация всех данных
Менеджер продуктов направления NGN/IMS НТЦ ПРОТЕЙ Александр Григорищенко рассказал, как обеспечивается безопасность разработок в ГК ПРОТЕЙ.
На этапе компиляции исходного кода в ГК ПРОТЕЙ применяются встроенные санитайзеры и инструменты проверки на уязвимости, например, MaxPatrol, которые позволяют проверить степень уязвимости используемых библиотек к известным атакам. Существует ряд инструментов, которые дополнительно оснащаются искусственным интеллектом для того, чтобы прогнозировать и устранять потенциальные уязвимости.
Уязвимости хранилищ открытого исходного кода
После санкционного давления наблюдается ряд уязвимостей в хранилищах открытого исходного кода. Например, во всем мире используется GitHub. Хранилище представляет собой различные библиотеки и программы, которые пишутся энтузиастами в университетах и целевыми компаниями.
Открытый исходный код передается для того, чтобы можно было его компилировать на базе операционной системы Linux. Разработчики ГК ПРОТЕЙ при работе с рядом таких открытых исходных кодов замечали, что, например, при тестированиях в изолированной end-to-end лаборатории в этих кодах выявлялись инъекции со стороны злоумышленников. В коды добавлялись различные трояны и вирусы, которые пытались вытянуть и передать в определенные источники конфиденциальную информацию.
Меры защиты
В ГК ПРОТЕЙ подобная проблема решается путем постоянной миграции на новые дистрибутивы. После сборки ПО включается система пакетизации и система хранилища этих пакетов, которые находятся в изолированном контуре с обязательным ограничением прав доступа. Права к репозиториям ограничиваются даже дочерним компаниям. Делается это для того, чтобы избежать открытия дополнительных каналов уязвимости.
Кроме того, существует ряд регламентов, описывающих способы передачи программного обеспечения заказчику. Во-первых, это регламенты самих заказчиков и их служб информационной безопасности (ИБ). Например, в обязательном порядке, используются индивидуальные по паспорту учетные записи для доступа через VPN до внешнего DMZ контура заказчика. Во-вторых, это специальный способ передачи инсталляционных пакетов, которые попадают в службу ИБ на проверку антивирусами. В-третьих, это обязательные промежуточные проверки на уязвимости уже инсталлированного ПО.
Помимо этого, проводится проверка портов: анализируется матрица связности портов, определяются внедренные способы авторизации и какие порты необходимы для функционирования сервиса, а какие необходимо закрыть.
Вся эта совокупность мер существует и со стороны производителя, и со стороны приемочной комиссии заказчика. Это обеспечивает адекватную информационную безопасность и позволяет перекрывать контуры.
Комплексный подход к безопасности
Выше мы описали взаимодействие производителя как непосредственного поставщика и заказчика, который устанавливает это оборудование. Такие меры закрывают только часть всех потенциальных угроз, уязвимостей и утечек.
Большая работа проводится и внутри компаний. Например, проводятся тренировочные, или «театральные» испытания уязвимостей. В компаниях рассылаются письма с фишинговой ссылкой для выявления реакции сотрудников: были ли открыты такие ссылки и какие действия были предприняты.
ГК ПРОТЕЙ при ведении разработок приступил к внедрению ИИ, но повсеместно это не используется, так как многие открытые движки содержат довольно устаревшие словари.
Внутренняя ИИ-система поможет, например, отследить и выявить уязвимости, написать документацию для ряда мер защиты продуктов и решить прочие вспомогательные задачи.
Подход к внедрению мер безопасности должен быть комплексным, он и формирует итоговую защиту. Все вышеперечисленное — это лишь видимая часть айсберга той кропотливой работы, которая выполняется службами ИБ в ГК ПРОТЕЙ.
