Управление безопасностью приложений: всем выйти из сумрака
Всем привет. И вновь на связи Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies. Ранее я уже рассказывала о том, кто такой специалист по безопасной разработке в рубрике Positive Education «Топ-10 профессий в сфере кибербезопасности» (а совсем недавно была статья про чудо чудесное — MLSecOps). В этой статье хочу сосредоточиться на роли и задачах тех, кто выстраивает application security в компаниях, — руководителей и тимлидов AppSec-направлений.
Как я попала в AppSec
В индустрию попадают разными путями, расскажу о том, как пришла я. Исторически я отвечала за IT-часть в разработке: занималась архитектурой приложений и их улучшениями — до тех пор, пока мы не столкнулись с нехваткой кибербез-компетенций в компании. Я начала погружаться в тему, изучать и внедрять инструменты… и постепенно осознала, что ИБ мне ближе. Когда искала, куда перейти, выбрала направление application security (которое в то время было мало распространено, и немногие понимали, что это и зачем нужно). Я начала с консалтинга: рассказывала, как работает статический анализатор, что он делает и для чего. Потом пришла в Positive Technologies, где к «аппсеку» добавился блок по безопасности ML, а также исследования, комьюнити и другие истории, связанные с построением процессов безопасной разработки.
Почему я говорю о выстраивании процессов? Всё просто — кибербез-зрелость в России значительно выросла за последние годы: компании больше не хотят делать хаотичный AppSec, им важно думать на несколько шагов вперед, видеть весь путь целиком. Чтобы уйти от хаоса и превратить его в результативный план действий, нужна стратегия application security. И эта задача (со звездочкой) ложится на плечи руководителей и тимлидов.
Если сравнить будни AppSec-специалиста и тимлида, то это выглядит примерно так.
Специалист решает вполне понятные декомпозированные вопросы: разбирает результаты сканирования, имплементирует тот или иной инструмент и т. д. У лида в application security, впрочем, как и у любого руководителя, задачи стратегические: как сэкономить бюджет, подобрать корректное решение, сохранить команду, в конце концов. Это тоже важно: AppSec-отрасль сейчас очень востребована, а хороших спецов мало, их нередко переманивают. Грамотный руководитель должен так организовать работу, обучение и выстроить мотивацию, чтобы его сотрудникам было интересно. Кроме того, тимлиды, в отличие от специалистов, регулярно взаимодействуют с другими вовлеченными сторонами: внешними контрагентами, руководством компании — это дополнительная ответственность.
Но порой даже самые талантливые руководители оказываются в тупике: нет нормальных фреймворков, вокруг хаос, топы не видят смысла в расходах на application security. Кажется, что ты один против всех.
Основные проблемы, с которыми сталкиваются тимлиды и руководители AppSec-направления:
отсутствие системности и методологии — большинство специалистов работает без четкой теоретической базы, полагаясь на самообучение;
недофинансирование — бизнесу сложно выделить бюджет на то, что «неизвестно когда окупится»;
давление регуляторов — стандарты написаны тяжелым, бюрократическим языком, они объемны и периодически обновляются, а руководителю нужно не только всё учесть, но и в понятной форме донести до команды;
рост числа киберугроз, при этом квалифицированных специалистов не хватает;
наконец, общее непонимание, как выстроить процесс безопасной разработки в компании и отслеживать эффективность своей команды.
Последняя проблема — основополагающая. Недостаточно просто купить инструмент и нанять человека, важно представлять себе весь процесс. Как развивать свой отдел, сколько людей набрать, чему обучать? А если обнаружилась уязвимость, как понять, что нужно исправить и каким образом? Как выбрать продукт, который подходит именно под твои задачи и потребности? Как просчитать экономику внедрения и объяснить, почему важно выделить бюджет именно сейчас?
Все эти вопросы мы подробно разбираем на нашем новом курсе, разработанном совместно с Positive Education «Безопасность приложений: от хаоса к системному управлению».
Application security на максималках
Сам интенсив по управлению application security — своего рода эксперимент. Ничего подобного нет ни на нашем, ни на зарубежном рынках. Изначально мы разработали курс для AppSec-инженеров на базе МФТИ и в процессе поняли, что можем дать больше, чем технические навыки внедрения инструментов и проверки кода. Мы можем научить управлять этим процессом. Собрали общие проблемы, которые сами решали по несколько раз, подобрали алгоритмы и работающие фреймворки и заложили эти знания в основу нового курса.
Скрытый текст
Стандартов по безопасной разработке много, и люди часто выбирают то, что им ближе. К примеру, приверженцы модели OWASP будут опираться на нее, а компании, относящиеся к КИИ, в первую очередь пойдут смотреть требования регулятора. У нас есть свой фреймворк. Он содержит как регуляторику, так и лучшие практики из разных методик, в том числе зарубежных. Это объемный гайд, понятным языком описывающий основные шаги безопасной разработки. Мы сформировали его на основе работы с разными заказчиками; без проб, ошибок и набитых шишек тоже не обошлось.
Три ответвления DevSecOps
Программа интенсива рассчитана на три дня полного погружения и строится на трех китах DevSecOps — процессах, людях и ресурсах.
Первый день посвящен процессам: как выстроить правильную стратегию, аргументировать важность безопасной разработки бизнесу, как подходить к выбору фреймворков и инструментов, чтобы обеспечить в компании непрерывный конвейер application security. Процесс не должен останавливаться, если уволился разработчик, вендор перестал обновлять свой продукт или изменились другие условия.
Во второй день мы поговорим о людях — их мотивации и развитии, управлении коммуникациями и конфликтами, взаимодействии с топ-менеджментом и другими вовлеченными сторонами. Как и чему обучать разработчиков и чему учиться самому, чтобы быть эффективным руководителем и понимать своих сотрудников. Мы обязательно затронем вопрос нематериальной мотивации — одних денег недостаточно, также важен интерес. Если постоянно накачивать людей деньгами, мы раздуем на рынке пузырь, который рано или поздно сдуется.
Третий день более технический и посвящен ресурсам. Мы сделаем обзор рынка ключевых игроков и их решений, детально рассмотрим имеющиеся инструменты, разберем, как планировать инфраструктуру для AppSec, и разработаем план внедрения выбранных технологий.
На выходе каждый участник сформирует документ — стратегию application security на несколько лет. Он сможет реализовать ее в своей компании с учетом текущего состояния, бюджета, команды и т. д.
Как всё это можно успеть за три дня?
Во-первых, формат интенсива подразумевает высокую вовлеченность. Вы работаете в группах, у вас есть куратор, который с каменным лицом следит за процессом. Здесь не получится, как на онлайн-лекции, выключить камеру и ответить на сообщение в Telegram. И это принципиальное отличие нашего курса от любых текущих продуктов по AppSec.
Во-вторых, формируется комьюнити единомышленников, которые активно взаимодействуют в течение трех дней и дополнительно вовлекают друг друга. Мы надеемся, что и после окончания интенсива наши участники продолжат общаться в алюмни-чатах: тимлиды «аппсеков» разных компаний смогут обмениваться кейсами, делиться опытом и методиками — тем самым обогащать комьюнити и развивать AppSec-направление в стране.
В-третьих, мы снабдим участников массой полезных материалов: рабочими тетрадями со всеми конспектами, подборками ссылок, лабораторками, чек-листами… По сути, у них появится готовое руководство к действию.
Кому будет полезен курс?
Прежде всего тем, кто только стал управленцем безопасной разработкой. Он хочет послушать, как ошибались другие, и сделать правильно.
Во-вторых, тем, кто хочет стать тимлидом application security, — архитекторам или просто «аппсекам», которые решили двигаться по карьерному треку.
Впрочем, курс пригодится и тем, кто уже давно в роли тимлида, руководителя AppSec и хочет узнать лучшие практики или закрыть какие-то пробелы. Например, не понимает, как растить команду (потому что в подчинении никого раньше не было), или не знает, как обосновать финансы. Кстати, в этой статье я рассказываю в том числе о расчете инвестиций в безопасную разработку.
Интенсив стартует уже совсем скоро — 5 сентября в Москве. Если тема вам интересна, но по каким-то причинам вы не попадаете на курс, посмотрите наше с Марией Шеховцовой выступление, посвященное расчету экономической эффективности AppSec, на фестивале Positive Hack Days 2024.
