Об эксперте: Юрий Сергеев, сооснователь и генеральный партнер ГК Swordfish Security. Более 25 лет опыта в индустрии разработки ПО и более 15 лет в индустрии кибербезопасности.
Основы DevSecOps
— Что такое DevSecOps и чем эта концепция отличается от традиционного DevOps?
— Вот простая аналогия: когда здание стоит в сейсмоактивном регионе, архитекторы учитывают эту особенность и создают дома, способные выдержать толчки силой до 7 баллов благодаря комплексу технологий и подходов к проектированию: подвижный фундамент, амортизаторы и демпферы, система виброконтроля, стальное усиление стен и т.д. Тот же принцип работает и для DevSecOps. Это практика умного проектирования, только в области ПО, которая помогает создавать цифровые продукты (сайты, мобильные приложения, софт), защищенные на всех этапах: от замысла до их использования людьми и дальнейшего развития.
DevSecOps — это когда механизмы безопасности встраиваются сразу, на каждом этапе создания ПО. Это гарантирует качество как самого программного продукта, так и процесса разработки и повышает устойчивость приложений к атакам. По сути, это философия: безопасность становится естественной частью разработки ПО, а не дополнительной задачей, которую решают в последнюю очередь.
И это не какая-то вещь в себе. Защищенные программные продукты обеспечивают устойчивость финансового сектора, производств и критической инфраструктуры, а также безопасность пользователей. В 2023 году количество утечек данных в 60 раз превышало показатели 2022 года, а по итогам 2024-го мы ждем новый рекорд. Без масштабного внедрения DevSecOps мы не выиграем битву с хакерами и злоумышленниками.
Изначально существовала парадигма DevOps, объединяющая технологии и практики разработки программного обеспечения и его эксплуатацию. Продолжая аналогии, такой подход можно сравнить с конвейером по производству автомобилей, где на каждом этапе добавляется какая-то деталь.
Однако часто в компаниях разные отделы пользуются разными подходами и инструментами. Одна из задач DevSecOps — приведение методик и принципов к единообразию и, главное, встраиванию элементов безопасности на каждом этапе разработки, тестирования и эксплуатации.
DevSecOps сочетает в себе три главных элемента: процессы разработки (Dev), процессы эксплуатации (Ops) и процессы информационной безопасности (Sec). Практики обеспечения безопасности интегрируются на каждом этапе разработки, начиная с планирования и заканчивая развертыванием и поддержкой. Если вернуться к аналогии со сборкой автомобиля на конвейере, то это не краш-тест в конце, а оценка с точки зрения защищенности каждой детали и их сборки, начиная с первых чертежей и расчетов.
— В чем заключаются ключевые принципы этой методологии?
— Можно выделить несколько основных принципов DevSecOps.
Первый принцип — это максимальная автоматизация. Применение средств автоматического обнаружения уязвимостей на различных фазах разработки ПО позволяет не только ускорить разработку, но и повысить ее эффективность и надежность. Современные инструменты DevSecOps помогают найти уязвимости в автоматизированном режиме и решают такие задачи, как статический анализ кода, динамический анализ, анализ защищенности контейнеров, поиск уязвимостей в библиотеках и компонентах с открытым исходным кодом и т.д.
Развитие автоматизации ускорилось в последние годы за счет внедрения в процессы искусственного интеллекта, который позволяет передоверить простые, но трудоемкие операции «автопилоту» на основе ИИ. Например, один из наших продуктов благодаря использованию самообучающейся модели ИИ помогает команде инженеров приоритизировать уязвимости по степени критичности, при этом выявляя ложные срабатывания с точностью порядка 96%.
Второй принцип — это бесшовная интеграция практик анализа защищенности в процесс разработки. Так можно обеспечить анализ приложений и защиту данных в рамках непрерывного конвейера производства ПО.
Третий — это, безусловно, работа с людьми, повышение компетенций и осведомленности инженеров, разработчиков в области кибербезопасности. Здесь важен обмен знаниями и опытом и лучшими практиками в области информационной безопасности.
Наконец, четвертый ключевой принцип DevSecOps — построение и развитие культуры кибербезопасности в организации, включая ответственность, взаимное сотрудничество и прозрачность задач, над которыми работает разработчик или инженер ИБ.
Преимущества и сложности внедрения DevSecOps
— Какие преимущества и какие сложности DevSecOps приносит в процесс разработки?
— Благодаря интеграции практик безопасности на каждом этапе жизненного цикла разработки команды могут быстрее выявлять и устранять потенциальные угрозы. Это позволяет им не тратить месяцы на ликвидацию уязвимостей в конце проекта, а оперативно реагировать на замечания и вносить необходимые изменения. В результате это сокращает сроки вывода продукта на рынок.
Например, один из наших клиентов — цифровой банк — ранее осуществлял поиск уязвимостей в полуручном режиме для каждого релиза своего супераппа (на Android и iOS) и тратил на это еженедельно два полных рабочих дня. Это серьезно влияло на скорость выпуска обновлений, критичных для всех пользователей. Сейчас этот процесс полностью автоматизирован на базе платформы анализа защищенности мобильных приложений, а клиенты банка в разы быстрее получают качественные улучшения в экосистеме.
Другой пример — хранение номеров клиентских банковских карт, фамилий, имен, телефонов. Если бизнес не позаботится об их безопасности, то они могут уплыть в даркнет. Как раз такие уязвимости в сайтах, мобильных приложениях, онлайн-платформах помогает устранить DevSecOps. Именно благодаря этим утечкам становится успешным тот самый «социальный инжиниринг». Мошенники готовятся к атаке на вас, знают круг ваших интересов, контакты и используют их для создания правдоподобной легенды.
Автоматизированные проверки и анализ кода позволяют обнаруживать уязвимости до того, как они станут реальной проблемой. Это не только повышает уровень защиты, но и укрепляет доверие пользователей к ПО и сервисам. Люди хотят знать, что их данные и устройства в безопасности, а внедрение DevSecOps позволяет минимизировать киберриски.
Еще одно преимущество, на мой взгляд, — соответствие требованиям регуляторов и индустриальным стандартам. Регуляторы держат в тонусе как разработчиков, так и экспертов ИБ и в равной степени менеджмент организации. В первую очередь это влияет на наших клиентов из банковской сферы, где уязвимости ПО напрямую влияют на финансовые риски. Сегодня требования со стороны Банка России и Федеральной службы по техническому и экспортному контролю стали драйвером развития отрасли. Более того, планируется, что компании, внедрившие практику DevSecOps и сертифицировавшие один раз процесс разработки ПО, смогут избежать длительных и дорогостоящих сертификаций каждой версии своих продуктов.
— С какими трудностями вы сталкиваетесь при внедрении DevSecOps?
— Внедрение DevSecOps для организации — это не просто технологический процесс, это настоящая революция в культуре разработки ПО. Старые подходы и привычки, которые существовали долгие годы, должны смениться новыми практиками. Это закономерно может вызвать сопротивление со стороны сотрудников, которые привыкли работать по-старому. Однако незрелость инженерных команд, желание решить проблемы методами лоскутной автоматизации приводят к бесконечно продолжающимся проектам без достижения поставленных целей. Кроме того, в таких организациях реализуется риск критичной зависимости от абсолютно непрозрачных технических решений, принятых отдельными специалистами, а экспертиза моментально теряется, в случае если эти люди вдруг покидают компанию.
Клиентским командам зачастую необходимо время, чтобы все поняли, что информационная безопасность — это не дополнительная нагрузка, а ключевой компонент каждого проекта разработки. Необходима активная работа над созданием открытой культуры кибербезопасности, где все участники команды, от разработчиков до тестировщиков, будут чувствовать себя ответственными за нее.
— Какие метрики можно использовать для оценки эффективности внедрения DevSecOps в компании?
— Мы рассматриваем результаты внедрения DevSecOps через несколько ключевых показателей. Во-первых, это достигаемый уровень безопасности и непрерывности цифрового бизнеса, который мы оцениваем как с точки зрения защищенности от киберугроз, так и с точки зрения надежности программного продукта в целом. Во-вторых, нас интересует влияние на скорость вывода на рынок новых бизнес-функций, учитывая их сложность, объем и качество (соответствие реализации функциональным требованиям, надежности, информационной безопасности и др.). В-третьих, мы оцениваем зрелость процессов разработки программного обеспечения в организации как в разрезе ИБ-компетенций у разработчиков, так и в контексте уровня автоматизации конвейера производства ПО. И наконец, важным критерием является уровень соответствия создаваемого программного обеспечения требованиям регуляторов, то есть compliance.
При этом в каждом разрезе мы выделяем четыре уровня метрик. Первый уровень — это базовые показатели (так называемая телеметрия), например размер кодовой базы каждого проекта, количество уязвимостей, их критичность, среднее время исправления дефектов. Второй уровень — оперативные параметры, где мы можем оценивать уже качество программного продукта и улучшение процессов разработки — объем технического долга, тренд плотности дефектов. Третий уровень — управленческий, он включает в себя оценку координации работы между командами и анализ эффективности разработки. Четвертый уровень — стратегический контроль: здесь мы смотрим на процент покрытия проектов технологическими практиками, достижение целей по минимизации киберрисков и общую стоимость владения (TCO) инициативой DevSecOps.
Как перейти на DevSecOps
— Какие практические шаги вы могли бы предложить?
— Первый фокус — на компетенциях команды и, соответственно, на ее обучении. Для этого следует обеспечить доступ к ресурсам, методическим материалам, провести тренинги, на которых смогут обучаться как новички, так и опытные специалисты. Важно также сформировать внутри компании библиотеку знаний, чтобы все заинтересованные лица имели доступ к необходимой информации. Это поможет популяризировать идеи кибербезопасности. Компании, у которых этой базы нет, получают ее на аутсорсе, например обращаются к нам в «Академию кибербезопасности».
В цикле разработки ПО следует начать со статического и динамического анализа кода, а также анализа компонентов с открытым исходным кодом, поскольку 90% приложений используют внешние библиотеки. А не все они безопасны, поэтому важно вовремя «поднять красный флаг» именно в тот момент, когда разработчик из каких-либо соображений решил использовать такую библиотеку для решения бизнес-задачи, а именно эта версия содержит критическую уязвимость.
Более того, может случиться так, что на разных этапах разработки различными методами были обнаружены сами по себе низкоприоритетные уязвимости, однако при этом в совокупности это сложилось в критичную структуру, через которую можно провести целенаправленную атаку. Поэтому крайне важно встроить все практики анализа защищенности в процесс версионного контроля кода и цикл непрерывной интеграции и развертывания ПО.
Драйверы и барьеры
— Какие есть драйверы для распространения практики DevSecOps в России?
— Основным драйвером я бы назвал тренд на сокращение Time-To-Market — сокращение времени вывода на рынок новых продуктов, бизнес-функций и обновлений при сохранении уровня защищенности ПО. Это подталкивает компании к построению DevSecOps-конвейеров.
Второе: чем сложнее продукты, чем больше кода, тем разнообразнее угрозы. Рост числа киберпреступлений, как в России, так и в мире, а также участившиеся атаки на российские организации подталкивают не только крупные компании, но и средний бизнес задуматься о внедрении реальных практик кибербезопасности.
Все большее беспокойство вызывают ИБ-продукты, в основе которых лежит открытый исходный код. В этой сфере, на мой взгляд, должна быть реализована Zero Trust-концепция. Никто до конца не знает, какие уязвимости могут быть в исходном коде опенсорс-инструментов. Поэтому переход на проприетарные промышленные решения в том числе в области DevSecOps также является одним из важных трендов.
Помимо технических аспектов, сегодня наблюдается значительное смещение акцентов в нормативной базе. Раньше основное внимание уделялось обеспечению безопасности отдельных приложений или версий программного обеспечения. Однако теперь акцент смещается на построение и сертификацию процесса безопасной разработки ПО. Это значительный шаг вперед. Таким образом, сама индустрия приближается к концепции Secure-by-Design, что означает обеспечение сертификации процессов производства безопасного кода. В данном случае государство выступает как драйвер, способствующий этому процессу.
— А какие можете назвать барьеры?
— Один из главных барьеров — недостаток кадров. В IТ-отрасли России, по нашим подсчетам, не хватает более миллиона человек. В сфере ИБ общее количество меньше, но дефицит даже острее, и он будет расти, как и потребность в специалистах DevSecOps.
Уже есть достаточно много возможностей для обучения, но все это далеко от полноценной интеграции теории и практики. Пока, к сожалению, вузы не готовят профильных специалистов, чтобы они наполняли рынок в достаточном объеме. И этот дефицит будет только расти.
Кстати, мы все чаще видим от клиентов запросы не просто на обучающие программы, а на создание внутри компании центра компетенций DevSecOps с помощью нашей экспертизы. Еще одна область, где спрос со стороны рынка двигает нас вперед, — подбор и обучение для заказчиков чемпиона/лидера по кибербезопасности из состава их команды. При этом важна далеко не только теоретическая база, а скорее требуется прокачка навыков таких кандидатов на реальных проектах. Мы уже готовим такую программу повышения квалификации к запуску в ближайшее время. Рыночные практики меняются, и мы рады быть одним из первых в этих процессов.
Тренды DevSecOps
— Какие тренды в развитии DevSecOps есть в России и мире?
— Когда я начинал работать в ИТ-индустрии, более лет 20 назад, мы внедряли передовые технологические практики в зарубежных банках, занимались созданием продукта для поиска уязвимостей для большой международной софтверной компании, разрабатывали крайне сложные системы управления документацией для крупной авиастроительной корпорации. Сегодня российские ИТ- и ИБ-компании последовательно разрабатывают собственные продукты, команды в этой области выходят на новый уровень, создавая национальный софт. Так что первый тренд, который я назову, — активное развитие импортозамещения.
Мы также видим запросы от наших клиентов на решение нетривиальных задач. Это в первую очередь работа по анализу защищенности больших языковых моделей, LLM Security. Индустриализация языковых моделей у больших корпоративных клиентов сейчас только зарождается, есть огромный потенциал развития, практики ИБ для этого сегмента рынка еще до конца не сформированы и находятся на том же этапе, на котором был DevSecOps 5–7 лет назад.
Например, у некоторых наших клиентов уже сегодня внутри созданы десятки моделей ИИ. И важный вопрос — как их сделать безопасными, а их производство — стандартизированным и прозрачным?
LLM Security — один из больших технологических трендов, который будет активно нарастать следующие 5–10 лет. При этом использование языковых моделей становится более востребованным в контексте анализа уязвимостей, выявления вредоносной активности в рамках библиотек с открытым исходным кодом и т.д. Сейчас стоит глобальная задача создать модель, которая успешно решала бы эту задачу, и многие разработчики DevSecOps-решений, и мы в том числе, над этим работают.
Третий технологический тренд — это реализация практик обеспечения безопасности цифровых цепочек поставок. Тут стоят задачи контроля реализации самого производственного конвейера ПО и ряда процессов, которые находятся за его пределами при обеспечении полной прозрачности и управлении целостностью всех артефактов, участвующих в сборке конечного программного продукта.
Можно также подметить постепенный отказ от инструментов с открытым кодом для решения задач информационной безопасности. Для внедрения таких инструментов требуются значительные ресурсы и время для тонкой настройки и необходимых доработок. Поэтому один из текущих трендов — переход на индустриальные решения.
— Какие бизнес-тренды вы можете выделить?
— Во-первых, в целом рынок DevSecOps растет до сих пор — прибавляет 25–30% в год. Есть уже и состоявшиеся нишевые игроки, как вендоры, так и интеграторы с отличной экспертизой, со своими продуктовыми линейками, хорошо зарекомендовавшими себя. При этом наблюдается два разнонаправленных вектора: попытка больших игроков широкого ИБ-профиля закрыть все ниши самостоятельно противостоит агрессивному росту небольших, но крайне высококвалифицированных компаний с узкой специализацией. И второй сценарий, конечно, сильно выигрывает по экспертизе и скоростям захвата рынка.
Во-вторых, после 2022 года совершенно явно выделился тренд на четкое разделение бизнеса — интеграторы и вендоры. Как, например, в нашем случае. Раньше мы были сфокусированы на поставках партнерских решений зарубежного производства и интеграторском бизнесе, при этом собственная продуктовая разработка велась скорее по остаточному принципу. Сейчас же в рамках группы компаний есть отдельная структура, которая занимается интеграцией и внедрением, и отдельная структура, которая отвечает за разработку собственной продуктовой линейки. Оба направления востребованы рынком, коммерчески успешны и сбалансированы в стратегии линеек бизнеса в ГК. Наш кейс таков, но ГК Swordfish Security не единственная на рынке, кто следует этой модели.
— А если заглянуть в будущее, то чего вы ожидаете в сфере кибербезопасности в ближайшие три-пять лет?
— В следующие три-пять лет DevSecOps останется нормой для всех. Разберем снова на простом примере. Подумайте, сколько онлайн-продуктов в среднем в день вы используете как самый обычный человек «эпохи цифры»? Предполагаю, минимум десяток. Даже эту статью вы читаете онлайн. Наша повседневная реальность становится все более цифровой: мы совершаем финансовые операции, оформляем документы, заказываем одежду и продукты, проверяем дневники детей и записываемся к врачу онлайн, оставляя на каждом этапе свой цифровой след. В дизайне этих продуктов подумали про безопасность те, кто их создают. Это и есть DevSecOps. Поэтому ваша цифровая реальность и «сейсмоустойчивый дом» из цифровых сервисов, о котором мы говорили ранее, стабильны и защищены от встрясок и атак.
Помимо этого, в ближайшие лет пять ИИ станет такой же повседневностью, как сегодня интернет или смартфон. Поэтому вопросы безопасности ИИ, которые описывает пока малоизвестный термин MLSecOps, будут интересовать любого, как и установка антивируса на ПК или хороший замок на входной двери в дом.
👀 Следите за телеграм-каналом «РБК Трендов» — будьте в курсе последних тенденций в науке, бизнесе, обществе и технологиях.