Прибыльность кибер-преступлений, по наблюдениям аналитиков, сегодня превысила доходность от незаконного оборота наркотиков и оружия. Именно туда, в область применения компьютеров и средств связи, переориентирует свои ресурсы организованная преступность, формирует индустрию криминального использования ИКТ и направляет ее на кибер-атаки организаций, предприятий, отдельных людей. Зачастую для этого используются уязвимости ПО, и бороться с их последствиями приходится на стадии эксплуатации ПО с помощью традиционных средств ИБ-защиты.
Вместо того чтобы “бить по хвостам”, используя антивирусы, межсетевые экраны, VPN и другие аналогичные ИБ-средства, уязвимостям ПО можно противостоять на стадии разработки кодов — там, где они порождаются. Об этом научному редактору PC Week/RE Валерию Васильеву рассказывает Стивен Робинсон, вице-президент по продажам продуктов IBM Rational.
PC Week: Насколько актуальна сегодня проблема разработки безопасного кода?
Стивен Робинсон: До недавнего времени безопасность ПО оценивалась только после завершения процесса его производства. Теперь обеспечение безопасности ПО включают непосредственно в процесс его разработки, и это становится зоной ответственности не только специалистов по ИБ в компаниях, но и разработчиков ПО. Ведущие вендоры ПО уделяют этому направлению все больше внимания и активно скупают технологии разработки безопасных кодов.
Ваш сайт, к примеру, можно подвергнуть тесту на проникновение. Это так называемое тестирование BlackBox, которое по сути представляет собой оценку безопасности ПО, поддерживающего работу сайта, на стадии эксплуатации. Так, например, работает наш сканер IBM Rational AppScan. Вместе с этим сегодня появляются инструменты тестирования WhiteBox, которые позволяют оценивать безопасность программного кода (в том числе и того же ПО, которое обслуживает ваш сайт) уже на этапе его разработки. В прошлом году, после покупки решений Ounce Labs, у нас появились и такие инструменты.
Для определения этих двух подходов разработчиков ПО к обеспечению безопасности кода используют также термины “статический” и “динамический”. Главное требование к инструментам анализа безопасности кода в обоих подходах — постоянное их развитие с позиций учета в них новых уязвимостей ПО и возможностей новых хакерских атак.
PC Week: Разработчики ПО утверждают, что в процессе разработки можно думать либо об эффективности решения кодом возложенной на него главной функциональной задачи, либо о безопасности кода. Как разрешить это противоречие?
С. Р.: Действительно, задача эффективности кода стоит для программистов на первом месте, и традиционно проблемы безопасности кода в их задачи не входили. Мы в IBM сегодня стараемся максимально автоматизировать процесс анализа кода с позиций как его эффективности, так и безопасности. Мы полагаем, что влияние на бизнес проблем безопасности кода может оказаться более сильным, чем влияние проблем его эффективности, ведь наличие уязвимостей отрывает путь к кражам данных, мошенничеству, подрыву репутации компании, то есть к потерям, которые могут оказаться зачастую несравненно значительнее.
PC Week: Каковы современные этапы, механизмы, критерии контроля корпоративной безопасности?
С. Р.: На первом рубеже ИБ находятся разработчики ПО — они внедряют стратегию безопасности разработки ПО, которую можно (в самых общих чертах) представить следующим образом. Как только код написан, его проверяют на наличие ошибок, используя накопленную базу данных об ошибках в аналогичных кодах. Затем его тестируют на наличие уязвимостей от известных атак.
Компании также включают понятие безопасности и ее оценки непосредственно в свои бизнес-процессы. Так, сегодня на предприятиях все чаще можно встретить директора по безопасности (CSO), в задачи которого входит обеспечение комплексной безопасности предприятия. Но прежде всего он обязан выделить критически важную для бизнеса компании информацию и обеспечить ее защиту.
PC Week: Каким в компании должен быть баланс между вкладом в общую безопасность со стороны средств разработки безопасного ПО и “традиционных” средств обеспечения ИБ (антивирусов, межсетевых экранов, систем IPS, DLP…)?
С. Р.: Говоря об обеспечении корпоративной безопасности, мне кажется, не стоит проводить такое разделение средств обеспечения интегральной безопасности и искать между ними баланс. Главный критерий в обеспечении ИБ — риски и их последствия для бизнеса. Подход к обеспечению ИБ и объем вкладываемых в это направление средств существенно зависят от характера бизнеса компании. К примеру, стало общепринятой практикой для государственных и муниципальных организаций и предприятий выдвигать поставщикам ПО четкие требования, выполнение которых подразумевает прохождение регламентированных процедур тестирования ПО, в том числе по критериям безопасности.
Когда компании задумываются о том, какими у них должны быть процессы обеспечения ИБ, мы рекомендуем им начинать с разработки стратегии ИБ, целью которой должны стать выход на адекватный бизнесу уровень ИБ и его постоянная поддержка. Единых рекомендаций для всех компаний, увы, не существует — всё зависит от природы бизнеса и его организации. Одним компаниям нужно уделять больше внимания статической безопасности, другим — динамической. Например, тому, кто занимается коммерческой деятельностью через Интернет, в первую очередь важно, чтобы были максимально защищены его сайт и его хостинг-провайдер. На месте руководства такой компании для покупки ПО, обеспечивающего работу сайта, я бы разработал критерии и тесты проверки его надежности и подверг бы им это ПО, перед тем как установить его на сайт. Компании же, чей бизнес связан с разработкой ПО, следует включить обеспечение ИБ в основу своих бизнес-процессов, т. е. непосредственно в разработку кодов.
PC Week: Достаточно ли внимания компании уделяют сегодня вопросам ИБ, в том числе и безопасности ПО?
С. Р.: Хочу отметить, что расходы компаний на ИБ, как свидетельствуют отчеты аналитических фирм, растут примерно на 30% в год. Это высокий показатель, и рынок ИБ сегодня можно отнести к растущим, причем этот рост происходит в условиях ограниченности ресурсов.
Вместе с этим нужно иметь в виду, что ИБ-риски являются для компаний всего лишь частью их общих бизнес-рисков. Организации сами должны определять политику работы с общими рисками и ставить ИБ-риски на один уровень со всеми, не преувеличивая и не преуменьшая их значимость для своего бизнеса. Например, я знаю сильные команды разработчиков ПО, которые считают, что им вообще можно не думать о безопасности, потому что риски, связанные с ИБ, для них минимальны. Однако они не всегда учитывают, что исправление ошибок в ПО, связанных с ИБ, после завершения процесса разработки кодов обходится примерно в шесть раз дороже, чем обеспечение безопасной разработки кодов.
Если же рассматривать последствия ошибок в ПО не на стадии его разработки, а уже в процессе эксплуатации, то их влияние на бизнес и связанные с ними бизнес-риски трудно заранее оценить количественно, но обязательно следует иметь в виду, что они могут обойтись компании очень дорого, вплоть до потери бизнеса. Поэтому, как мне кажется, внимание компаний к ИБ растет, и свидетельством этому являются в том числе все более широкое распространение на предприятиях должности CSO, а также высокое развитие и повсеместное использование традиционных средств обеспечения ИБ. Что же касается рынка продуктов разработки безопасного кода, то, по моим оценкам, сегодня он находится в стадии формирования, однако через два-три года здесь произойдет сильное оживление.
PC Week: Используют ли в IBM технологии Rational при разработке ПО? Как можно оценить эффективность ваших подходов к разработке ПО с позиции обеспечения безопасности кодов?
С. Р.: Конечно, мы используем их с того самого момента, когда IBM приобрела в 2004 г. компанию Rational. Сегодня они работают более чем в 700 наших проектах по всему миру. Эти инструменты заметно ускоряют запуск решений в эксплуатацию, причем с предсказуемым качеством в том числе и по безопасности. Отмечу, что в IBM одна из самых сложных сред разработки, поскольку мы обязаны поддерживать огромное количество аппаратных и программных платформ, и наше ПО должно поддерживать 23 языка. При этом мы не скрываем нашу “кухню” разработки безопасного кода от клиентов. Инструменты Rational не требуют от компаний больших затрат и высокой квалификации обслуживающего персонала. С их помощью можно тестировать любую часть кода, на любой стадии разработки, вплоть до начала эксплуатации. На основании формируемых этими инструментами отчетов компании можно делать выводы о количестве “дыр” в коде и о возможных последствиях эксплуатации кодов с этими “дырами”.
PC Week: Как влияет использование технологии разработки безопасного кода на процесс сертификации ПО в соответствии с требованиями разных стран? Упрощает ли эта технология сертификацию?
С. Р.: Не стоит думать, что использование инструментов разработки безопасного кода гарантирует получение сертификатов. Для этого нужны еще хорошо отстроенные процессы разработки ПО и большая практика. Однако, как я уже упомянул, использование продуктов Rational упрощает процесс достижения стадии соответствия критериям, выдвигаемым заказчиками, будь то правительство США или России. Продукты Rational позволяют выстроить хорошо документированную цепочку разработки кода, и эта документация помогает тестовым лабораториям в разных странах в процессе сертификационных проверок “видеть” процесс разработки ПО насквозь.
PC Week: Какие коды, по вашему мнению, безопаснее — проприетарные или открытые?
С. Р.: Существует стереотип, что за открытыми кодами стоит огромная интернациональная армия разработчиков совершено разной квалификации, которая в итоге делает довольно рыхлый код. Мой опыт разработки свидетельствует, однако, о том, что большое количество проектов разработки ПО на базе открытых кодов выполняется совсем небольшими коллективами, производящими качественный, безопасный код.
Разумеется, если дело касается разработки ПО для космической или атомной индустрии, то все-таки следует иметь в виду проприетарный код, у которого безопасность гораздо выше. Но в итоге руководство каждой компании должно понимать то, что не выбор кода — проприетарного или открытого — определяет результирующую безопасность ее бизнеса. Это, как я уже говорил, определяется построенной в компании стратегией безопасности, оперирующей тем максимальным уровнем рисков, который она может себе позволить и который за нее ни один консультант не определит.
Важно также помнить, что объем инвестиций при использовании открытых кодов зачастую ничуть не меньше инвестиций в проприетарное ПО. Нужно учитывать, что в случае зависимости вашего бизнеса от открытого кода, вам придется поддерживать сообщество его разработчиков, инвестировать в него, помогать определять направление развития, и эти расходы следует закладывать прямо на этапе выбора ПО.
PC Week: Благодарю за беседу.
