Создать функциональный финансовый продукт для клиентов и одновременно обеспечить высокий уровень его информационной безопасности (ИБ) — две задачи, между которыми часто балансируют банки. Чтобы не отставать от конкурентов, продукт нужно регулярно обновлять, но при этом безопасность должна быть встроена в разработку и не мешать выпускать обновленные версии вовремя.
Ситуацию усложняют требования регуляторов, поскольку сбор данных и подготовка документов для подтверждения соответствия законодательным нормам часто занимают много времени и замедляют развитие продукта.
Решить эти сложности помогает подключение к проекту ИТ-команд со своими инструментами анализа кода и богатым опытом внедрения практик безопасной разработки (DevSecOps) на всех этапах создания ПО. Так поступила команда разработки Банка Синара — для анализа защищенности своих финансовых сервисов и их оценки на соответствие требованиям ЦБ РФ она привлекла экспертов Центра кибербезопасности УЦСБ.
Apsafe как инструмент анализа: основные преимущества
Для анализа защищенности приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара использовали облачную платформу Apsafe — собственный продукт УЦСБ, который позволяет встроить процессы DevSecOps в уже существующую инфраструктуру разработки без ее изменений, а также обеспечить соответствие ПО требованиям закона. В экосистему Apsafe входят множество автоматизированных инструментов безопасной разработки, но результаты проверок верифицируются аналитиком вручную. Такой подход исключает наличие ложных срабатываний в итоговом анализе кода.
В экосистему Apsafe входят множество автоматизированных инструментов безопасной разработки, но результаты проверок верифицируются аналитиком вручную. Такой подход исключает наличие ложных срабатываний в итоговом анализе кода.Автоматизация проверок безопасности: интеграция Apsafe без нарушения привычных процессов разработки
Apsafe встроили в уже существующий процесс разработки на базе GitLab, не ломая цикл релизов продукта. Проверка запускается автоматически в стандартном CI/СD-пайплайне Банка Синара и не требует ручных действий разработчиков, поэтому для них это просто еще один этап в привычной цепочке сборки и поставки кода. Разработка ведется в двух ветках: основной, из которой пользователи получают обновления продукта, и в ветке с новыми функциями.
Через Apsafe проходят как новые изменения, так и релизы. Когда разработчики вносят в приложение очередные изменения, то они автоматически попадают в Apsafe, где проверяются на уязвимости и их возможное влияние на другие сервисы Банка Синара. Только после этого обновления переносятся в основную ветку и становятся частью рабочей версии продукта.
Взаимодействие команд: от обнаружения уязвимости до таск-трекера разработчиков
Первичную проверку уязвимостей проводит Appsec-специалист УЦСБ. Он анализирует срабатывания Apsafe, выбирает нужный фрагмент в коде, смотрит, почему сканер указал именно на эту строку, изучает потенциальную уязвимость и возможные точки ее эксплуатации.
Затем специалист оформляет карточку уязвимости: объясняет суть проблемы и прописывает практический сценарий эксплуатации уязвимости. Далее он рекомендует, что нужно сделать, чтобы ее закрыть, и выставляет оценку по метрике CVSS. Она используется для приоритизации в Apsafe — наиболее критичные проблемы поднимаются выше в таск-трекере Заказчика, и разработчики видят их раньше.
Взаимодействие команд строится через систему задач, доступ к которой есть не только у тимлидов, но и у рядовых разработчиков. Они могут задать экспертам УЦСБ вопросы по любой найденной уязвимости или рассказать про уже наложенные средства защиты и другие реализованные решения. Такая совместная работа повышает уровень зрелости ИБ Заказчика.
Оценка безопасности по ОУД4 с использованием Apsafe: два этапа анализа
Наличие уязвимостей в любом продукте, связанном с финансовыми операциями, и его способность противостоять злоумышленнику с базовым потенциалом нападения подтверждаются соответствием требованиям ОУД 4 (оценочный уровень доверия четвертого уровня). Они сформулированы ЦБ РФ в документах 821-П, 851-П, 757-П.
Для проведения таких работ необходимо, чтобы у исполнителя была действующая лицензия ФСТЭК России на деятельность по технической защите информации, предусмотренной подпунктами «б», «д» или «е» пункта 4 «Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства РФ №79».
Банк Синара уже второй раз доверил оценку соответствия требованиям ОУД 4 Центру кибербезопасности УЦСБ. Компетенции команды подтверждаются действующей лицензией ФСТЭК России и большим практическим опытом — Центр реализует более 200 проектов по безопасной разработке в год, а экспертиза УЦСБ в ИБ и ИТ насчитывает более 19 лет.
Анализ на соответствие требованиям ОУД4 разделили на два этапа.
Обследование объекта оценки — команда УЦСБ изучила документацию по приложениям и провела интервью с разработчиками и представителями ИБ-службы Заказчика, чтобы понять устройство продукта, реализацию в нем функций безопасности и порядок его развертывания и конфигурирования.
Анализ уязвимостей с помощью Apsafe — на этом этапе использовались несколько инструментов из стека платформы:
- SAST (Static Application Security Testing) — статический анализ кода, который позволяет находить дефекты в исходном коде продукта в момент его разработки;
- SCA (Software Composition Analysis) — композиционный анализ состава ПО для обнаружения угроз в подключаемых компонентах и соблюдения политик использования открытого кода;
- DAST (Dynamic Application Security Testing) — динамический анализ безопасности приложения. Он выявляет уязвимости методом «черного ящика» в работающем ПО, когда тестирование проводится без доступа к исходному коду. Похожим образом действуют злоумышленники.
С помощью SAST и SCA проверили более двух миллионов строк кода. Также Apsafe использовался для сосредоточенного анализа уязвимостей по компоненту доверия AVA_VAN.3*, предусмотренному ГОСТ 15408-3-2013. Помимо этого, был проведен пентест, который моделирует реальные действия хакеров и помогает выявить слабые места в защите продукта.
В результате этих работ эксперты УЦСБ подготовили для Банка Синара промежуточный отчет с перечнем уязвимостей, обязательных к устранению. После их закрытия Заказчик получил положительное заключение на соответствие финансовых сервисов Банка Синара требованиям ОУД4.*AVA_VAN — семейство требований к анализу уязвимостей в рамках международного стандарта «Общие критерии» (ГОСТ Р ИСО/МЭК 15408). 3 — это уровень глубины анализа. Максимальный уровень — 5.
Анализ микросервисного ландшафта: какие сложности он может вызвать
Отдельной непростой задачей для команды УЦСБ стала работа с микросервисной архитектурой приложения. Один микросервис сам по себе не создает серьезных трудностей для анализа защищенности. Сложности возникают при анализе взаимодействия этих сервисов между собой, так как у каждого из них большое количество собственных сценариев работы.
Дополнительные вызовы создавал масштаб архитектуры — множество строк кода, которые было необходимо проанализировать, и изменений, регулярно поступавших от нескольких команд разработки Банка Синара. Эти барьеры эксперты УЦСБ преодолели в ходе проекта, проверив более 200 микросервисов приложений.
Адаптация интерфейса под потребности Заказчика: расширенная аналитика и автоматизированная проверка исправленных уязвимостей
Для эффективного и удобного использования платформы Apsafe, команда УЦСБ добавила новые метрики и настроила интерфейс для Заказчика, так чтобы ключевая информация была наглядно представлена.
Добавлено отслеживание количества измененных строк кода — для прозрачного контроля объема работ в рамках договора, показатель вывели в наглядном виде в дефект-трекер. Метрику можно смотреть как за весь период использования Apsafe, так и за определенное время.
Расширена аналитика по уязвимостям — настроили возможность отслеживания наиболее уязвимых сервисов и временной статистики, которая показывает, сколько новых уязвимостей возникает и закрывается, и как меняется баланс этих значений.
Автоматизирована проверка исправления уязвимостей — Apsafe сравнивает список подтвержденных уязвимостей в прошлых версиях кода с текущими отчетами и отслеживает случаи, когда уязвимость была, а затем перестала детектироваться. Такие ситуации автоматически выделяются специальным статусом и передаются на разбор сотруднику, который проверяет, связано ли исчезновение с ошибкой или уязвимость действительно устранена разработчиками.
Реализована новая «плоскость» персональной аналитики — можно объединять несколько сервисов в одно приложение и смотреть показатели уже на его уровне, а не по отдельным сервисам. В этом разрезе учитываются количество наиболее уязвимых сервисов, общий объем найденных и число подтвержденных уязвимостей.
Итог: встроенные практики DevSecOps и подтвержденная безопасность продукта
Благодаря совместной работе команд Центра кибербезопасности УЦСБ и Банка Синара практики DevSecOps были органично встроены в процесс обновления кода — от момента, когда разработчик вносит изменение, до его появления в продукте.
Кроме того, важно отметить регуляторную часть проекта. Во время проверки приложений Банка Синара, Газэнергобанка, Делобанка и Инвестбанка Синара на соответствие требованиям ОУД4 Apsafe использовали как основной инструмент поиска уязвимостей. В результате этой работы Заказчик получил положительное заключение и успешно прошел проверку ЦБ РФ.
Если компании необходимо регулярно выпускать обновления продукта и при этом обеспечить его безопасность, то Apsafe — оптимальный инструмент для решения этой задачи. Это собственное решение УЦСБ, с которым внедрение DevSecOps занимает не более 10 дней и будет выгоднее, чем найм одного AppSec-инженера и покупка инструментов анализа защищенности*
*При подключении базового пакета. При подключении от двух приложений применяется прогрессивная модель скидок.