В 2020 году вирус-троян проник в программное обеспечение компании SolarWinds, что привело к серъезному инциденту безопасности. Спустя год после этого компания SolarWinds разработала и внедрила план Secure By Design при создании следующего поколения своих продуктов (SolarWinds Next-Generation Build System).
Принципы разработки программного обеспечения Secure By Design были построены вокруг 4 основных правил:
· Основать систему на эфемерных операциях
· Убедиться, что сборки\релизы продуктов могут быть произведены детерминированно § Разработка продуктов\кода с использованием принципов «build in parallel», с несколькими параллельными компиляциями
· Запись каждого шага сборки
В плане использования решений и их администрирования были представлены требования и рекомендованы в использование принципы – «just-in-time» и «just-enough». В основе которых лежит минимизация использования привелигированных прав и использование их в точно определенное время.
SolarWinds также работает над созданием руководств по конфигурированию и укреплению, ориентированных на конкретную среду, отходя от руководств по конкретным продуктам, которые являются стандартными в отрасли.
Эксперты CIO World Asia побеседовали с двумя сотрудниками Solarwinds, Тимом Брауном, вице-президентом по безопасности, и Аравиндом Курапати, старшим директором по продажам в Азии, чтобы узнать больше о трансформационной модели разработки программного обеспечения.
Какова реакция рынка на SolarWinds Next-Generation Build System?
Реакция рынка была очень положительной. SolarWinds Next-Gen Build System – это модель разработки, направленная в первую очередь на повышение безопасности, созданная, в том числе для улучшения гибкости.
Как SolarWinds меняет отраслевые нормы жизненного цикла разработки программного обеспечения?
SolarWinds не только внедряет инновации в свои решения, но и делится ими через инициативы с открытым исходным кодом, выступления на конференциях и партнерство с отдельными клиентами.
Как взгляд со стороны помогает разработчикам программного обеспечения предвидеть действия злоумышленников?
Очень важно учитывать злоумышленников и их подход. Когда мы рассматриваем систему разработки, модель SolarWinds предусматривает разделение обязанностей, когда администратор одного направления не имеет доступа к другому. В этой модели для злонамеренного воздействия на процесс разработки необходим сговор между несколькими людьми.
Расскажите нам об использовании упражнений red team и tabletop в технических испытаниях для проверки устойчивости программного обеспечения к атакам
Особенности «tabletop» и тестирование с red team позволяют нам имитировать действия злоумышленников в нашей среде и проверить наши средства контроля безопасности. Мы не только проверяем устойчивость отдельных компонентов, но и тестируем наши команды SOC и обнаружения. Эти упражнения помогают определить, какие процессы вы хотите выполнять собственными силами, а какие, по вашему мнению, целесообразно выполнять за пределами компании.
Расскажите о том, как SolarWinds разрабатывает руководства по конфигурациям и защите от внешних воздействий
В руководствах по безопасной конфигурации SolarWinds представлены лучшие практики, которые можно использовать с любым программным обеспечением, и включают правильные конфигурации брандмауэра, правильные модели управления идентификацией и доступом, правильное ведение журналов событий.
Для полного внедрения принципов SolarWinds Secure By Design необходимо изменить мышление пользователей. Работа в направлении усложнения любых возможных нарушений и расширения возможностей мониторинга, обнаружения и своевременного реагирования – вот новая перспектива, которую мы устанавливаем.
Источник: https://bit.ly/3AJDdka
