У 2020 році вірус-троян проник в програмне забезпечення компанії SolarWinds, що призвело до серйозного інциденту безпеки. Через рік після цього компанія SolarWinds розробила та впровадила план Secure By Design при створенні наступного покоління своїх продуктів (SolarWinds Next-Generation Build System).
Принципи розробки програмного забезпечення Secure By Design були побудовані навколо 4 основних правил:
· Заснувати систему на ефемерних операціях.
· Переконатися, що складання/релізи продуктів можуть бути зроблені детерміновано.
· Розробка продуктівкоду з використанням принципів «build in parallel», з кількома паралельними компіляціями.
· Запис кожного кроку збирання.
У плані використання рішень та їх адміністрування були представлені вимоги та рекомендовані до використання принципи – «just-in-time» та «just-enough». В основі яких лежить мінімізація використання привілейованих прав і використання їх у певний час.
SolarWinds також працює над створенням посібників з конфігурування та зміцнення, орієнтованих на конкретне середовище, відходячи від посібників з конкретних продуктів, які є стандартними у галузі.
Експерти CIO World Asia поговорили з двома співробітниками Solarwinds, Тімом Брауном, віце-президентом з безпеки, та Аравіндом Курапаті, старшим директором з продажу в Азії, щоб дізнатися більше про трансформаційну модель розробки програмного забезпечення.
Якою є реакція ринку на SolarWinds Next-Generation Build System?
Реакція ринку була дуже позитивною. SolarWinds Next-Gen Build System – це модель розробки, спрямована насамперед на підвищення безпеки, створена, зокрема, для поліпшення гнучкості.
Як SolarWinds змінює галузеві норми життєвого циклу розробки програмного забезпечення?
SolarWinds не тільки впроваджує інновації в свої рішення, а й ділиться ними через ініціативи з відкритим вихідним кодом, виступи на конференціях та партнерство з окремими клієнтами.
Як погляд з боку допомагає розробникам програмного забезпечення передбачати дії зловмисників?
Дуже важливо враховувати зловмисників та їхній підхід. Коли розглядаємо систему розробки, модель SolarWinds передбачає поділ обов’язків, коли адміністратор одного напрямку не має доступу до іншого. У цій моделі для зловмисного впливу на процес розробки необхідна змова між кількома людьми.
Розкажіть SolarWinds про використання вправ red team та tabletop у технічних випробуваннях для перевірки стійкості програмного забезпечення до атак
Особливості «tabletop» та тестування з red team дозволяють імітувати дії зловмисників у середовищі та перевірити засоби контролю безпеки. Компанія не тільки перевіряє стійкість окремих компонентів, але й тестує команди SOC та виявлення.
Ці вправи допомагають визначити, які процеси ви хочете виконувати власними силами, а які, на вашу думку, доцільно виконувати поза межами компанії.
Розкажіть про те, як SolarWinds розробляє посібники з конфігурацій та захисту від зовнішніх впливів
У посібниках з безпеки конфігурації SolarWinds представлені кращі практики, які можна використовувати з будь-яким програмним забезпеченням, також вони включають правильні конфігурації брандмауера, правильні моделі керування ідентифікацією та доступом, правильне ведення журналів подій.
Для повного впровадження принципів SolarWinds Secure By Design необхідно змінити мислення користувачів. Робота у напрямку ускладнення будь-яких можливих порушень та розширення можливостей моніторингу, виявлення та своєчасного реагування – ось нова перспектива, яку вони встановлюють.
Джерело: https://bit.ly/3AJDdka
