1 στις 100: Πώς να σχεδιάσετε τις ομάδες για να γεφυρώσετε το χάσμα ασφάλειας

1 στα 100

Ακόμα κι αν εργάζεστε για μια μεγάλη οργάνωση, είναι πιθανό να μπορείτε να απομνημονεύσετε τα ονόματα όλων των ατόμων που εργάζονται στον τομέα της πληροφορικής. Αυτό συμβαίνει επειδή η αναλογία των προγραμματιστών προς την ασφάλεια είναι 100: 1, σύμφωνα με μια πρόσφατη έρευνα (η ίδια μελέτη δείχνει μια αναλογία 10: 1 devs σε ops). Προηγούμενες μελέτες έχουν αναφέρει αναλογίες από 100: 3 έως 100: 6, επομένως υπάρχει κάποια πρόοδος αλλά όχι αρκετά γρήγορα.

Αυτό δεν αποτελεί καλό συμπέρασμα για την ικανότητα των εν λόγω οργανισμών να αντιμετωπίσουν τους επικείμενους κανονισμούς για την προστασία της ιδιωτικής ζωής όπως το GDPR της Ευρωπαϊκής Ένωσης και να σταματήσουν τη διάχυση των στοιχείων που έχουν περιέλθει στις ειδήσεις σε τακτική βάση τα τελευταία χρόνια. Δεν υπάρχουν αρκετοί εξειδικευμένοι αστυνομικοί ασφαλείας εκεί έξω σήμερα για να γεμίσει το κενό. Η επιτυχής υιοθέτηση ασφαλών πρακτικών ανάπτυξης και λειτουργίας προϋποθέτει όχι μόνο βαθιά τεχνική κατανόηση αλλά και κρίσιμη γνώση των δεξιοτήτων επικοινωνίας, πειθούς και εξισορρόπησης για την απόκτηση συμμετοχής από τις ομάδες ανάπτυξης και (πιο συχνά) από τα ανώτερα στελέχη.

Βρισκόμαστε ακόμα μέσα σε έναν φαύλο κύκλο όπου η εξειδίκευση της ασφάλειας δεν είναι αρκετά ελκυστική, διότι, ιστορικά, οι εταιρείες δεν έδωσαν αρκετή προτεραιότητα στην ασφάλεια. Οι ίδιες αυτές εταιρείες αντιμετωπίζουν τώρα μια αυξανόμενη ανάγκη να αναβαθμίσουν το παιχνίδι ασφαλείας τους, αλλά στερούνται τους ανθρώπους.

Επομένως, ποιες είναι οι επιλογές μας για να γεφυρωθεί αυτό το κενό ασφαλείας;

Ας ξεκαθαρίσουμε πρώτα ότι η αυτοματοποίηση των βασικών ελέγχων ασφάλειας (όπως τρωτά σημεία τρίτων) και των οδηγιών κωδικοποίησης και η ενσωμάτωση της ασφάλειας στον αγωγό παράδοσης πρέπει να είναι μια αμέτοχη για οποιαδήποτε ομάδα ανάπτυξης προϊόντων σήμερα. Το σύνολο εργαλείων στο DevSecOps συνεχίζει να επεκτείνεται και ικανοποιούνται τόσο οι απαιτήσεις της κοινότητας όσο και της επιχείρησης.

Πού είναι λοιπόν το κενό; Είναι στο "hacker νοοτροπία", μια συνεχής αναζήτηση νέων πιθανών φορέων επίθεσης στις εφαρμογές μας (το "άγνωστο άγνωστο"). Και είναι επίσης στο δύσκολο έργο της σημαντικής ανάλυσης κινδύνου και της μοντελοποίησης απειλών και της μετάφρασής της σε δράσεις και προτεραιότητες. Αυτές απαιτούν βαθιά σκέψη και φόντο ασφάλειας, δεν είναι κάτι που οι ομάδες ανάπτυξης προϊόντων μπορούν να ζητηθούν να λάβουν ως πρόσθετο γνωστικό φορτίο πάνω από τις υπάρχουσες ευθύνες τους.

Το έργο που έκανα και με τον Matthew Skelton έψαξα, καταγράφοντας και εξηγώντας πώς διαφορετικές Devology Topologies μπορούν να διαδραματίσουν σημαντικό ρόλο στην πρόοδο ή την παρεμπόδιση της υιοθέτησης του DevOps, ταιριάζει με το πρόβλημα στο χέρι.

Δύο ξεχωριστές (και ενδεχομένως συμπληρωματικές) τοπολογίες της ομάδας έρχονται στο μυαλό:

Α) Υπεύθυνες Ασφάλειας Πλήρως Διαδεδομένες

Β) Ασφάλεια ως Ενεργοποιητική Ομάδα

Ποιες είναι οι διαφορές, τα πλεονεκτήματα και τα μειονεκτήματα κάθε προσέγγισης;

Πλήρως κοινές ατομικές εγγυήσεις σημαίνει ότι κάθε ομάδα ανάπτυξης προϊόντων ενσωματώνει τουλάχιστον ένα μέλος της ομάδας με σχήματος T με εστίαση στην ασφάλεια. Αυτή η προσέγγιση είναι επαρκής όταν ο οργανισμός προσπαθεί να αναπτύξει διαλειτουργικές αυτόνομες ομάδες ανάπτυξης προϊόντων. Το άτομο ασφαλείας πρέπει να είναι σε θέση να μεταφράσει πολύπλοκες απειλές ασφαλείας σε πραγματικές ιστορίες ασφαλείας και κριτήρια αποδοχής που η ομάδα μπορεί να καταλάβει και να εφαρμόσει από τεχνική άποψη.

Πρέπει επίσης να είναι σε θέση να γνωστοποιούν τους κινδύνους και το δυνητικό κόστος για τον οργανισμό (συμμόρφωση, έσοδα και φήμη) με τρόπο που οι ιδιοκτήτες επιχειρήσεων μπορούν να καταλάβουν και να δώσουν προτεραιότητα. Από την άλλη πλευρά, θα πρέπει να είναι έτοιμοι να εκτελούν καθήκοντα που δεν σχετίζονται με την ασφάλεια, όταν χρειάζεται. Με την πάροδο του χρόνου, η ιδιοκτησία της ανάλυσης ασφαλείας και της εφαρμογής θα πρέπει να εξαπλωθεί στην ομάδα, ενώ το άτομο ασφαλείας σε σχήμα T μπορεί να διατηρήσει μια εμπειρογνωμοσύνη όσον αφορά την παραμονή πάνω στις βέλτιστες πρακτικές ασφάλειας, νέες μεθόδους και εργαλεία, διευκολύνοντας τα εργαστήρια που σχετίζονται με την ασφάλεια, στρατηγική.

Ο στόχος δεν είναι για το άτομο ασφαλείας να διατεθεί όλο το έργο ασφαλείας, διαφορετικά μετακινούμε μόνο ένα σιλό σε ένα μακροοικονομικό επίπεδο (απομονωμένη ομάδα ασφαλείας) σε ένα μικρο-επίπεδο (μεμονωμένο μέλος της ομάδας).
Κάθε ομάδα προϊόντων - που απεικονίζεται ως κίτρινος κύκλος - με 7 έως 9 μέλη της ομάδας, όπου τουλάχιστον ένα είναι άτομο ασφαλείας ασφαλείας σε σχήμα Τ - που απεικονίζεται μέσα σε πράσινο κύκλο - αλλά και άλλοι άνθρωποι συμμετέχουν επίσης σε εργασίες ασφαλείας

Φυσικά, εξακολουθεί να υπάρχει ένα σημαντικό μέρος για μια κεντρική άποψη της ασφάλειας σε πολλά προϊόντα και επιχειρησιακούς τομείς του οργανισμού. Η ανταλλαγή εμπειριών, προσεγγίσεων και αποτελεσμάτων είναι κρίσιμη. Αλλά αυτό μπορεί να πάρει τη μορφή μιας κοινότητας πρακτικής ή μιας συντεχνίας (στο Spotify parlance) των παρακινημένων ατόμων που συγκεντρώνουν σε τακτική βάση, αντί για μια εξειδικευμένη ομάδα (αν και αυτό θα μπορούσε να λειτουργήσει και αν έχετε τα μέσα).

Πλεονεκτήματα

  • Η κυριότητα της ασφάλειας των ομάδων θα αυξηθεί, οδηγώντας σε ταχύτερη (μη τετριμμένη) επίλυση περιστατικών ασφαλείας και, ίσως πιο σημαντικό, μαθαίνοντας από αυτά για να αποφευχθεί η επανάληψη του πόνου στο μέλλον.
  • Δεδομένου ότι οι ομάδες έχουν φυσικό περιορισμό μεγέθους (8-9 άτομα), η αναλογία του προσωπικού ΤΠ σε προσωπικό ασφαλείας (σχήμα Τ) πρέπει να κινηθεί πολύ πιο κοντά στο 10: 1 με την πάροδο του χρόνου με αυτήν την ομάδα τοπολογίας. Η ποικιλομορφία στο τεχνικό υπόβαθρο και μόνο θα αποφέρει οφέλη όσον αφορά την προσέγγιση των προβλημάτων και των προτεραιοτήτων.
  • Η μετάβαση σε αυτήν την τοπολογία θα στείλει ένα αναμφισβήτητο μήνυμα σε όλους στον οργανισμό ότι η ασφάλεια είναι πλέον πολίτης πρώτης κατηγορίας στα προϊόντα μας.

Μειονεκτήματα

  • Το κόστος της εύρεσης και της πρόσληψης (που μπορεί να απαιτεί γενναιόδωρα πακέτα) και η αύξηση των επιπλέον 9 ατόμων ασφαλείας (σε ένα οργανισμό με 100 προγραμματιστές) θα είναι ένα σοβαρό ζήτημα (σύμφωνα με την εισαγωγή στο post αυτό). Αναμείνετε ότι αυτή η μετάβαση θα διαρκέσει πολύ χρόνο, κατά τη διάρκεια της οποίας θα πρέπει να έχετε ένα συνδυασμό μοντέλων (μερικές αυτόνομες ομάδες προϊόντων και μερικές που εξαρτώνται από μια κεντρική ομάδα) και να σκεφτείτε μια στρατηγική για να επιλέξετε ποιες ομάδες αρχίζουν. Για παράδειγμα, ξεκινήστε αναθέτοντας στους πιο έμπειρους χρήστες ασφαλείας τις ομάδες που εργάζονται για τα πιο επικίνδυνα προϊόντα στον οργανισμό σας.
  • Οι αυτόνομες ομάδες υψηλών επιδόσεων βασίζονται στη σταθερότητα και τη γνώση των ισχυρών και αδύναμων σημείων του άλλου. Οποιαδήποτε αλλαγή στη σύνθεση της ομάδας, ακόμα και σε ένα άτομο, αναπόφευκτα θα προκαλέσει κάποια διατάραξη. Η ομάδα μπορεί να αισθάνεται ότι παραδίδει λιγότερα και καθίσταται λιγότερο παραγωγικός, λαμβάνοντας ταυτόχρονα τη νέα γωνία ασφαλείας. Είναι σημαντικό να κατανοεί κανείς ότι αυτό είναι φυσιολογικό και αποδεκτό.
  • Έλλειψη κεντρικού σημείου επαφής για θέματα ασφάλειας. Ειδικά τα ανώτερα διευθυντικά στελέχη μπορεί να αισθάνονται ότι δεν υπάρχει "κανείς στο τιμόνι της ασφάλειας" σε μια αποκεντρωμένη δομή. Η διασφάλιση ότι υπάρχουν κανάλια επικοινωνίας και άνθρωποι που μπορούν να κατευθύνουν τις αιτήσεις για πληροφορίες ασφαλείας στις σωστές ομάδες (ή σε μια κοινότητα πρακτικής) μπορούν να βοηθήσουν εδώ.

Ευρετικά

  • Ο οργανισμός σας διαθέτει ήδη διαλειτουργικές ομάδες, ενσωματώνοντας τους ιδιοκτήτες επιχειρήσεων και φέρει την ευθύνη για την ασφάλεια της ποιότητας και την παρακολούθηση και εκτέλεση των εφαρμογών που αναπτύσσουν;
  • Τα προϊόντα (ή οι υπηρεσίες) εμφανίζουν πολύ διαφορετικά προφίλ κινδύνου;
  • Τα προϊόντα (ή οι υπηρεσίες) τρέχουν σε ετερογενείς τεχνολογικές στοίβες και υποδομές;

Εάν η απάντηση σε ένα ακόμη από τα παραπάνω ερωτήματα είναι καταφατική, τότε αυτή η τοπολογία μπορεί να αποδειχθεί κατάλληλη για την αντιμετώπιση του χάσματος ασφαλείας.

Η ασφάλεια ως μια ομάδα που επιτρέπει την εξουσιοδότηση σημαίνει ότι μια ειδική ομάδα ασφαλείας παρέχει υποστήριξη και καθοδήγηση (για παράδειγμα, παρέχοντας οδηγίες για ασφαλή ανάπτυξη) στις ομάδες ανάπτυξης προϊόντων.

Βασικά, η κεντρική ομάδα ασφαλείας δεν εκτελεί τις πραγματικές εργασίες ανάλυσης και υλοποίησης της ασφάλειας, αλλά προωθεί και καθοδηγεί όπου χρειάζεται.

Είναι εξίσου σημαντικό να συμμετάσχει αυτή η ομάδα από την αρχή του έργου ή της κυκλοφορίας προκειμένου να βοηθήσει την ομάδα προϊόντων να εξετάσει τις συνέπειες, τις προσεγγίσεις και τις πρακτικές ασφαλείας σε κάθε στάδιο του κύκλου ζωής.

Μια εγκάρσια ομάδα ασφαλείας - απεικονιζόμενη κάθετα με γκρι χρώμα - υποστηρίζει τρεις ομάδες προϊόντων - που απεικονίζονται οριζόντια σε πορτοκαλί - με αποτέλεσμα την κοινή ευθύνη για την ασφάλεια - απεικονίζεται ως ανοιχτό πράσινο κύκλο

Πολλές οργανώσεις έχουν υιοθετήσει αυτή την προσέγγιση, συμπεριλαμβανομένων των Spotify και Sportradar. Απαιτεί μια πολύ λιγότερο δραστική διαρθρωτική αλλαγή από το παραδοσιακό "σιλό ομάδας ασφαλείας", καθώς ουσιαστικά μετατοπίζουμε τις ευθύνες αυτής της ομάδας (καθοδήγηση και υποστήριξη παρά εφαρμογή). Αλλά αυτό θα μπορούσε να δυσκολέψει το υπόλοιπο της οργάνωσης να συνειδητοποιήσει πλήρως ότι οι ομάδες προϊόντων αναμένεται να αναλάβουν μεγαλύτερη ευθύνη για την ασφάλεια των συστημάτων τους.

Ο Pablo Jensen, εκπρόσωπος της CST στην Sportradar, μίλησε πρόσφατα για το ρόλο της ειδικής ομάδας ασφάλειας της πληροφόρησης για την προώθηση των κατευθυντήριων γραμμών και των πολιτικών ασφαλείας σε στενή συνεργασία με τις ομάδες προϊόντων, ακούγοντας τα σχόλιά τους και μεταβάλλοντας την πάροδο του χρόνου. Μία από τις πύλες του κύκλου ζωής των έργων τους είναι μια "ικανότητα εκκίνησης για ανάπτυξη", η οποία απαιτεί την έγκριση από την ομάδα ασφάλειας ότι έχουν δοθεί αρκετές σκέψεις για τις συνέπειες στην ασφάλεια και ότι σχεδιάζεται η σχετική εργασία ανάλογα. Αυτή η ομάδα αναφέρει απευθείας τον Διευθύνοντα Σύμβουλο και έχει την εξουσία να σταματήσει την εκτόξευση προϊόντων εάν είναι απαραίτητο.

Ο ρόλος μιας κεντρικής ομάδας ασφάλειας που παρέχει καθοδήγηση αντί να κάνει το έργο της ασφάλειας προϊόντων (Credit: Pablo Jensen, CTO στο Sportradar - διαφάνειες από την παρουσίαση του QCon London 2018)

Πλεονεκτήματα

  • Μικρότερο χρονικό πλαίσιο για να μεταβείτε σε ένα μοντέλο ενεργοποίησης από μια παραδοσιακή απομονωμένη ομάδα ασφαλείας που κάνει το μεγαλύτερο μέρος της εργασίας ασφαλείας.
  • Δεν θα απαιτήσει μεγάλο αριθμό νέων μισθωτών, αποφεύγοντας έτσι όλη τη σχετική προσπάθεια και την ενδεχόμενη διάρρηξη της ομάδας. Στο επίκεντρο αυτό πρέπει να δοθεί έμφαση στην εξασφάλιση της συνολικής ικανότητας της ομάδας που διαθέτει, πέραν των τεχνικών δεξιοτήτων.

Μειονεκτήματα

  • Αυτή η ομάδα πρέπει να μάθει αποτελεσματική επικοινωνία, η οποία από μόνη της είναι καλό. Αυτή είναι μια δεξιότητα που πρέπει να τελειοποιηθεί με την πάροδο του χρόνου, οπότε αρχικά μπορεί να απαιτηθεί η επένδυση σε εξωτερική ή εσωτερική βοήθεια για τον ορισμό επικοινωνιακών στρατηγικών και καθαρού περιεχομένου.
  • Η μετάβαση σε αυτό το μοντέλο στέλνει ένα αδύναμο σήμα σχετικά με την αλλαγή στην εστίαση ασφαλείας. Το σήμα πρέπει να ενισχυθεί και ίσως χρειαστεί να επαναληφθεί για μεγάλο χρονικό διάστημα μέχρι να βυθιστεί ως μέρος της οργάνωσης του οργανισμού.
  • Η εισαγωγή νέων ευθυνών, πρακτικών και εργαλείων μπορεί να αποτελέσει πρόκληση για τις ομάδες ανάπτυξης προϊόντων που βρίσκονται ήδη στο αποκορύφωμά τους. Η κεντρική ομάδα ενεργοποίησης μπορεί να συγκλονιστεί με αιτήματα για βοήθεια και να τεθεί υπό πίεση για να βοηθήσει στην υλοποίηση της ασφάλειας των προϊόντων, κάτι που θα απέτρεπε ολόκληρο τον σκοπό του μοντέλου.
  • Με την πάροδο του χρόνου, η εστίαση ασφαλείας εντός των ομάδων προϊόντων μπορεί να ξεθωριάζει χωρίς να υπάρχει άτομο ασφαλείας που συμμετέχει στον σχεδιασμό απελευθέρωσης / σπριντ της ομάδας και σε καθημερινές εκδηλώσεις. Θα πρέπει να δημιουργηθεί κάποιο είδος διακυβέρνησης για να αποφευχθεί αυτό το φαινόμενο.

Ευρετικά

  • Υπάρχει ένας μικρός αριθμός ομάδων ανάπτυξης προϊόντων (που επιτρέπουν στενότερη συνεργασία με την ομάδα ασφάλειας);
  • Τα μέλη της ομάδας προϊόντων εμφανίζουν ενδιαφέρον για θέματα ασφάλειας και όρεξη για μάθηση (για παράδειγμα, συμμετοχή σε τεχνικά συνέδρια ή συναντήσεις);
  • Μήπως η επίλυση των σχετικών με την ασφάλεια συμβάντων στην παραγωγή συνεπάγεται φυσικά τόσο τους ανθρώπους που ασχολούνται με την ασφάλεια και την ανάπτυξη (σε αντίθεση με ένα παιχνίδι φταίξιμο όπου κάθε πλευρά απομακρύνεται από την ευθύνη);

Εάν η απάντηση σε ένα ακόμη από τα παραπάνω ερωτήματα είναι καταφατική, τότε αυτή η τοπολογία μπορεί να αποδειχθεί κατάλληλη για την αντιμετώπιση του χάσματος ασφαλείας.

συμπέρασμα

Το DevSecOps έχει αναδείξει το προφίλ ασφάλειας στον τομέα της πληροφορικής και η τακτική ροή σοβαρών παραβιάσεων δεδομένων έχει εκθέσει το κενό ασφαλείας στις περισσότερες οργανώσεις. Στη θέση αυτή παρουσίασα δυο πιθανές προσεγγίσεις για να γεφυρώσω αυτό το χάσμα (πλήρως κοινή ασφάλεια υπευθυνότητας έναντι ασφάλειας ως ικανή ομάδα), μαζί με τα πλεονεκτήματα και τα μειονεκτήματά τους, και τα ευρετικά με βάση το πλαίσιο.

Θυμηθείτε ότι η σχεδίαση της ομάδας δεν πρέπει να είναι στατική. Οι οργανισμοί, οι άνθρωποι και οι διαδικασίες εξελίσσονται φυσιολογικά με την πάροδο του χρόνου και αυτό που μπορεί σήμερα να είναι η καλύτερη προσαρμογή μπορεί να είναι το αύριο εμπόδιο για ταχύτερο και ασφαλέστερο λογισμικό. Είναι πολύ πιθανό ένας οργανισμός να κινηθεί αρχικά από μια παραδοσιακή προσέγγιση για το σιλό ασφαλείας σε ένα μοντέλο «ασφάλειας ως δυναμικής ομάδας» κατά την πρώτη και με την πάροδο του χρόνου μετάβαση σε μια δομή "πλήρως επιμεριζόμενων ευθυνών ασφαλείας", καθώς η ευαισθητοποίηση και η εμπειρογνωμοσύνη στην ασφάλεια εξαπλώνεται στις ομάδες προϊόντων.

Τι άλλες τοπικές ομάδες και στρατηγικές ασφαλείας έχετε δει στις οργανώσεις ή τους πελάτες σας; Παρακαλώ σχολιάστε παρακάτω ή στείλτε μου email στο:

μου στο manuelpais dot net