Чемпіони Безпеки (Security Champions) - посібник
Посібник Чемпіонів Безпеки - це проект, започаткований Олександром Антухом (Alexander Antukh) у рамках підготовки до презентації "Security Champions 2.0" на конференції OWA Bucharest AppSec Conference 2017. У ньому описуються основні кроки для швидкого створення програми Чемпіонів Безпеки незалежно від розміру компанії та зрілості існуючих безпекових процесів.
Хто такі Чемпіони Безпеки?
Згідно з визначенням OWASP, Чемпіони Безпеки – це «активні члени команди, які можуть допомогти прийняти рішення про те, коли задіяти групу безпеки». Вони виступають як основний елемент процесу забезпечення безпеки в рамках продукту або послуги та виконують роль єдиної точки контакту (SPOC) у команді.
Які перваги Чемпіони приносять компанії?
Основні переваги наявності команди Чемпіонів Безпеки:
- Маштабування безпеки за допомогою кількох команд
- Залучення людей, не пов'язаних з безпекою
- Створення культури безпеки
Чемпіони Безпеки - посібник
Шість простих кроків із поясненнями для кожного кроку. Кожен крок включає загальні рекомендації, посилання на джерела та особистий досвід.
1. Визначте команди
Першим кроком у запуску вашої власної програми «Чемпіони Безпеки» є визначення масштабу проблеми, з якою доведеться працювати. Оскільки ми прагнемо більшого охоплення та поширення безпеки, надзвичайно важливо записати це і зберігати в загальновідомому та доступному місці. Хорошим початком будуть індивідуальні співбесіди з власниками продуктів та провідними розробниками.
Типові питання, які ви можете поставити:
- скільки команд працюють над продуктом
- які технології (мови програмування, фреймворки) вони використовують
- де зберігається код та документація
- які автоматизовані інструменти та зовнішні / внутрішні сервіси використовуються для розробки та тестування
- який зараз процес перевірки коду (включаючи перевірку коду безпеки), і хто в ньому бере участь
- чи є інші дії, пов'язані з безпекою продукту, крім перевірки коду
- який календар випуску / цикл / поточний етап продукту
- які найчастіше використовувані канали зв'язку до роботи над продуктом
- як зазвичай повідомляють про проблему / помилку безпеки продукту, і хто про це піклується
Результатом цієї вправи має бути сторінка внутрішньої вікі з таблицею, наприклад:
| Продукт | Команда | Технології | Контакт з Безпеки | Технічний Лідер | Власник Продукту |
|---|---|---|---|---|---|
| Продукт 1 | Alpha | Java, Angular |
2. Визначте роль
Суть цього кроку – сформулювати реальні цілі та підготувати чіткий опис ролей для майбутніх Чемпіонів Безпеки. Хоча вимір поточного стану безпеки в групах частково виконано на попередньому кроці, докладний опис побудови глобальної стратегії безпеки AppSec виходить за рамки цієї інструкції - зверніться до існуючих фреймворків, таких як OWASP SAMM, який забезпечує простий та зрозумілий спосіб досягнення цієї мети.
Після визначення програми AppSec та глобальних цілей дуже важливо розрізняти дії, що найбільш підходять для Чемпіонів Безпеки, та співвідносити їх з цією метою. Залежно від поточного стану безпеки у вашій організації, це може включати деякі або всі з наведених нижче:
- проводити та/або організовувати перевірки безпеки в команді
- просувати передовий досвід
- піднімати питання про ризики у існуючому та новому коді
- створювати моделі загроз для нових функціональностей
- проводити та/або організовувати автоматичне сканування
- дослідити звіти про помилки
- брати участь у дослідницьких активностях
Більш детально дії перераховані в результатах сесії Чемпіонів Безпеки на саміті OWASP 2017. Пам'ятайте, що дії можуть поступово розвиватися, пристосовуючись до середньострокової стратегії безпеки!
3. Призначте Чемпіонів
Отже, ролі визначені, тепер настав час призначати Чемпіонів. Для того, щоб цей крок пройшов гладко, спочатку необхідно отримати схвалення керівництва на всіх рівнях – від вищого керівництва та власників продукту до безпосередніх менеджерів команди. Незважаючи на те, що це класичний підхід «згори донизу», це надзвичайно важлива частина, оскільки вона гарантує, що найгірший аргумент, який ви можете почути: «Я не мав часу на безпеку», буде виправлений. Зробіть презентацію певних ролей, переваг для команди та зразкового часу, який Чемпіони витратить на завдання безпеки – 20% має бути достатньо для початку.
Після схвалення наступним кроком буде визначення потенційних Чемпіонів. Сядьте разом із менеджером команди, виберіть кандидатів та проведіть міні-інтерв'ю з кожним із них. Пам'ятайте – справа не у призначенні, а у висуванні! Опишіть роль, очікування та стратегію та покажіть їм особисті переваги від статусу Чемпіона:
- саморозвиток та вміння по-іншому дивитися на речі
- підвищення вартості на ринку
- поліпшення якості продукту
- відвідування конференцій з безпеки
- стати важливою частиною мета-команди безпеки
- веселитися :)
У гіршому випадку попросіть менеджера команди допомогти знайти його – хоча, сподіваюся, ви отримаєте Чемпіонів одразу після першої презентації.
Останнім кроком на цьому етапі буде офіційне призначення - додайте його на сторінку мета-групи безпеки, замінивши тимчасовий «контакт служби безпеки» на «Чемпіон безпеки», придумайте якусь «відзнаку», наприклад [кружки](https://raw .githubusercontent.com/DinisCruz/Book_SecDevOps_Risk_Workflow/bb919b1d48243743bb94e2a6708dba8ad4f3e249/content/2.Risk-workflow/Security-champions/If-you-doimage ampion-mug.jpg ), і познайомте новачка з іншими.
4. Налаштуйте канали зв'язку
Призначені Чемпіони не можуть діяти власними силами, і найкраще це працює, коли вони дійсно відчувають командний дух, тому наступним кроком буде налаштування каналів зв'язку. Залежно від корпоративної культури це може бути:
- приватні канали Slack/IRC
- команди Keybase
- групові чати Skype
- групи Yammer
- Списки поштових розсилок
Насправді чим більше, тим краще - просто переконайтеся, що є простий спосіб поширити важливу інформацію і отримати відгуки. Крім того, налаштуйте періодичну синхронізацію, щоб бачити, як ідуть справи, і разом коригувати короткострокові цілі. Для початку підійдуть зустрічі раз на два тижні.
5. Створіть міцну базу знань
Основна ідея – внутрішня база знань має бути основним джерелом відповідей на питання, пов'язані з безпекою. Крім сторінки мета-команди, яка дозволяє будь-кому швидко знайти потрібний контакт, наступні сторінки виявляться дуже корисними:
- Глобальна стратегія безпеки
- Чітко визначені ролі та процедури безпеки
- Найкращі практики безпечної розробки
- Рекомендовані криптоалгоритми
- Опис загальних ризиків та вразливостей
- Політика паролів
Особливу увагу слід приділяти простим і зрозумілим контрольним спискам, оскільки це найпростіший спосіб розпочати роботу. Приклади контрольних списків:
- Контрольні списки безпеки для веб та мобільних пристроїв
- Контрольний список безпеки сторонніх бібліотек та систем
- Контрольний список безпеки інтерфейсу користувача
- Контрольний список конфіденційності
Хоча створення всього з нуля може виявитися стомливим завданням, існує низка проектів з відкритим вихідним кодом, які можуть значно полегшити ваше життя. Проекти OWASP, такі як Security Knowledge Framework, ASVS та MASVS, а також найкращі галузеві практики (наприклад, стандарти безпечного кодування CERT CERT+Coding+Standards)) стануть чудовою відправною точкою для підвищення вашої бази знань та основою для кількох перших внутрішніх семінарів.
6. Зберігайте зацікавленість
Для створення безперервної та успішної екосистеми Чемпіонів Безпеки дуже важливо постійно підтримувати їх та надавати навчальні матеріали. Нижче ви можете знайти кілька способів підтримати інтерес Чемпіонів та допомогти їм розвиватися як професіонали в галузі безпеки.
Майстер-класи та тренінги
Проводьте періодичні семінари для команд, пояснюйте стратегію, просувайте передовий досвід або просто діліться останніми новинами зі світу безпеки. Організуйте інтерактивну вікторину, оголосіть «Хакерський четвер» або почніть «Місяць помилок». Поговоріть з Чемпіонами та разом вирішите, який формат вам найбільше підходить. Незалежно від того, який формат ви виберете, це, ймовірно, найважливіший момент у всьому посібнику. Підтримуйте їхню мотивацію, і ви дуже скоро будете приємно здивовані!
Регулярні інформаційні бюлетені
Ділиться останніми новинами в галузі безпеки через встановлені канали зв'язку (наприклад, [тижневі збірки з проблем безпеки Ezine] (https://github.com/Simpsonpt/AppSecEzine)). Крім того, почніть щомісячні інформаційні бюлетені з безпеки з оновленнями команд, планами, зізнаннями за хорошу роботу та будь-якою іншою актуальною та цікавою інформацією – це не лише привабить ще більше Чемпіонів, а й стане гарною контрольною точкою для вашої програми безпеки.
Простір Чемпіонів безпеки
Створіть окремий простір у внутрішній wiki та додайте туди спеціальні сторінки, такі як:
- Календар конференції (почніть з цього)
- бібліотека хороших книг та статей з безпеки (почніть з цього)
- слайди з відвіданих конференцій (або почніть з цього)
- «кімнати для ідей та покращень»
Місцеві збори OWASP
Почніть місцеві збори або приєднайтесь до існуючих та запросіть Чемпіонів навчатися та ділитися! Це ще один чудовий спосіб поспілкуватися, зустрітися та обговорити актуальні проблеми, новини та ідеї.
Висновок
Якщо ви виконали всі кроки, тепер у вас має бути працююча програма Чемпіонів Безпеки.
Найкраще в екосистемі Чемпіонів – це не лише масштабованість, а й «побічні вигоди», які отримує ваша організація, головною з яких є розвиток культури безпеки. Згодом вони почнуть пропонувати свої власні ініціативи, брати участь у дослідженнях та розробках та проводити семінари з конкретних продуктів, залучаючи все більше і більше людей і роблячи безпеку «справою кожного», як і має бути.