Get best of the week

Sparen Sie Zeit und Mühe bei der Implementierung sicherer Entwicklungsstandards mit OWASP SAMM

Am 5. März 2020 fand im OZON-Büro das nächste Treffen der Moskauer Zweigstelle der OWASP-Gemeinschaft statt . Es scheint großartig geworden zu sein, und kürzlich wurde auf Habré ein kurzer Bericht mit den Sitzungsmaterialien veröffentlicht . Der Bericht wird im selben Beitrag vorgestellt.oxdef.

Wir setzen die Reihe der Expressberichte über OWASP-Projekte fort und werden heute über OWASP SAMM sprechen - eines der wichtigsten Community-Projekte. Anfang des Jahres wurde die zweite Version veröffentlicht - und dies ist ein guter Grund, mehr über das Framework zu sprechen.

Was ist das?



Die Abkürzung SAMM steht für Software Assurance Maturity Model - und die korrekte Übersetzung ins Russische ist schwierig ( wie viele englische Begriffe aus der IT-Welt ). Dieses Projekt ist ein Software-Sicherheitsmodell, eine Wissensbasis und ein Dokumentationsframework, mit dessen Hilfe ein sicherer Anwendungsentwicklungszyklus erstellt werden kann. Genau das, was so oft fehlt, wenn Sie zu einem Unternehmen kommen oder aus Sicht von S-SDLC alles in Ihrem Unternehmen „nach Feng Shui“ tun möchten - um alle „Kontrollen“ zu implementieren, von denen ich gehört habe: SAST, DAST, Studie und Verstehe, wo ich anfangen soll und wo ich weitermachen soll.

OWASP SAMM bewertet das aktuelle Niveau der Informationssicherheit in der Softwareentwicklung. Auf dieser Grundlage können Sie ein vollwertiges Programm erstellen, das Sie in verständlichen Schritten innerhalb des angegebenen Zeitrahmens implementieren können. Sie erhalten eine Liste von Aktivitäten und Vorgehensweisen für die Implementierung - dies ist ein großes Plus. Dies kann mit einem Lehrbuch verglichen werden, das Sie öffnen und befolgen können.

OWASP SAMM besteht aus folgenden Modulen

  • Beschreibung des Modells selbst, des Ansatzes zum Erstellen von SDL;
  • Der Fragebogen ist ein großer Fragebogen, der die Fragen beantwortet, auf deren Ebene Sie sich gerade befinden. Dies wird einen Plan machen, um das geschätzte Ziel zu erreichen.
  • OWASP SAMM. , , . , — - , . , , .

Bild

Lassen Sie uns auf das Modell eingehen. Es verfügt über eine Reihe von Geschäftsfunktionen: Management, Design, Architektur, Entwicklung, Verifizierung und Betrieb. In der vorherigen Version gab es vier Geschäftsfunktionen, in der neuen - 5. Diese Geschäftsfunktionen verfügen über drei Informationssicherheitspraktiken, die implementiert werden müssen, und jede dieser Praktiken verfügt über zwei weitere Aktivitäten. Nur 30 Aktivitäten, die Sie auf unterschiedliche Weise planen können, um das Ziel zu erreichen. In diesem Fall besteht das geschätzte Ziel darin, den Reifegrad zu erhöhen.

OWASP SAMM hat drei Reifegrade. Indem Sie Aktivitäten kombinieren, einführen und bewerten, können Sie Iterationen und Geschäftsiterationen verstehen, um eine neue Ebene zu erreichen. Auf diese Weise können Sie Ziele und einen Plan für das Jahr festlegen und vierteljährlich fortfahren, sodass Sie nach einem Jahr die Effektivität der geleisteten Arbeit bewerten können.

Wie Sie bemerkt haben, gibt es viele Aktivitäten. Im Abschnitt „Schulung“ wird beispielsweise ausführlich beschrieben, wie Sie den Wissensstand der Entwickler verbessern, wie Sie ihn bewerten und ob es ausreicht, um zur nächsten Stufe zu gelangen. Es gibt einen separaten Abschnitt zum Fehlermanagement. Es ist immer nützlich, beurteilen zu können, wie gut oder schlecht die Sicherheitslücken jetzt sind, und sie mit den früheren zu vergleichen, um zu verstehen, was unter dem Gesichtspunkt der Informationssicherheit in Ihrem Produkt geschieht: Wird alles systematisch beseitigt und gibt es noch etwas weiter? dann tu es.

Arbeiten Sie mit SAMM


Normalerweise beginnt die Einführung sicherer Entwicklungspraktiken mit der Frage: „Aber kann ich die Lebensmittelsicherheit im Unternehmen verbessern? Implementiere S-SDLC! “ und machen Sie sich bereit: Kommunizieren Sie mit Unternehmen, Entwicklern und Teamleitern, um zu verstehen, ob sie es brauchen.

Der nächste Schritt ist eine Beurteilung des aktuellen Zustands. Mit dem Fragebogen können Sie Sicherheitsinformationen in einem Unternehmen von einer großen Anzahl von Personen sammeln. Je mehr es gibt, desto besser spiegeln die Daten die Realität wider.

Hier haben Sie eine Einschätzung des aktuellen Zustands. Jetzt verstehen Sie, wohin Sie sich bewegen müssen und zu welchem ​​Zweck Sie gehen müssen. Auf dieser Ebene sehen Sie sich die Ziele an und erstellen einen Plan. Der vorgeschlagene Fragebogen hilft Ihnen dabei, ihn schrittweise von einem Monat bis zu einem Jahr zu sortieren.

Und dann beginnt der Spaß - die direkte Implementierung von Steuerungsverfahren, zum Beispiel des gleichen SAST ( vergessen Sie nicht, sofort über Leistungsmetriken nachzudenken ). Und am Ende werden Sie ausgerollt - dies ist eine Art Nachaktion für Ihre Schritte. In diesem Stadium verstehen Sie, dass alles, was Sie erfunden und eingeführt haben, zum einen funktioniert und zum anderen zumindest für „Geschäftspartner“ und auch für Sie spürbar ist.

An diesem Punkt können Sie eine Pause einlegen, um an Stärke zu gewinnen und zum nächsten Level zu gelangen. Und der gesamte Zyklus beginnt von neuem - mit solchen Iterationen erstellen Sie S-SDLC.

Wie ich gleich zu Beginn sagte, lautet die häufigste Frage bei der Implementierung von S-SDL oder SDLC in einem Unternehmen: „Wo soll ich anfangen?“. Hierbei ist es wichtig, dass Sie bei jeder Gelegenheit die Möglichkeit haben, SAST nicht zuerst zu implementieren, selbst Leitfäden zu schreiben oder Schulungen durchzuführen. Nehmen Sie einfach einen formalisierten Rahmen und bauen Sie Ihre Strategie darauf auf und bauen Sie darauf auf Informationssicherheitssoftware zur Entwicklung Ihrer Anwendungen. Hier hilft Ihnen OWASP SAMM.

Fragen:


- Können Sie uns etwas über Ihre Erfahrungen bei der Implementierung von OWASP SAMM erzählen?

- Über OWASP SAMM habe ich erst vor ein paar Jahren erfahren. Alles, was wir in früheren Projekten getan haben, war erfahrungsgemäß. In SAMM ist alles geschrieben und vor allem messbar. Schließlich können Sie verstehen, wie effektiv Sie Änderungen umsetzen. Bei Ozon haben wir einen Abschnitt über Schulungen und die Kultur der Informationssicherheit besucht und darauf basierend eine Reihe von Prozessen vorbereitet: organisierte Schulungen, führte neue Mitarbeiter durch Fragebögen und Tests zur Informationssicherheit durch, führte verschiedene Aktivitäten durch und erhöhte das Niveau der Informationssicherheit in unseren Köpfen. In Zukunft werden wir andere Module durchlaufen.

- Muss ich Projektmanager schulen, damit sie verstehen, wofür S-SDLC gedacht ist?

- In OWASP SAMM mit unterschiedlichen Reifegraden wird die Entwicklung der Ausbildung erwartet. Auf der ersten Ebene erstellen Sie beispielsweise ein internes Portal, in dem Sie Links zu nützlichen Ressourcen veröffentlichen. Auf der nächsten Ebene - bilden Sie spezielle Schulungen und Anleitungen. In unserem internen Portal gibt es separate Anleitungen für Zielgruppen: Entwickler, Manager, Qualitätssicherung. Auf der dritten Ebene muss die Qualität gemessen und verstanden werden, wie gut jeder die Materialien studiert und die Leitfäden bestanden hat. Vielleicht sollte jemand ohne einen bestimmten Grad an Informationssicherheitstest nicht in ein besonders kritisches Projekt aufgenommen werden. Wir haben alle diese Levels bestanden und sind fast sofort zum dritten übergegangen.

— , , . , , , ?

- Ich kann nicht sagen, dass der Schulungsbedarf leichter nachzuweisen ist als die Wirksamkeit von SAST. Die Effektivität der Informationssicherheit ist ein Thema für einen separaten großen Bericht mit Zahlen, Metriken und Grafiken. Auf der ersten Ebene kann es durchaus ausreichen, dass Sie Statistiken haben, beispielsweise entsprechend der durchschnittlichen Punktzahl Ihrer Entwickler. Für besonders kritische Dienste kann diese Leiste erhöht werden. Und um zu beweisen, scheint es mir einfacher zu sein, weil es möglich sein wird, die Führungsrolle zu zeigen: Das Wissen der Entwickler im Bereich der Informationssicherheit wächst, weil es eine Metrik für die Anzahl der richtigen Antworten gibt. Viele große Unternehmen haben die Praxis, interne CTFs durchzuführen. Wenn Sie sehen, dass viele Menschen am Wettbewerb teilnehmen, jeder interessiert ist und die Anzahl der Teilnehmer von Jahr zu Jahr wächst, bedeutet dies, dass der Wissensstand steigt.Wie bei jeder Informationssicherheit gibt es hier keine einzige Metrik - es handelt sich immer um eine Reihe von Indikatoren, anhand derer Sie navigieren können, um die Dynamik in bestimmten Bereichen anzuzeigen.

- Ist dieses System zu kompliziert? Werden die Augen desjenigen, der damit zu arbeiten beginnt, nicht zerstreut? Vielleicht sollten Sie zuerst versuchen, sich etwas auszudenken, und sich dann an OWASP wenden?

- Er selbst wird deutlich länger sein. Nur mit Hilfe eines formalisierten ( zerlegten ) OWASP SAMM-Ansatzes können Sie Zeit für andere Aufgaben gewinnen und nicht darüber nachdenken, was zuerst zu tun ist und mit welchen Zahlen Sie sich und dem Management dann beweisen, dass die Arbeit effektiv ist. In diesem Fall nehmen wir OWASP SAMM und erstellen darauf basierend unser eigenes Programm. Es ermöglicht Ihnen, zumindest zu Beginn erheblich zu beschleunigen und keine Zeit damit zu verschwenden, Erfahrungen zu sammeln, Zapfen und dergleichen aufzunehmen.

More articles:


All Articles