Get best of the week

Ahorre tiempo y esfuerzo en la implementación de estándares de desarrollo seguros con OWASP SAMM

El 5 de marzo de 2020, en la oficina de OZON, se celebró la próxima reunión de la sucursal de Moscú de la comunidad OWASP . Parece que resultó genial, pero recientemente se publicó un breve informe con los materiales de la reunión en Habré . El informe se presenta en la misma publicación.oxdef.

Continuando con la serie de informes expresos sobre proyectos de OWASP, hoy hablaremos sobre OWASP SAMM , uno de los proyectos comunitarios más importantes. A principios de año, se lanzó su segunda versión, y esta es una buena razón para hablar más sobre el marco.

¿Lo que es?



La abreviatura SAMM significa Modelo de madurez de Software Assurance, y traducirlo correctamente al ruso es difícil ( como muchos términos en inglés del mundo de TI ). Este proyecto es un modelo de seguridad de software, una base de conocimiento y un marco de documentación que ayuda a construir un ciclo seguro de desarrollo de aplicaciones. Exactamente lo que a menudo falta cuando vienes a una empresa o quieres hacer todo en tu negocio "según el Feng Shui" desde el punto de vista de S-SDLC: implementar todos los "controles" que escuché sobre: ​​SAST, DAST, estudio y Entiende por dónde empezar y dónde seguir adelante.

OWASP SAMM evalúa el nivel actual de seguridad de la información en el desarrollo de software y, sobre la base de esto, le permite crear un programa completo que puede implementar en pasos comprensibles dentro del marco de tiempo especificado, tendrá una lista de actividades y prácticas para la implementación; esta es una gran ventaja. Esto se puede comparar con un libro de texto que puede abrir y seguir.

OWASP SAMM consta de los siguientes módulos

  • Descripción del modelo en sí, el enfoque para construir SDL;
  • El cuestionario es un gran cuestionario, que responde a las preguntas de las cuales comprenderá en qué nivel se encuentra ahora. Esto hará un plan para llegar a la meta deseada.
  • OWASP SAMM. , , . , — - , . , , .

imagen

Detengámonos en el modelo. Tiene un conjunto de funciones comerciales: gestión, diseño, arquitectura, desarrollo, verificación y operaciones. Hubo cuatro funciones comerciales en la versión anterior y cinco en la nueva versión. Tres prácticas de seguridad de la información se aplican a estas funciones comerciales, que deben implementarse, en cada una de estas prácticas hay dos actividades más. Solo 30 actividades que puede planificar de diferentes maneras para alcanzar el objetivo, y el objetivo preciado en este caso es aumentar el nivel de madurez.

OWASP SAMM tiene tres niveles de madurez. Al combinar actividades, presentarlas y evaluarlas, puede comprender las iteraciones y las iteraciones comerciales para pasar a un nuevo nivel. Esto le permite establecer metas y un plan para el año, y avanzar trimestralmente, de modo que después de un año pueda evaluar la efectividad del trabajo realizado.

Hay muchas actividades, como habrás notado. Por ejemplo, en la sección "Capacitación", se describe en detalle lo que puede hacer para aumentar el nivel de conocimiento de los desarrolladores, cómo evaluarlo y si será suficiente para pasar al siguiente nivel. Hay una sección separada sobre la gestión de defectos. Siempre es útil poder evaluar qué tan buenas o malas están las cosas con las vulnerabilidades ahora y compararlas con lo que solían ser para comprender lo que está sucediendo en su producto desde el punto de vista de la seguridad de la información: todo se elimina sistemáticamente y hay algo más. entonces hacerlo.

Trabajar con SAMM


Por lo general, la introducción de prácticas de desarrollo seguras comienza preguntándose a sí mismo: “¿Pero puedo hacer que la seguridad alimentaria en la empresa? ¡Implemente S-SDLC! " y prepárese para esto: comuníquese con los líderes de negocios, desarrollo y equipo para comprender si lo necesitan.

El siguiente paso es evaluar el estado actual. El cuestionario le permite recopilar información de seguridad en una empresa de una gran cantidad de personas. Cuanto más haya, mejor reflejarán los datos la realidad.

Aquí tienes una evaluación del estado actual. Ahora entiendes a dónde debes moverte y a qué propósito ir. En este nivel, observa las metas y forma un plan, y el cuestionario propuesto lo ayudará a clasificarlo en etapas de un mes a un año.

Y luego comienza la diversión: implementar directamente procedimientos de control, por ejemplo, el mismo SAST ( no olvide pensar inmediatamente en las métricas de rendimiento ). Y al final, se despliega: este es un tipo de acción posterior a sus pasos. En esta etapa, comprende que todo lo que ha pensado e introducido, en primer lugar, funciona y, en segundo lugar, es notable, al menos para los "socios comerciales" y también para usted.

En este punto, puedes tomar un descanso para ganar fuerza y ​​pasar al siguiente nivel. Y todo el ciclo comienza de nuevo: con tales iteraciones creará S-SDLC.

Como dije al principio, la pregunta más común cuando se va a implementar S-SDL o SDLC en una empresa es: "¿Dónde comenzar?". Aquí es importante que cada vez que haga esto, tenga la oportunidad de no molestarse en implementar SAST primero, escribir guías usted mismo o llevar a cabo una capacitación, simplemente tome un marco formal y construya su estrategia sobre él y construya como resultado software de seguridad de la información para desarrollar sus aplicaciones. Con esto, OWASP SAMM te ayudará.

Preguntas:


- ¿Puede contarnos sobre su experiencia en la implementación de OWASP SAMM?

- Sobre OWASP SAMM, lo aprendí hace solo un par de años. Todo lo que hicimos en proyectos anteriores fue un presentimiento basado en la experiencia. En SAMM, todo está escrito y, lo más importante, es medible. Finalmente, podrá comprender cuán efectivamente está implementando el cambio. En Ozon, tomamos una sección sobre capacitación y la cultura de la seguridad de la información y en base a ella preparamos una serie de procesos: capacitaciones organizadas, comenzamos a dirigir a nuevos empleados a través de cuestionarios y pruebas de seguridad de la información, realizamos diversas actividades, aumentando el nivel de seguridad de la información en nuestras cabezas. En el futuro, veremos otros módulos.

- ¿Necesito proporcionar capacitación a los gerentes de proyecto para que entiendan para qué sirve S-SDLC?

- En OWASP SAMM en diferentes niveles de madurez, se espera el desarrollo de la capacitación. En el primer nivel, por ejemplo, crea un portal interno donde publica enlaces a recursos útiles. En el siguiente nivel, forme capacitaciones y guías especializadas. En nuestro portal interno hay guías separadas para grupos objetivo: desarrolladores, gerentes, control de calidad. En el tercer nivel, existe la necesidad de medir la calidad y comprender qué tan bien todos han estudiado los materiales y las guías que han pasado; tal vez no se debería permitir que alguien participe en un proyecto particularmente crítico sin un cierto nivel de prueba de seguridad de la información. Pasamos todos estos niveles y pasamos casi inmediatamente al tercero.

— , , . , , , ?

- No puedo decir que la necesidad de capacitación sea más fácil de demostrar que la efectividad de SAST. La efectividad de la seguridad de la información es un tema para un gran informe separado con números, métricas, gráficos. En el primer nivel, puede ser suficiente que tenga estadísticas, por ejemplo, de acuerdo con el puntaje promedio de sus desarrolladores. Para servicios particularmente críticos, esta barra se puede aumentar. Y para demostrarlo, me parece que será más fácil, porque será posible mostrar el liderazgo: el conocimiento de los desarrolladores en el campo de la seguridad de la información está creciendo, porque hay una métrica del número de respuestas correctas. Muchas grandes empresas tienen la práctica de llevar a cabo CTF internos: si ve que muchas personas participan en la competencia, todos están interesados ​​y el número de participantes crece año tras año, esto significa que el nivel de conocimiento está aumentando.Como en toda la seguridad de la información, aquí no hay una métrica: siempre es un conjunto de indicadores por los cuales puede navegar para mostrar dinámicas en ciertas áreas.

- ¿Es este sistema demasiado complicado? ¿No se dispersarán los ojos de quien comienza a trabajar con esto? ¿Quizás deberías primero intentar crear algo tú mismo y luego recurrir a OWASP?

- Él mismo será significativamente más largo. Solo con la ayuda de un enfoque OWASP SAMM más formalizado ( desensamblado ), puede liberar tiempo para otras tareas y no pensar qué hacer primero y con qué números probarse a sí mismo y a la administración que el trabajo es efectivo. En este caso, tomamos OWASP SAMM y en base a esto creamos nuestro propio programa. Le permite acelerar significativamente, al menos al principio, y no perder el tiempo adquiriendo experiencia, recogiendo conos y similares.

More articles:


All Articles