Get best of the week

Gagnez du temps et des efforts sur la mise en œuvre de normes de développement sécurisées avec OWASP SAMM

Le 5 mars 2020, au bureau OZON, la prochaine réunion de la branche moscovite de la communauté OWASP s'est tenue . Il semble que cela se soit bien passé, mais un bref rapport avec le matériel de la réunion a récemment été publié sur Habré . Le rapport est présenté dans le même article.oxdef.

Poursuivant la série de rapports express sur les projets OWASP, nous parlerons aujourd'hui de OWASP SAMM - l'un des projets communautaires les plus importants. Au début de l'année, sa deuxième version est sortie - et c'est une bonne raison de parler davantage du framework.

Ce que c'est?



L'abréviation SAMM signifie Software Assurance Maturity Model - et sa traduction correcte en russe est difficile ( comme beaucoup de termes anglais du monde informatique ). Ce projet est un modèle de sécurité logicielle, une base de connaissances et un cadre de documentation qui aident à créer un cycle de développement d'applications sécurisé. Exactement ce qui fait si souvent défaut lorsque vous venez dans une entreprise ou que vous souhaitez tout faire dans votre entreprise «selon le Feng Shui» du point de vue de S-SDLC - pour mettre en œuvre tous les «contrôles» dont j'ai entendu parler: SAST, DAST, étude et comprendre par où commencer et par où passer.

OWASP SAMM évalue le niveau actuel de sécurité de l'information dans le développement de logiciels, et sur la base de cela, il vous permet de construire un programme à part entière que vous pouvez mettre en œuvre en étapes compréhensibles dans le délai spécifié, vous aurez une liste d'activités et de pratiques pour la mise en œuvre - c'est un énorme plus. Cela peut être comparé à un manuel que vous pouvez ouvrir et suivre.

OWASP SAMM comprend les modules suivants

  • Description du modèle lui-même, l'approche de la construction de SDL;
  • Le questionnaire est un grand questionnaire, répondant aux questions desquelles, vous comprendrez à quel niveau vous êtes maintenant. Cela fera un plan pour atteindre l'objectif chéri.
  • OWASP SAMM. , , . , — - , . , , .

image

Arrêtons-nous sur le modèle. Il a un ensemble de fonctions commerciales: gestion, conception, architecture, développement, vérification et opérations. Il y avait quatre fonctions commerciales dans la version précédente et cinq dans la nouvelle version. Trois pratiques de sécurité de l'information sont appliquées à ces fonctions commerciales, qui doivent être mises en œuvre, dans chacune de ces pratiques, il y a deux autres activités. Seulement 30 activités que vous pouvez planifier de différentes manières pour atteindre l'objectif, et l'objectif chéri dans ce cas est d'augmenter le niveau de maturité.

OWASP SAMM a trois niveaux de maturité. En combinant les activités, en les introduisant et en les évaluant, vous pouvez comprendre les itérations et les itérations commerciales pour passer à un nouveau niveau. Cela vous permet de fixer des objectifs et un plan pour l'année, et de les déplacer tous les trimestres, afin qu'au bout d'un an, vous puissiez évaluer l'efficacité du travail effectué.

Il y a beaucoup d'activités, comme vous l'avez remarqué. Par exemple, dans la section «Formation», il est décrit en détail ce que vous pouvez faire pour augmenter le niveau de connaissances des développeurs, comment l'évaluer et s'il suffira de passer au niveau suivant. Il existe une section distincte sur la gestion des défauts. Il est toujours utile de pouvoir évaluer à quel point les vulnérabilités sont bonnes ou mauvaises avec les vulnérabilités actuelles et de les comparer à ce qu'elles étaient pour comprendre ce qui se passe dans votre produit du point de vue de la sécurité de l'information: tout est-il systématiquement éliminé et y a-t-il autre chose alors fais-le.

Travailler avec SAMM


Habituellement, l'introduction de pratiques de développement sûres commence par se demander: «Mais puis-je faire de la sécurité alimentaire dans l'entreprise? Implémentez S-SDLC! ” et préparez-vous à cela: communiquez avec les entreprises, le développement et les chefs d'équipe pour comprendre s'ils en ont besoin.

La prochaine étape est une évaluation de l'état actuel. Le questionnaire vous permet de collecter des informations de sécurité dans une entreprise auprès d'un grand nombre de personnes. Plus il y en a, meilleures sont les données qui reflètent la réalité.

Ici, vous avez une évaluation de l'état actuel. Vous comprenez maintenant où vous devez vous déplacer et dans quel but vous rendre. À ce niveau, vous regardez les objectifs et formez un plan, et le questionnaire proposé vous aidera à le trier par étapes d'un mois à un an.

Et puis le plaisir commence - la mise en œuvre directe des procédures de contrôle, par exemple, le même SAST ( n'oubliez pas de penser immédiatement aux mesures de performance ). Et à la fin, vous obtenez le déploiement - c'est une sorte de post-action à vos étapes. À ce stade, vous comprenez que tout ce que vous avez pensé et présenté fonctionne, d'une part, et, d'autre part, c'est visible, au moins pour les «partenaires commerciaux» et pour vous aussi.

À ce stade, vous pouvez prendre une pause pour gagner en force et passer au niveau suivant. Et tout le cycle recommence - avec de telles itérations, vous construirez S-SDLC.

Comme je l'ai dit au tout début, la question la plus courante lorsque vous allez implémenter S-SDL ou SDLC dans une entreprise est: «Par où commencer?». Il est important ici que chaque fois que vous allez faire cela, vous avez la possibilité de ne pas vous soucier de la mise en œuvre de SAST en premier, de la rédaction de guides vous-même ou de la formation - prenez simplement un cadre formel et construisez votre stratégie sur celui-ci et construisez en conséquence logiciel de sécurité de l'information pour développer vos applications. Avec cela, OWASP SAMM vous aidera.

Des questions:


- Pouvez-vous nous parler de votre expérience dans la mise en œuvre d'OWASP SAMM?

- À propos d'OWASP SAMM, j'ai appris il y a quelques années. Tout ce que nous avons fait dans les projets précédents était basé sur l'expérience. Dans SAMM, tout est écrit, et surtout - est mesurable. Enfin, vous pourrez comprendre l'efficacité avec laquelle vous mettez en œuvre le changement. À Ozon, nous avons pris une section sur la formation et la culture de la sécurité de l'information et sur cette base, nous avons préparé un certain nombre de processus: organisé des formations, commencé à diriger de nouveaux employés par le biais de questionnaires et de tests sur la sécurité de l'information, mené diverses activités, augmentant le niveau de sécurité de l'information dans nos têtes. À l'avenir, nous passerons par d'autres modules.

- Dois-je fournir une formation aux chefs de projet afin qu'ils comprennent à quoi sert S-SDLC?

- Dans OWASP SAMM à différents niveaux de maturité, le développement de la formation est attendu. Au premier niveau, par exemple, vous créez un portail interne où vous publiez des liens vers des ressources utiles. Au niveau suivant - formez des formations et des guides spécialisés. Dans notre portail interne, il existe des guides distincts pour les groupes cibles: développeurs, gestionnaires, assurance qualité. Au troisième niveau, il est nécessaire de mesurer la qualité et de comprendre dans quelle mesure tout le monde a étudié le matériel et les guides ont réussi - peut-être que quelqu'un ne devrait pas être autorisé à participer à un projet particulièrement critique sans un certain niveau de test de sécurité de l'information. Nous avons passé tous ces niveaux et presque immédiatement passé au troisième.

— , , . , , , ?

- Je ne peux pas dire que le besoin de formation est plus facile à prouver que l’efficacité de SAST. L'efficacité de la sécurité de l'information est un sujet pour un rapport volumineux séparé avec des chiffres, des mesures et des graphiques. Au premier niveau, il peut suffire que vous ayez des statistiques, par exemple, selon le score moyen de vos développeurs. Pour les services particulièrement critiques, cette barre peut être augmentée. Et pour prouver, il me semble, ce sera plus facile, car il sera possible de faire preuve de leadership: les connaissances des développeurs dans le domaine de la sécurité de l'information se développent, car il y a une métrique du nombre de bonnes réponses. De nombreuses grandes entreprises ont l'habitude de mener des FFC internes - si vous voyez que beaucoup de gens participent au concours, tout le monde est intéressé et le nombre de participants augmente d'année en année, cela signifie que le niveau de connaissances augmente.Comme dans toute sécurité de l'information, il n'y a pas de métrique ici - c'est toujours un ensemble d'indicateurs par lesquels vous pouvez naviguer afin de montrer la dynamique dans certains domaines.

- Ce système est-il trop compliqué? Les yeux de celui qui commence à travailler avec cela ne seront-ils pas dispersés? Peut-être devriez-vous d'abord essayer de trouver quelque chose vous-même, puis vous tourner vers OWASP?

- Lui-même sera considérablement plus long. Juste à l'aide d'une approche OWASP SAMM plus formalisée ( démontée ), vous pouvez libérer du temps pour d'autres tâches et ne pas savoir quoi faire en premier et avec quels chiffres puis prouver à vous-même et à la direction que le travail est efficace. Dans ce cas, nous prenons OWASP SAMM et sur cette base, nous créons notre propre programme. Il vous permet d'accélérer considérablement, au moins au début, et de ne pas perdre de temps à acquérir de l'expérience, à ramasser des cônes et autres.

More articles:


All Articles