Get best of the week

Hemat waktu dan upaya untuk menerapkan standar pengembangan yang aman dengan OWASP SAMM

Pada tanggal 5 Maret 2020, di kantor OZON, pertemuan komunitas cabang OWASP Moskow berikutnya diadakan . Tampaknya hasilnya bagus, tetapi laporan singkat dengan materi pertemuan baru-baru ini dipublikasikan di Habré . Laporan disajikan dalam pos yang sama.oxdef.

Melanjutkan serangkaian laporan tersurat tentang proyek OWASP, hari ini kita akan berbicara tentang OWASP SAMM - salah satu proyek komunitas paling penting. Pada awal tahun, versi keduanya dirilis - dan ini adalah alasan yang bagus untuk berbicara lebih banyak tentang kerangka tersebut.

Apa itu?



Singkatan SAMM adalah singkatan dari Software Assurance Maturity Model - dan menerjemahkannya dalam bahasa Rusia dengan sulit adalah hal yang sulit ( seperti banyak istilah bahasa Inggris dari dunia TI ). Proyek ini adalah model keamanan perangkat lunak, basis pengetahuan dan kerangka kerja dokumentasi yang membantu membangun siklus pengembangan aplikasi yang aman. Persis apa yang sering kurang ketika Anda datang ke perusahaan atau ingin melakukan segala sesuatu dalam bisnis Anda "menurut Feng Shui" dari sudut pandang S-SDLC - untuk menerapkan semua "kontrol" yang saya dengar: SAST, DAST, belajar dan memahami di mana untuk memulai dan ke mana harus pindah.

OWASP SAMM mengevaluasi tingkat keamanan informasi saat ini dalam pengembangan perangkat lunak, dan atas dasar ini memungkinkan Anda untuk membangun program lengkap yang dapat Anda terapkan dalam langkah-langkah yang dapat dipahami dalam kerangka waktu yang ditentukan, Anda akan memiliki daftar kegiatan dan praktik untuk implementasi - ini merupakan nilai tambah yang besar. Ini dapat dibandingkan dengan buku teks yang bisa Anda buka dan ikuti.

OWASP SAMM terdiri dari modul-modul berikut

  • Deskripsi model itu sendiri, pendekatan untuk membangun SDL;
  • Kuisioner adalah kuisioner besar, menjawab pertanyaan yang mana, Anda akan mengerti pada tingkat apa Anda sekarang. Ini akan membuat rencana untuk mencapai tujuan yang diinginkan.
  • OWASP SAMM. , , . , — - , . , , .

gambar

Mari kita pikirkan modelnya. Ini memiliki seperangkat fungsi bisnis: manajemen, desain, arsitektur, pengembangan, verifikasi, dan operasi. Ada empat fungsi bisnis di versi sebelumnya, dan 5. di versi baru.Tiga praktik keamanan informasi diterapkan pada fungsi bisnis ini, yang perlu diimplementasikan, dalam setiap praktik ini ada dua kegiatan lagi. Hanya 30 kegiatan yang dapat Anda rencanakan dengan cara yang berbeda untuk mencapai tujuan, dan tujuan yang dihargai dalam hal ini adalah untuk meningkatkan tingkat kematangan.

OWASP SAMM memiliki tiga tingkat jatuh tempo. Dengan menggabungkan aktivitas, memperkenalkan dan mengevaluasi mereka, Anda dapat memahami iterasi dan iterasi bisnis untuk naik ke level baru. Ini memungkinkan Anda untuk menetapkan tujuan dan rencana untuk tahun itu, dan melanjutkannya setiap tiga bulan, sehingga setelah satu tahun Anda dapat mengevaluasi efektivitas pekerjaan yang dilakukan.

Ada banyak kegiatan, seperti yang Anda perhatikan. Misalnya, di bagian “Pelatihan”, dijelaskan secara terperinci apa yang dapat Anda lakukan untuk meningkatkan tingkat pengetahuan pengembang, cara mengevaluasinya dan apakah cukup untuk naik ke tingkat berikutnya. Ada bagian terpisah tentang manajemen cacat. Itu selalu berguna untuk dapat menilai seberapa baik atau buruknya masalah dengan kerentanan sekarang dan membandingkannya dengan bagaimana mereka dulu untuk memahami apa yang terjadi pada produk Anda dari sudut pandang keamanan informasi: apakah semuanya secara sistematis dihilangkan dan apakah ada hal lain yang lebih jauh. maka lakukanlah.

Bekerja dengan SAMM


Biasanya, pengenalan praktik pengembangan yang aman dimulai dengan bertanya pada diri sendiri: “Tapi bisakah saya membuat keamanan makanan di perusahaan? Terapkan S-SDLC! " dan bersiap untuk ini: berkomunikasi dengan bisnis, pengembangan, pemimpin tim untuk memahami apakah mereka membutuhkannya.

Langkah selanjutnya adalah penilaian keadaan saat ini. Kuesioner memungkinkan Anda untuk mengumpulkan informasi keamanan di perusahaan dari sejumlah besar orang. Semakin banyak, semakin baik data akan mencerminkan kenyataan.

Di sini Anda memiliki penilaian tentang kondisi saat ini. Sekarang Anda mengerti ke mana Anda harus pindah dan tujuan apa yang harus Anda tuju. Pada level ini, Anda melihat tujuan dan membentuk rencana, dan kuesioner yang diajukan akan membantu Anda mengatasinya secara bertahap dari satu bulan ke satu tahun.

Dan kemudian kesenangan dimulai - langsung menerapkan prosedur kontrol, misalnya, SAST yang sama ( jangan lupa untuk segera memikirkan metrik kinerja ). Dan pada akhirnya, Anda mendapatkan roll out - ini adalah semacam post-action untuk langkah-langkah Anda. Pada tahap ini, Anda memahami bahwa segala sesuatu yang Anda pikirkan dan perkenalkan, pertama, bekerja, dan, kedua, itu terlihat, setidaknya untuk "mitra bisnis" dan juga untuk Anda.

Pada titik ini, Anda dapat beristirahat untuk mendapatkan kekuatan dan pindah ke tingkat berikutnya. Dan seluruh siklus dimulai lagi - dengan iterasi seperti itu Anda akan membangun S-SDLC.

Seperti yang saya katakan di awal, pertanyaan paling umum ketika Anda akan mengimplementasikan S-SDL atau SDLC di sebuah perusahaan adalah: "Di mana untuk memulai?". Penting di sini bahwa setiap kali Anda akan melakukan ini, Anda memiliki kesempatan untuk tidak repot-repot menerapkan SAST terlebih dahulu, menulis panduan sendiri atau melakukan pelatihan - hanya mengambil kerangka kerja formal dan membangun strategi Anda di atasnya dan membangun sebagai hasilnya perangkat lunak keamanan informasi untuk mengembangkan aplikasi Anda. Dengan ini, OWASP SAMM akan membantu Anda.

Pertanyaan:


- Dapatkah Anda memberi tahu kami tentang pengalaman Anda dalam menerapkan OWASP SAMM?

- Tentang OWASP SAMM, saya pelajari hanya beberapa tahun yang lalu. Semua yang kami lakukan dalam proyek sebelumnya didasarkan pada pengalaman. Dalam SAMM, semuanya ditulis, dan yang paling penting - dapat diukur. Akhirnya, Anda akan dapat memahami seberapa efektif Anda menerapkan perubahan. Di Ozon, kami mengambil bagian tentang pelatihan dan budaya keamanan informasi dan berdasarkan hal itu kami menyiapkan sejumlah proses: pelatihan terorganisir, mulai melakukan karyawan baru melalui kuesioner dan pengujian keamanan informasi, melakukan berbagai kegiatan, meningkatkan tingkat keamanan informasi di kepala kami. Di masa depan, kita akan melalui modul lain.

- Apakah saya perlu memberikan pelatihan untuk manajer proyek sehingga mereka mengerti untuk apa S-SDLC?

- Dalam OWASP SAMM di berbagai tingkat kedewasaan, pengembangan pelatihan diharapkan. Pada tingkat pertama, misalnya, Anda membuat portal internal tempat Anda memposting tautan ke sumber daya yang bermanfaat. Di tingkat berikutnya - bentuk pelatihan dan panduan khusus. Di portal internal kami ada panduan terpisah untuk grup target: pengembang, manajer, QA. Pada tingkat ketiga, ada kebutuhan untuk mengukur kualitas dan memahami seberapa baik semua orang telah mempelajari materi dan panduan telah lulus - mungkin seseorang tidak boleh diizinkan masuk ke dalam proyek yang sangat kritis tanpa tingkat uji keamanan informasi tertentu. Kami melewati semua level ini dan hampir segera melewati ke level ketiga.

— , , . , , , ?

- Saya tidak bisa mengatakan bahwa kebutuhan untuk pelatihan lebih mudah dibuktikan daripada efektivitas SAST. Efektivitas keamanan informasi adalah topik untuk laporan besar yang terpisah dengan angka, metrik, grafik. Pada tingkat pertama, mungkin cukup bahwa Anda memiliki statistik, misalnya, sesuai dengan skor rata-rata untuk pengembang Anda. Untuk layanan yang sangat penting, bilah ini dapat ditingkatkan. Dan untuk membuktikan, menurut saya, itu akan lebih mudah, karena akan mungkin untuk menunjukkan kepemimpinan: pengetahuan pengembang di bidang keamanan informasi tumbuh, karena ada metrik dari jumlah jawaban yang benar. Banyak perusahaan besar memiliki praktik melakukan CTFs internal - jika Anda melihat bahwa banyak orang berpartisipasi dalam kompetisi, semua orang tertarik dan jumlah peserta bertambah dari tahun ke tahun, ini berarti tingkat pengetahuan meningkat.Seperti dalam semua keamanan informasi, tidak ada satu metrik di sini - selalu ada seperangkat indikator yang dapat Anda gunakan untuk menunjukkan dinamika di area tertentu.

- Apakah sistem ini terlalu rumit? Akankah mata orang yang mulai bekerja dengan ini tidak akan tersebar? Mungkin Anda pertama-tama harus mencoba membuat sesuatu sendiri, dan kemudian beralih ke OWASP?

- Dirinya akan jauh lebih lama. Hanya dengan bantuan pendekatan SAMW OWASP yang lebih formal ( dibongkar ), Anda dapat meluangkan waktu untuk tugas-tugas lain dan tidak memikirkan apa yang harus dilakukan terlebih dahulu dan dengan angka apa kemudian membuktikan kepada diri sendiri dan manajemen bahwa pekerjaan itu efektif. Dalam hal ini, kami mengambil OWASP SAMM dan berdasarkan itu kami membuat program kami sendiri. Ini memungkinkan Anda untuk secara signifikan mempercepat, setidaknya di awal, dan tidak membuang waktu untuk mendapatkan pengalaman, mengambil kerucut dan sejenisnya.

More articles:


All Articles