Занимаясь разработкой программного обеспечения, мы в МойОфис знаем, как важны высокие стандарты информационной безопасности. Наши продукты сертифицированы ФСТЭК, что позволяет использовать их для работы с конфиденциальной информацией и в аттестованных системах.
Подход, при котором безопасность продуктов — это головная боль исключительно безопасников, на наш взгляд, неэффективный. Чтобы создавать действительно безопасные решения, необходимо, чтобы Security Champion были и среди разработчиков, и тестировщиков, и других специалистов, работающих над проектом. При наличии определенных знаний в области информационной безопасности они эффективнее смогут выявить уязвимые места продукта именно в своей зоне ответственности.
При этом важно, чтобы участие в вопросах ИБ было добровольным — не потому, что сказало начальство, а потому, что сотрудники сами заинтересованы в создании продуктов, отвечающих высоким стандартам безопасности. Так появилась идея внутреннего комьюнити, клуба, в рамках которого мы могли бы делиться знаниями о механизмах защиты информации со всеми заинтересованными участниками команд разработки.
Привет, Хабр! Меня зовут Николай Кириллов, я руководитель департамента безопасности продуктов в МойОфис. Как несложно догадаться, я со своим департаментом отвечаю за информационную безопасность нашего программного обеспечения. Работа над глобальными проектами требует активного участия ИБ-специалистов, однако гораздо важнее, чтобы в создании безопасных продуктов была заинтересована вся команда разработки. Поэтому в октябре 2022 года мы решили создать клуб информационной безопасности. В этом посте расскажу, как это было и что из этого вышло.
Основные задачи, которые мы перед собой ставили:
Расширение экспертизы сотрудников в сфере информационной безопасности
Поиск и подготовка Security Champion в командах разработки
Подготовка учебных курсов и проведение круглых столов по механизмам защиты продуктов
Почему именно эти задачи? В России спрос на экспертов по информационной безопасности — в ИТ-компаниях и не только — растет с каждым годом. Из-за увеличения количества кибератак и уязвимостей в системах, организации осознают необходимость обеспечения надежной защиты своих данных и приложений. Многие крупные компании имеют целые подразделения или команды, занимающиеся ИБ. Они нанимают экспертов, которые отвечают за разработку и внедрение политик безопасности, мониторинг уязвимостей, анализ инцидентов и обучение сотрудников.
Но не только крупные организации уделяют внимание вопросам ИБ. Все больше малых и средних ИТ-компаний осознают её важность и начинают нанимать экспертов в этой области. Однако поскольку готовность бизнеса в России к внедрению информационной безопасности начала набирать обороты относительно недавно, соответствующие специалисты могут быть еще не так широко распространены, как разработчики программного обеспечения или системные администраторы.
Чем занимаются Security Champions?
Проводят регулярные обзоры безопасности кода и архитектуры приложений, чтобы выявить потенциальные уязвимости и предложить меры по их устранению
Обучают и консультируют разработчиков по вопросам информационной безопасности, чтобы повысить их компетентность в этой области
Активно участвуют в процессе разработки приложений, чтобы обеспечить безопасность с самого начала и предотвратить возникновение уязвимостей
Security Champion из разных команд разработки могут сотрудничать и обмениваться опытом, чтобы повысить уровень безопасности во всей компании
Все описанное выше — огромная и долгая работа, и здорово, что клуб помогает нам закрывать ряд насущных вопросов.
Принципы нашего клуба по ИБ
Клуб по ИБ — это сообщество людей, которым небезразличны качество и безопасность наших продуктов. Мы никого не принуждаем, посещение наших мероприятий абсолютно добровольно. Формат клуба предполагает неформальную, я бы даже сказал, дружескую обстановку, где каждый может может поднять любую тему, касающуюся информационной безопасности, и высказать своё мнение по этому вопросу.
Мы стараемся, чтобы каждому члену клуба, независимо от занимаемой должности и начальных знаний в области ИБ, было комфортно. Именно поэтому первое, что мы сделали — провели вводный вебинар, на котором познакомили участников с основной терминологией и базовыми понятиями, чтобы все могли разговаривать на одном языке, а не чувствовать себя землянином, попавшим на заседание инопланетного конгресса.
В рамках клуба уже успели обсудить такие темы, как:
Безопасная имплементация
Безопасный дизайн
Идентификация, аутентификация и авторизация
Безопасность WEB-приложений
Моделирование угроз
Основы криптографии
TLS и PKI
Безопасность мобильных приложений
SDL
СКЗИ
В целом мы открыты к идеям, и предложения коллег обсудить ту или иную тему только поощряются.
Как проходят встречи
Стать участником клуба может любой желающий, независимо от специализации. Цель нашего сообщества как раз и состоит в том, чтобы привлечь к обсуждению вопросов информационной безопасности специалистов разного профиля. На данный момент во встречах клуба активно участвуют 25 человек из разных отделов. Встречаемся еженедельно, в соответствии с установленной программой, которая заранее анонсируется и доводится до сведения всех сотрудников, на случай, если кто-то помимо участников клуба решит присоединиться к обсуждению.
Встречи проходят в разных форматах:
Изучение тематических материалов и лучших мировых практик в сфере ИБ. Иногда не стоит изобретать велосипед, а лучше обратиться к передовому опыту борьбы с уязвимостями и адаптировать его под себя. Участникам клуба очень понравилась лекция про механизмы защиты оперативной памяти в Windows, такие как DEP, CET, ASLR и механизмы их обхода.
Обсуждение актуальных инфоповодов в области информационной безопасности. Изменения происходят постоянно, в том числе в сфере ИБ, и нам важно держать руку на пульсе и быть в курсе происходящих изменений. Например недавно обсуждали поддельный PoC для CVE-2023-35829 и возможные способы проверки, поскольку стандартные средства не совсем подходят. Остановились на том, что должна превалировать ручная проверка кода. Если вы знаете автоматические системы или утилиты, которые могут ускорить проверку, то буду благодарен, если напишете о них в комментариях.
Обсуждение практических кейсов по интересующим тематикам. Одно дело — знать теорию, а совсем другое — применять ее на практике. Поэтому в рамках клуба мы периодически разбираем внутренние кейсы по найденным уязвимостям и вместе обсуждаем, как решить конкретную проблему или устранить возникшие уязвимости.
Подготовка лекций и учебных материалов для демонстрации внутри компании. То, что является для нас базовыми понятиями, в случае с другими коллегами может быть сложно для понимания, поэтому мы стараемся подать информацию в доступном виде. Сейчас, например, помимо внутренних статей на портал и ссылок на сторонние материалы, разрабатываем внутренний курс по безопасной разработке на С++, а также короткие лекции по основам безопасной разработки и механизмам защиты на всю компанию.
Первые результаты
Мы все еще находимся в процессе тестирования разных форматов и поиске наиболее оптимального для всех членов клуба. Что могу сказать наверняка: наши прошлые встречи не прошли даром. Уже сейчас заметен значительный рост компетенций членов клуба в области ИБ. За прошедшие месяцы, с момента запуска нашего сообщества, специалисты из команд разработки не только освоили базовые понятия информационной безопасности, но и научились смотреть на ПО с точки зрения потенциальных хакеров, которые ищут лазейки для совершения атак. Благодаря знанию разработчиками внутренней кухни, выявлять уязвимости стало гораздо проще.
В рамках клуба мы также создали базу знаний по безопасной разработке и занимаемся постепенным ее наполнением. В ней собраны обучающие материалы, которые мы готовили специально для наших встреч, полезные тематические статьи и книги. Например, на данный момент мы работаем над разделом об атаках на приложения и о методах защиты от них. Очень удобно, когда вся информация есть под рукой и в любой момент можно получить к ней доступ.
Еще одним неочевидным, но очень важным результатом создания клуба стало снижение недопонимания между отделами разработки и безопасности. Программисты стали терпимее относиться к замечаниям безопасников, понимая, чем может грозить неустранение уязвимостей.
Советы для тех, кто хочет запустить клуб по ИБ
Запуск клуба по ИБ был своего рода экспериментом, поэтому в начале приходилось действовать методом проб и ошибок. Сейчас, анализируя свой опыт, могу выделить несколько нюансов, которые стоит учесть при запуске подобного проекта внутри компании.
Заранее подготовьте материал на несколько встреч. Продумайте форматы, проработайте содержание программы, убедитесь, что информация, которую вы собираетесь рассказать, доступна для понимания не только ИБ-специалистам, но и сотрудникам, которые имеют о ней слабое представление. Работая над материалом, уделите внимание и его подаче, чтобы ваши встречи не превратились в скучные лекции. В идеале перед запуском клуба у вас должно быть подготовлен материал на ближайшие 4-5 встреч.
Разделите материалы по уровню подготовки слушателей. Нужно учитывать, что начальный уровень владения темой ИБ у участников клуба может значительно отличаться, и то, что будет интересно, например, сотрудникам отдела маркетинга, будет вызывать скуку у ведущих разработчиков, которым вряд ли нужно будет объяснять самые азы. Поэтому у вас должен быть материал, который будет интересен и полезен слушателям с разным уровнем подготовки.
Привлеките к организации клуба специалиста в области HR. Вам не помешает помощь человека, который непосредственно работает с людьми и сможет их организовать. Это может быть HR-специалист или сотрудник, отвечающий за обучение. Возможно, впоследствии вы сможете обойтись и без него, но на первых порах его помощь будет кстати.
Наладьте обратную связь с участниками клуба. Во-первых, это необходимо для более грамотной организации встреч с учетом пожеланий всех участников. Интересуйтесь, какие вопросы они бы хотели рассмотреть на следующей встрече, попросите оценить материал, который был уже рассмотрен, и что в нем понравилось, а что нет. Это позволит вам более эффективно выстраивать работу клуба. Не менее важна обратная связь для специалистов по ИБ, которые могут обсудить со всеми заинтересованными вопросы безопасности и получить полезную обратную связь.
***
В качестве заключения скажу — не бойтесь сложностей. Даже если всё получится не с первого раза, и вашу идею никто не поддержит, не стоит сразу опускать руки. Пробуйте другие форматы, попросите коллег дать обратную связь, выясните, что конкретно их бы могло заинтересовать, и учитывайте их мнение при организации работы клуба. Возможно, вам нужно выбрать другой день недели для ваших встреч или завести традицию обсуждать вопросы ИБ за пиццей. Главное — не сдавайтесь, и тогда точно всё получится!
