Сигурност

Сигурността трябва да е част от базовия дизайн на ИТ системите

Александър Главчев

Повечето организации днес са наясно, че трябва да възприемат нови технологии и непрекъснато да правят иновации, за да останат конкурентоспособни и занапред. В бързането да модернизират своите системи и операции често те въвеждат множество уязвимости в своите бизнеси, излагайки се на нарастващи рискове.

Междувременно броят на потенциалните нападатели, готови да използват тези слаби места, също бележи непрекъснат ръст, като достъпът до зловредни инструменти и услуги вече е само на един клик разстояние. Хакерите отдавна не проникват в чужди системи за забавление и далеч невинаги става дума само за кражба на чувствителни данни. Наблюдава се огромен ръст на политически мотивираните атаки, често дори на държавно ниво.

Станахме свидетели и на възхода на т.нар. хактивизъм и на кибертероризма, които също се нареждат сред основните заплахи за киберсигурността в световен мащаб.

Какво представлява подходът Security by Design?
Твърде много компании възприемат реактивен подход по отношение на сигурността, като предприемат мерки едва след като е възникнал инцидент, открита е грешка, наложени са глоби или е прието ново законодателство. Според проучването на EY Global Information Security 2020 сред почти 1300 мениджъри по киберсигурност 65% от бизнес лидерите обмислят какво да правят едва след като вече е станало твърде късно.

Съществува и друг подход - проактивен, прагматичен и стратегически, който отчита риска и сигурността още в началото на всяка нова инициатива. Той се казва Security by Design (SbD).

SbD е подход към сигурността, който позволява формализиране на дизайна на инфраструктурата и автоматизиране на управлението, като целта е реализиране на възможност за вграждане на сигурност във всяка част от процеса на ИТ мениджмънта. На практика това означава разработване на софтуер, който постоянно контролира сигурността по последователен начин, вместо ръчно да се отделя време за ръчно конфигуриране и "закърпване" на ОС на отделни сървъри.

Този подход към системния дизайн не е нов, но нарастването на популярността на публичните облаци го направи много по-лесен за изпълнение. Amazon Web Services например активно популяризира модела. Други доставчици също популяризират подобни концепции, често наричани Secure DevOps, Security Automation, Security-as-Code или SecOps. Практиката става дори по-важна с увеличаването на комплексността на ИТ системите.

Не означава ли обаче това, че компаниите вече не се нуждаят от традиционни специалисти по сигурност, а само от специализиращи в сферата сигурността DevOps инженери? Съвсем не.

Когато специалистите по сигурността възприемат този подход, те имат много по-голямо въздействие, отколкото преди. Това може да се разглежда като възможност за специалистите да получат това, за което винаги са мечтали: да въведат сигурността по-рано в процеса на разработка. Желаните спецификации могат да се залагат в шаблони и да е ясно, че те винаги се прилагат. Това означава, че вече не са необходими консултации при всяка съществена промяна на възприет шаблон. Това трябва да доведе до по-малко монотонни дейности и повече фокус върху реални проблеми.

Сигурност по време на цифровата трансформация
Подходът Security by Design не избягва опасностите, а по-скоро е насочен към осигуряване на доверие в системи, проекти и данни, така че организациите да могат да издържат на повече рискове.

Например в постоянно нарастващото поле на изкуствения интелект (ИИ) необходимостта от такъв подход става все по-ясна. Двете най-често срещани форми на машинно обучение - без надзор и под надзор, са основни цели за атаки. Резултатите, получени от тези методи, зависят от алгоритмите, които са заложени в тях. Дори най-съвременните и добре обмислени такива ще доведат до непредвидими резултати, ако подадените данни са манипулирани. Редица анализатори предупреждават, че днес повечето съществуващи цифрови системи вече са изложени на риск от подобни саботажи.

Тъй като ИИ разширява обхвата на автоматизираните решения, се увеличават и възможните вектори на атаки. Борбата с тях в случая е чрез протоколи за управление на данните, техният произход и управление на достъп до ядрото на системата с ИИ.

Нарастващата популярност на Интернет на нещата (IoT) е още един убедителен аргумент за подхода Security by Design. Потребителите все повече разчитат на свързани устройства, които те допускат в домовете си и често им поверяват чувствителна и лична информация. Паралелно с това са налице малко гаранции за такова доверие, имайки предвид начина, по който тези устройства обикновено се произвеждат.

IoT продуктите най-често "се сглобяват" на три отделни стъпки. Този процес започва със специализирани максимално прости и евтини чипове. Те се купуват от производители на едро, наети за надграждане продукти по спецификация, направени с комбиниране на различен софтуер, включително такъв с отворен код. И накрая компанията, видима от крайния потребител, зарежда устройствата със собствен интерфейс и ги настройва, така че да работят, но нищо повече. На всеки етап акцентът е върху максимизирането на печалбите, а не върху гарантирането на сигурност.

Този краткосрочен подход, основан на печалбата, е сигурна рецепта за бедствие. Атаки с използване не незащитени потребителски устройства вече се случиха. Затова е важно организациите и институциите, които разработват и използват такива технологии, да възприемат подхода SbD. Тези, които не успеят да го направят, ще се изправят пред безброй рискове, финансови и структурни, често завършващи с непоправим колапс на доверието. Един проактивен, прагматичен и стратегически подход, който взима предвид наличието на риск от самото начало, занапред все повече ще стои в основата на разделението между тези бизнеси, които се провалят, и тези, които процъфтяват в ерата на дигиталната трансформация.

Вграждане на сигурност при проектиране на ИТ системи
В началото на реализирането на SbD е разумно да се проучат разпоредбите за създаване и използване на софтуера, съветват специалисти.

Първата стъпка е да направите равносметка на технологията, която ще се използва, и да се управлява по подходящ начин нейната библиотека чрез проследяване на външния код. Разработчикът на даденото решение трябва да бъде информиран относно нуждите от сигурност и естеството на заплахите, които се очакват. Възможно е съставяне на ръководство, включващо протоколи и разпоредби за ситуации, които означават наличие на заплаха.

С напредването на плана за изпълнение се фокусирайте върху това системата да бъде поддържана и осигурете създаването на подходящи инструменти за тази задача. Тъй като автоматичната проверка може да пропусне някои заплахи, трябва да бъдат добавени инструменти за извършване на ръчни проверки. Включете опция за поверителност при обработка и защита на лични данни. Докато прилагате тези параметри, помислете дали програмата ще изисква постоянен преглед и корекции за постигане на оптимална производителност.

X