Контакты
Подписка 2024

Технологии искусственного интеллекта и машинного обучения в DevSecOps-платформах класса ASOC

Юрий Шабалин, 12/12/22

Финансовые и репутационные показатели компании во многом зависят от безопасности разрабатываемого ПО. Рост киберпреступности, высокая потребность в новых продуктах и сокращение сроков разработки становятся предпосылками для внедрения DevSecOps. По данным зарубежных аналитиков, в текущем году эту методологию будут использовать более 90% [1] организаций-разработчиков. Согласно глобальному отчету о рынке DevSecOps за 2021 г. компании Research and Мarkets, сектор методологии безопасной разработки будет расширяться с максимальным среднегодовым темпом более 25%. Таким образом, к 2028 г. объем мирового рынка составит $17,24 млрд. Сегодня все больше компаний разного масштаба выбирает системы DevSecOps класса ASOC (Application Security Orchestration and Correlation) для безопасной разработки ПО.

Автор: Юрий Шабалин, ведущий архитектор информационной безопасности Swordfish Security

DevSecOps-платформы класса ASOC

В отличие от классических методологий разработки, DevSecOps позволяет интегрировать задачи безопасности во все этапы создания ПО, включая начальные. Реализовать DevSecOps можно разными способами. В качестве альтернативы сложным подходам на рынке есть решения класса ASOC, которые способны сэкономить время, финансы и трудовые ресурсы компании, а также сократить time-to-market.

DevSecOps-платформы класса ASOC могут повысить эффективность тестирования безопасности и обеспечить защиту разрабатываемого ПО, при этом не замедляя сроки поставки. По данным Gartner, приведенным в обзоре Hype Cycle for Application Security, 2021, проникновение подобных решений на рынок составляет от 5 до 20% для клиентов из целевой аудитории. Но на практике распространение этой технологии меньше из-за низкого уровня осведомленности о существовании платформ такого типа.

Решение класса ASOC интегрирует в существующие CI/CD-пайплайны инструменты тестирования безопасности – AST. За счет этого создаются конвейеры ИБ и реализуется переход от DevOps к DevSecOps. Продукт обеспечивает прозрачное взаимодействие в реальном времени между инженерными командами и экспертами ИБ. Платформа осуществляет функциональность оркестрации, то есть настраивает и реализует конвейеры безопасности, а также выполняет корреляционный анализ проблем, найденных инструментами AST, и агрегирует собранные данные, формирует на их основе метрики и отчеты.

Инструменты ASOC по результатам своей работы предоставляют отчеты о рисках безопасности и связанных с ними бизнес-рисках. Помимо этого, платформы интегрируют инструменты сканирования безопасности в процесс разработки ПО. В рамках оркестрации и корреляции DevSecOps платформа в режиме реального времени получает и обрабатывает огромный массив информации, связанной с разработкой, тестированием и безопасностью. Все эти данные позволяют наладить обратную связь с платформой и настроить интеллектуальное управление всем жизненным циклом безопасной разработки ПО.

Рис. 1. Роль платформы ASOC в процессе DevSecOps

Настройка интеллектуального управления

В платформу класса ASOC можно добавить инструменты анализа собранных данных. Для этого необходимо создать дополнительный функциональный модуль для консолидации, хранения и анализа полученной информации. Вот как это можно сделать.

Шаг 1. Собрать данные от инструментов разработки ПО и сканирования безопасности и загрузить их в специальное хранилище данных (Data Warehouse).

Шаг 2. Сформировать набор метрик на основе собранных данных.

Шаг 3. Добавить к метрикам бизнесконтекст и определить ключевые показатели эффективности (KPI).

Шаг 4. Разработать дашборды для управления платформой DevSecOps на основе исходных данных, метрик и KPI.

Анализировать собираемую информацию, а также быстро адаптироваться к происходящим изменениям и улучшать процедуру поставки ПО помогают технологии искусственного интеллекта (AI) и машинного обучения (ML).

Чтобы настроить интеллектуальное управление платформой, нужно скорректировать шаги реализации функциональности дополнительного модуля для работы с данными. Первые три шага, указанные выше, остаются прежними, а на четвертом нужно обработать исходные данные, метрики и KPI с помощью технологий искусственного интеллекта и машинного обучения. После этого можно формировать дашборды для управления платформой DevSecOps на основе обработанных данных, метрик и KPI.

С точки зрения практики ASOC технологии AI/ML могут улучшить работу оркестрации и корреляции.

Рис. 2. Реализация функционального модуля для консолидации, хранения и анализа собранных данных


Рис. 3. Настройка интеллектуального управления платформой класса ASOC

Оркестрация

Автоматическая проверка критериев качества ПО

AI в платформах класса ASOC может динамически формировать состав и критерии прохождения каждой точки контроля качества артефактов ПО. Для этого AI использует собранную информацию и данные метрик.

Сформированные искусственным интеллектом точки контроля качества ПО и их критерии позволят решать, готова ли сборка к выходу на следующий этап жизненного цикла ПО. С использованием технологий AI можно продвигать артефакты по DevSecOps-конвейеру в максимально автоматизированном режиме. Решения будут приниматься по итогам сканирования сборки в различных средах – это позволит быстро и непрерывно выпускать релизы.

Автоматизированные точки контроля качества могут включать проверку различных практик AST. Их конфигурация способна динамически изменяться – это зависит от стадии конвейера ИБ. Таким образом, можно установить точки контроля в CI/CD-пайплайнах, настроить их критерии и управлять с помощью этого инструмента качеством ПО.

CI/CD-пайплайн как код

Для масштабной реализации DevSecOps подход к управлению CI/CD-пайплайнами как к коду дает очевидные преимущества. Компании, применяющие такую концепцию, получают механизм для улучшения процессов развертывания, запуска, управления и отслеживания статуса своего ПО. Современные решения класса ASOC позволяют строить конвейеры ИБ "из коробки" нажатием одной кнопки. С помощью технологий AI/ML можно автоматически обнаруживать компоненты ПО и создавать для них CI/CD-пайплайны с точно определенными критериями качества.

AI может инвентаризировать артефакты ПО, в автоматическом режиме создавать сквозные конвейеры и заранее встраивать в них вызовы инструментов ИБ на основе контекста и ряда параметров разрабатываемого продукта. Технологии AI также способны динамически определять порядок и количество контрольных точек качества ПО в каждом конвейере CI/CD. Этот подход помогает ускорить выпуск продуктов, поскольку весь процесс, от первого коммита в ветке до выхода финального релиза, тщательно контролируется.

Корреляция

Технология AVC как часть процесса разработки ПО

Технологии AI/ML дают возможность построить механизм корреляции проблем безопасности AVC (Application Vulnerability Correlation) на основе данных, полученных из инструментов тестирования безопасности. Процесс корреляции включает в себя ML-модель, которая может автоматически отфильтровывать ложноположительные срабатывания, выявлять дубликаты и однотипные проблемы ИБ и группировать их в единый дефект ИБ.

Этот механизм значительно сокращает время, необходимое на устранение проблем безопасности. Таким образом, команда может сосредоточиться на крайне важных уязвимостях и нарастить скорость распознавания угроз в разрабатываемом ПО.

Автоматизированное руководство по устранению уязвимостей

Среди обнаруживаемых проблем всегда встречаются типовые уязвимости, в том числе критические, которые можно устранить несложными способами. Технология AVC находит и приоритизирует дефекты ИБ, а также автоматически предоставляет рекомендации по устранению проблем.

Платформы ASOC умеют собирать данные об уязвимостях из различных сканеров безопасности с помощью практик тестирования – SAST, SCA, DAST и т.д. Если внедрить технологии AVC и предоставить им подробные стандарты и детальные рекомендации по безопасному кодированию для каждого языка программирования, то это позволит технологиям формировать шаблоны защищенного кода, настроенные под особенности реализации DevSecOps в компании.

Управление соответствием требованиям ИБ

При разработке ПО одним из важных аспектов является соответствие индустриальным стандартам ИБ и требованиям регуляторов. Процесс управления требованиями можно полностью автоматизировать в рамках жизненного цикла продуктов – это значительно облегчит выполнение задач в компании.

Автоматические проверки на соответствие требованиям и стандартам должны гарантировать, что все критерии соблюдены и ПО можно выпускать в промышленную эксплуатацию. В рамках платформ класса ASOC технологи AI/ML позволяют организовать непрерывный мониторинг соответствия на основе статуса точек контроля качества ПО с возможностями предиктивного анализа. По итогам мониторинга команда будет получать заключение о соответствии разрабатываемого ПО необходимым требованиям.

Заключение

Платформы класса ASOC являются эффективными решениями для внедрения DevSecOps. Возможности таких платформ позволяют не только наладить процесс безопасной разработки в компании, но и сделать его максимально автоматизированным за счет технологий

AI и ML и значительно сократить объемы ручного труда, а также сроки поставки ПО на рынок.

Решения класса ASOC представляют собой следующее поколение DevSecOpsплатформ, поскольку они позволяют решать проблемы безопасности для ПО любой архитектуры и сложности без замедления скорости поставки. Но как показывает практика, лишь малая часть организаций знает о платформах ASOC, поэтому компании используют классические подходы внедрения методологии в формате точечной автоматизации без перспектив дальнейшего масштабирования. Однако на рынке уже есть эффективные продукты, которые способны облегчить жизнь сразу всем, кто работает над ПО, в том числе от российских вендоров. В частности, такие платформы, использующие технологии AI/ML, интегрируют процесс анализа и контроля ИБ-приложений в существующие процессы DevOps и позволяют сократить сроки реализации DevSecOps до нескольких недель.


Рис. 4. Управление платформой DevSecOps на всех этапах жизненного цикла ПО


  1. https://www.vedomosti.ru/press_releases/2022/01/27/t1-cloud-i-solidlab-otsenili-tendentsii-razvitiya-devsecops-v-rossii 

 

Темы:Машинное обучениеБезопасная разработкаDevSecOpsЖурнал "Информационная безопасность" №5, 2022ASOC

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Управление уязвимостями при разработке ОС Astra Linux
    Владимир Тележников, директор департамента научных исследований “Группы Астра”
    Управление уязвимостями играет ключевую роль в процессе разработки и эксплуатации любой операционной системы.
  • Новые горизонты защиты: как ИИ революционизирует информационную безопасность
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н.
    Юрий Иванов, технический директор ООО “АВ Софт”, руководитель направления машинного обучения, к.т.н., поделился своим опытом реального применения элементов ИИ в продуктах для информационной безопасности.
  • Protestware: как защитить код?
    Владимир Исабеков, ведущий инженер по информационной безопасности Swordfish Security
    Первым и важным шагом к снижению риска от вредоносного Protestware является стандартный инструментарий безопасной разработки.
  • Как организовать процесс безопасной разработки в 5 шагов
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Разберем значение процесса РБПО в организации, его создание, сложности и пути их преодоления.
  • Сертификация СЗИ – курс на РБПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    На рубеже 2023–2024 гг. положение разительно отличается от картины пятитилетней давности. Практики РБПО требуются повсеместно, их выполнение зачастую является одним из базовых пунктов контракта.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать