Журнал "Information Security/ Информационная безопасность" #2, 2023

• 47 Безопасная разраБотка www.itsec.ru 3. Корреляция проблем, обнаруженных различными практиками AST, и их прио- ритизация. Движок AVC определяет статус уязви- мости как истинно положительный или ложноположительный (true positive/false positive) с помощью функции предсказа- ния. Например, при обработке резуль- татов, полученных от ИБ-инструментов с доступом к исходному коду, использу- ется модель лингвистического анализа. Для реализации этого способа исходный код разбивается на лексемы, с помощью алгоритмов-классификаторов устанав- ливается, какие из них чаще всего соот- ветствуют true positive и false positive. В модель выгружаются уязвимости, уже отмеченные как подтвержденные или ложные. На этой выборке происходит обучение. К каждой проблеме прикла- дывается исходный код, на котором она сработала, определяется цепочка вызо- вов, приведшая к уязвимости, уже раз- меченной как true positive или false posi- tive. Лексемы по ходу этой цепочки можно отнести либо к ложным, либо к истинно положительным срабатываниям и добавить к ним соответствующие коэф- фициенты. Такой разбор проводится для каждой уязвимости. В результате полу- чается словарь лексем, который упако- вывается в модель. Когда нужно сделать предсказание по конкретной уязвимости, платформа DevSecOps обращается к модели, кото- рая разбирает исходный код и пришед- ший стек вызовов. Алгоритм, в свою очередь, анализирует лексемы и прого- няет их через свой словарь. На выходе получается взвешенная оценка с веро- ятностью в процентах. Работа модели постоянно оптимизируется, специалисты периодически снимают с нее метрики по оценке точности предсказаний. При необходимости она переобучается на стороне вендора или клиентов. Корреляционная ML-модель работает примерно по такому же принципу. Она получает на вход проблемы безопасно- сти и рассчитывает их кластеризацию или коэффициенты сходства. По этим показателям можно формировать кла- стеры для определения одинаковых про- блем и на их основе группировать уязви- мости и проводить корреляцию. Аналитика Подход к визуальному представлению аналитики, обозначаемый при помощи "светофора" (красного, желтого, зеленого) на дашборде, очень понятен и информа- тивен для пользователя любого уровня. Однако разные категории нуждаются в различных данных. Так, инженеру инте- ресно видеть статистику появления уязви- мости по всему портфелю систем, а иде- альный вариант для высокого руководи- теля – "все хорошо" либо "все плохо", для "плохо" – в чем причина и кто виноват. Благодаря интеграции со всеми скане- рами безопасности и инструментами раз- работки ПО платформа, функционирующая на базе технологии ASOC, позволяет реа- лизовать полноценный Data-Driven – подход к управлению DevSecOps. В рамках про- цессов оркестрации и корреляции инстру- мент в режиме реального времени получает и консолидирует широкий спектр данных, связанных с разработкой, тестированием и безопасностью создаваемых программ- ных продуктов. Это дает возможность ана- лизировать информацию, обеспечивать обратную связь с платформой DevSecOps и организовывать управление всем жиз- ненным циклом безопасной разработки ПО в режиме реального времени. Для этого в инструмент добавляется блок аналитики, где в его рамках вся телеметрия процесса разработки защи- щенных программных продуктов соби- рается в единое хранилище (Data Ware- house, DWH). С помощью технологий искусственного интеллекта (Artificial Intel- ligence, AI) высчитываются и адапти- руются пороговые значения для ключе- вых показателей в контексте "хорошо", "приемлемо", "плохо". На основе полу- ченных данных формируются отчеты, информационные панели, дашборды. Такой дополнительный функционал поз- воляет контролировать уровень безопасно- сти и эффективность ИБ-процессов в раз- резе всех команд и программных продуктов, давать ответы на боли и вопросы разным участникам процесса, от членов совета директоров до инженеров. Это позволяет обеспечить полную прозрачность DevSecOps для всех стейкхолдеров со стороны разра- ботки, безопасности и бизнеса и дает им возможность принимать правильные реше- ния для оптимизации процесса. Рабочее пространство (Workspace) Инструмент, реализующий практику ASOC, может служить единым источником знаний для специалистов компании и пре- доставлять им информацию по связанным с DevSecOps областям, включая в себя: l Application Security – методы тестиро- вания безопасности, принципы работы различных сканеров, оценку зрелости AppSec в соответствии с методологиями BSIMM, OpenSAMM; l требования безопасности – управле- ние моделями угроз, регулирование соот- ветствия критериям защищенности на основе стандартов OWASP ASVS, OWASP MASVS, OWASP ISVS; l соответствие ИБ-стандартам, Compli- ance – обеспечение соответствия требо- ваниям PCI DSS, ОУД4, ГОСТ-57580 и др.; l управление уязвимостями – базы дан- ных проблем ИБ, стандарты безопасного кодирования на разных языках, реко- мендации по устранению ошибок. Информацию, предоставляемую DevSec- Ops-платформой, и данные, подтвержден- ные реальным опытом, удобно собирать в едином рабочем пространстве, например в Confluence. На основе всех этих мате- риалов можно разработать корпоративные курсы и программу лекций, чтобы обучать новых сотрудников и повышать компетен- ции текущих специалистов. Делаем выводы Инструменты, функционирующие на базе технологии ASOC, позволяют решить главные проблемы, возникающие при внедрении процесса безопасной разра- ботки, и построить комплексную платфор- му DevSecOps. Такие решения выступают в качестве единого окна для настройки и оптимизации процессов обеспечения без- опасности, что дает возможность взять их под полный контроль, оптимизировать задачи в нужном направлении и отслежи- вать эффективность DevSecOps. В каче- стве дополнительного и не менее полез- ного функционала инструментов выступает их экспертное "наполнение", данные, прак- тические примеры, которые можно исполь- зовать для обучения сотрудников. Основные инструментальные блоки решений, работающих на основе прак- тики ASOC, во многом реализуются с помощью технологий искусственного интеллекта и машинного обучения. Этот подход постепенно совершенствуется, в перспективе AI/ML можно будет исполь- зовать для более сложных задач, напри- мер автоматизированного исправления дефектов, управления требованиями ИБ и соответствием стандартам регулято- ров, прогнозирования уязвимостей. А значит, в будущем подобные плат- формы позволят вывести DevSecOps на совершенно новый уровень с минималь- ным количеством ручных задач. l Взаимодействие с AI Ваше мнение и вопросы присылайте по адресу is@groteck.ru