Comments 4
В статье идет речь о максимальной качественной безопасности разработки продукта, где риски взлома оцениваются миллионами, либо необратимой потерей репутации. То есть статья для тех, кто уже отстроил безопасность на хорошем уровне и думает как его повысить. А всех, кто только начал думать об ИБ, статья может отпугнуть.
Прошу не бояться ИБ и подходить к ней по «принципу Парето», о котором отлично рассказал Алексей Лукацкий в докладе "Принцип Парето в информационной безопасности".
Принцип прост – каждый шаг, значительно снижает риски взлома. Для безопасности разрабатываемого продукта я предлагаю ТОП-3:
- Как и указал автор, устранить «недостаточную инвентаризацию», т.е. просто разобраться где, что лежит, что крутиться, какие компоненты задействованы в разработке и продакшн. В процессе может выяснится, что часть серверов, где можно найти исходники ранних версий продукта, давно заброшены и подвержены взлому.
- Инвентаризация административных доступов и проверка репозиториев на предмет сохраненных ключей.
- Сканирование любыми доступными вам сканерами уже отсекут львиную долю низкоквалифицированных злоумышленников, а вам даст уверенность, что у вас нет зияющих дыр и грубых ошибок конфигурирования.
Это уже значительно (с «нуля» до «сносно») повысит уровень защищенности вашего приложения. Но этого не достаточно, чтобы остановить квалифицированного хакера, которого наймет конкурент за $3-5k. Для повышения этой планки необходимо внедрять процессы описанные автором.
Омар, когда уже будет вторая часть?
Сканирование на уязвимости и безопасная разработка. Часть 1