Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительное значение для компании и ее бизнеса. Защита таких «бриллиантов короны» — основа эффективной стратегии защиты от киберугроз. Цифровая бизнес-модель, по сути, полностью зависит от доверия. Если взаимодействия с клиентами защищены слабо, то риск может стать существенным.

Преимущество иерархических моделей зрелости перед все более увеличивающимися в размере «плоскими» списками требований очевидно: модели показывают, что нужно сделать прежде всего, заложив фундамент безопасности, а что может подождать, т. к. не имеет смысла без такого фундамента. Продолжая аналогию со строительством, из плоского списка не всегда очевидна очередность и приоритет: какие требования представляют собой фундамент, стены и кровлю, а какие — про расстановку мебели «по фен-шую» и выбор цвета штор на кухне. Именно в продуманных приоритетах требований состоит риск-ориентированность моделей зрелости.

В 2021 году McKinsey провела оценку уровня защищенности более чем 100 компаний и учреждений в ряде отраслей промышленности. Результаты показали, что, хотя некоторые организации в банковской сфере и добились значительного прогресса, большинству отраслей еще многое предстоит сделать для защиты своих информационных ресурсов от угроз и атак. Количество угроз и степень серьезности ущерба от них стремительно растут.

Оценить прогресс в области кибербезопасности организации можно, проанализировав возможности, технологии и процессы управления рисками. Сначала устраняют пробелы, создавая и укрепляя фундамент своей защиты и устойчивости (уровень 1), а затем переходят к созданию операционной модели для повышения профессионализма в области кибербезопасности. Результатом является основанный на зрелости подход к киберриску (уровень 2) — этап, на котором находятся большинство опрошенных компаний.

Снижение корпоративных рисков является целью более продвинутого подхода, основанного на оценке рисков (уровень 3): компании управляют и измеряют эффективность мер защиты и конфиденциальности в рамках системы управления корпоративными рисками, устанавливают пороговые значения аппетита к риску и вовлекают заинтересованные стороны в процесс обеспечения кибербезопасности.

Далее следует уровень 4, область проактивной кибербезопасности, в которой целостная устойчивость и цифровое доверие достигаются за счет преобразования процессов и внедрения технологий следующего поколения. На уровне 4 безопасность встроена в продукты, услуги и процессы (т. н. “конструктивная безопасность” или Security by Design); клиенты, партнеры, и другие внешние стороны вовлекаются в укрепление киберустойчивости.

Модели зрелости кибербезопасности, такие как NIST Cybersecurity Framework (CSF) и OWASP Software Assurance Maturity Model (SAMM), являются важнейшими инструментами для оценки, совершенствования и информирования об уровне защищенности организаций. Их можно адаптировать под себя, постепенно совершенствуя меры защиты.

NIST CSF представляет собой комплексный подход к управлению рисками кибербезопасности, изначально предназначенный для улучшения управления киберрисками критической инфраструктуры, теперь адаптирован для любой отрасли. В ее состав входят 6 основных функций: идентификация, защита, обнаружение, реагирование, восстановление и управление. Эти функции дают высокоуровневое представление жизненного цикла организации для управления рисками кибербезопасности. CSF рекомендует организациям создать два профиля для понимания деятельности в области кибербезопасности — текущий и целевой, чтобы сосредоточиться на желаемых результатах. Они помогают расставить приоритеты улучшений и согласовать методы обеспечения защищенности с требованиями бизнеса. В начале этого года NIST в очередной раз обновил CSF до версии 2. Рекомендую переведенный вариант методики оценки по NIST CSF2 от Дмитрия Шапошникова.

OWASP SAMM - открытый фреймворк фонда OWASP, помогающий сформулировать и реализовать стратегию безопасности приложений и включить ее в жизненный цикл ПО. Она подробно описана и поддается измерению. При этом она достаточно проста, чтобы ей мог следовать даже неспециалист.

У SAMM есть «брат» — модель BSIMM. Они имеют общие корни, заложенные в 2008-2009 гг. BSIMM — описательная модель, принадлежащая Synopsys, которая лицензирует ее другим компаниям. Является инструментом для измерения защищенности ПО. Основной способ ее использования — бенчмаркинг. На сегодня она содержит данные от 130 компаний. К BSIMM обращаются, чтобы узнать, что из того, что делают другие компании, имеет смысл сделать и вам. Одновременное использование SAMM и BSIMM позволяет получить «лучшее из двух миров»: сравнить себя как «с коллегами по цеху», так и с «предыдущей версией себя», а также конкретные рекомендации по самосовершенствованию, выбрав цели на будущее.

Пример результата оценки по модели BSIMM

«Отпрыском» SAMM является модель DSOMM или OWASP DevSecOps Maturity Model, показывающая меры защиты, которые применяются при использовании стратегии DevOps, и способы расстановки приоритетов этих мер.

Нельзя не упомянуть и об отечественной DAF – DevSecOps Assessment Framework, включающей не только набор рекомендаций и лучших практик перечисленных выше моделей, но и большой экспертный опыт команды Jet Security, систематизированный и адаптированный к нашим реалиям. DAF также помогает оценить текущий уровень зрелости процессов безопасной разработки и понять, куда двигаться дальше.

SAMM в отличие BSIMM — предписывающая модель зрелости, т.е. проанализировав свои методы обеспечения защищенности ПО, позволяет за несколько итераций выстроить программу по их постепенному улучшению.

Модель SAMM достаточно гибка, чтобы организации любого масштаба, исповедывающие любой стиль разработки, могли ее адаптировать и внедрить. Она дает возможность узнать, на каком уровне находится ваша организация, и что рекомендуется сделать для перехода на следующий.

При этом SAMM не настаивает, чтобы все достигали максимального уровня по каждому направлению. Каждая организация может выбрать свой целевой уровень для каждой практики, который ей больше всего подходит, и адаптировать модель под свои нужды.

Я уже как-то приводил эту здесь эту картинку, когда писал про ASVS и WSTG, настал черед рассказать и о самой SAMM (простите за каламбур), а заодно и перевести её.

Модель зрелости OWASP SAMM

В основе SAMM лежат 15 практик безопасности, сгруппированных по 5 бизнес-функциям (управление, проектирование, реализация, верификация и эксплуатация).

Практики безопасности — области деятельности, связанной с безопасностью, которые создают основу для обеспечения безопасности соответствующей бизнес-функции.

Практики делятся на 2 потока: A – более поверхностный, B – более углубленный, они охватывают различные аспекты практики и имеют собственные цели, выравнивая и связывая деятельность в рамках практики на разных уровнях зрелости.

Каждая практика содержит набор действий, разделенный на 3 уровня зрелости. Деятельность на более низком уровне обычно проще в исполнении и требует меньшей формализации, чем деятельность на более высоком.

Структура SAMM

Возможности SAMM

  • Оценка: помогает определить свои текущие возможности в сфере безопасности приложений и выявить области, требующие улучшения.

  • Руководство к действию: представляет собой «дорожную карту» для продвижения от базового уровня защищенности до все более передовых.

  • Общение: способствует общению по вопросам безопасной разработки как внутри организации, так и со внешними сторонами.

  • Соответствие требованиям: помогает обеспечить соответствие используемых мер защиты отраслевым стандартам и нормативным требованиям. Благодаря проекту OpenCRE каждое из требований SAMM сопоставлено с аналогичными требованиями из NIST SSDF, ISO27K, PCI-DSS, OWASP ASVS, NIST 800-53 и других стандартах.

Анкета OWASP SAMM

Всего в анкете 90 вопросов, ответить на которые знающий специалист мог бы за пару-тройку часов, но не всегда такой специалист существует, т. к. практики SAMM охватывают достаточно широкий круг вопросов, глубоко знать которые в одиночку трудно даже в небольшой компании. К тому же при самооценке возникает риск предвзятости ответов. А если ответ не совсем достоверный (из-за гордости или, наоборот, страха наказания), то и выводы могут быть не совсем правильные. Именно поэтому к оценке часто привлекают независимых экспертов, с которыми процесс существенно растягивается, но становится более объективным. Резюмируя, модель зрелости отвечает на вопрос ЧТО ДЕЛАТЬ, но не предназначена для ответа на вопрос КТО ВИНОВАТ, потому что напуганный отвечающий вряд ли сможет быть до конца искренним.

Пример результатов оценки по OWASP SAMM

Типичный подход к использованию SAMM заключается в том, чтобы начать с подготовки, пройти через оценку, поставить цель, составить план и реализовать его. SAMM особенно хорош для непрерывного совершенствования, в этом случае цикл выполняется непрерывно, как правило, в течение периодов от 3 до 12 месяцев. Еще раз обратите внимание, что не обязательно всегда выполнять все этапы и все 15 практик. Вы можете использовать SAMM только для оценки своего уровня защищенности или, только, для целеполагания.

Этапы применения модели

Подготовка

  • определение рамок применения SAMM (какие из ваших приложений и практик будут оцениваться — чем меньше охват, тем проще начать)

  • нахождение экспертов по каждому приложению и практике, которые смогут ответить на вопросы анкеты (например, это могут быть разработчики, тестировщики, аналитики, архитекторы, владельцы продуктов)

  • информирование участников об их целях и задачах

    Оценка

  • опрос экспертов о текущем состоянии практик SAMM

  • определение вашего уровня защищенности по результатам опроса на основе скоринга модели

    Целеполагание

  • постановка или обновление целевого уровня защищенности и определение конкретных действий на предстоящий период

  • определение воздействия выбранных целей на бюджет (грубая оценка — 5...10 % от расходов на разработку)

    Составление/обновление дорожной карты изменений

  • обычно включает 4-6 этапов, растянутых на 3...12 месяцев

  • учитывайте требуемые ресурсы и зависимости между активностями, балансируя усилия по их реализации

    Реализация

  • внедряйте меры защиты, которые относятся к этому периоду, учитывая их влияние на процессы, людей, знания и инструменты

    Тиражирование

  • этапы и улучшения должны быть наглядными для всех участников процесса, организуя обучение и общаясь с заинтересованными лицами из числа руководства

  • измеряйте принятие и эффективность внедренных улучшений, проанализировав их использование и влияние в вашей организации.

Для быстрого старта один человек может выполнить первые этапы (подготовка, оценка, целеполагание и составление дорожной карты) за 1-2 дня. Но чтобы убедиться в этом, нужно собрать артефакты, и, конечно, этапы реализации и тиражирования требуют больше времени.

Цикл PDCA для внедрения модели зрелости

Рекомендации по применению SAMM

  • Начинайте с вводного тренинга для ознакомления с моделью.

  • Распределите приложения по категориям в соответствии с их влиянием на вашу организацию. Сосредоточьтесь на приложениях с высокой отдачей.

  • Оценка должна быть единообразной: один и тот же интервьюер задает разным опрашиваемым одни и те же вопросы.

  • Рассмотрите возможность использования различных форматов для сбора данных, например, семинаров и интервью.

  • Убедитесь, что опрашиваемые понимают особенности практик SAMM.

  • Выясните, какие виды деятельности не применимы к данной организации, и учтите это в общей оценке.

  • Каждый уровень SAMM содержит несколько утверждений, при этом не все из них могут быть справедливы для оцениваемой организации. Заранее определите, планируете ли вы дробные оценки.

  • Повторяйте те же вопросы нескольким людям, чтобы повысить качество оценки.

  • Рассмотрите возможность сделать интервью анонимным, чтобы добиться честности.

  • Не воспринимайте формулировки вопросов слишком буквально. Правильный «дух» важнее «буквы».

  • Учитывайте аппетит к риску вашей организации.

  • К legacy ПО особый подход: не требуйте его миграции только из-за мер SAMM, если она не является абсолютно необходимой и по другим причинам.

  • Избегайте узких мест при планировании ресурсов, особенно для специалистов по безопасности.

  • Выявляйте и задействуйте «чемпионов» в командах для тиражирования улучшений по всей организации.

Лучший способ освоить SAMM — начать его использовать. Если вы еще не пробовали, предлагаю потратить день-два на знакомство с моделью, после чего, узнав ее получше, оценить преимущества. Предложения по улучшению перевода приветствуются!