🤔 Зачем AppSec для бизнеса?

Салют,

Снова по больному, когда есть недопонимание зачем вообще ИБешечка и почему мы вообще существуем.

Давай посмотрим, как можно по другому обьяснить и донести такую мысль до ключевого человека о принятии решения.

Вот какой вариант я могу предложить исходя из своего профиля и что обычно внедряю, когда говорю об этом на конференциях или в целом делюсь с тобой.

1. Что это и зачем нужно?

Мы строим систему, при которой каждая поставка кода в прод проверяется на безопасность автоматически. Сейчас у вас код уходит в продакшн без проверки ИБ, или проверка происходит хаотично — раз в квартал, перед аудитом, после инцидента и т.д. Это как пожарная проверка раз в год вместо пожарной сигнализации и вслучае воспламенения возникают риски которые приходится решать в моменте времени.

2. Что конкретно получается?

Автоматический pipeline, который на каждый commit проверяет код статически (SAST), проверяет зависимости (SCA), сканирует контейнеры, ищет секреты в коде. А также ручное DAST-тестирование web-приложений и API. А также процесс управления найденных уязвимостей — не просто «вот вам PDF-отчёт на 200 страниц», а маршрутизация задач в Jira на конкретных разработчиков с приоритетами и сроками.

3. Почему мы вообще это делаем?

Снижение реального риска инцидента, компрометации, утечки и т.д. Стоимость инцидента против стоимости предотвращения — разница в десятки раз.

4. Почему не может кто-то другой?

Самое простое в этом ответе: нет компетенций в данной области, направления и возможностей правильно строить сразу, а не обучаться в процессе и тратить на это неимоверные косты, иначе бы не было вакансий в поиске для данных позиций. (обычно это работает там, где реально строится все с нуля)

Например, купить лицензию на инструмент типа Checkmarx, PT Application Inspector, Solar appScreener и делать самим разработчикам ручками, где инструмент без экспертизы — это как МРТ-аппарат без врача. Именно поэтому нужен человек, который настроит правила под ваш стек, отфильтрует ложные срабатывания (достигают более 70% от общих сработок), приоритизирует по реальному риску для бизнеса, встроит в pipeline и т.д. Просто купить сканер и запустить — получите отчёт на 500 страниц, с которым никто не знает что делать и как это решается, плюс что бы получить отчет придется повозиться с настройкой, даже если будет интеграция и настройка от вендора/ интегратора - это дополнительные косты, которые во много раз дороже обойдутся

Но мы внутри уже знаем инфраструктуру, процессы, контуры, Gitlab, Nexus. Мы не тратим 2 месяца на погружение. Плюс мы не просто сканируем и отдаём отчёт — мы строим процесс, который работает после нашего ухода. Автоматизация остаётся у вас, pipeline остаётся у вас, команда обучается и начинает реально работать с этим руками, а не просто бездумно выполняет очередные требования, которые не заточены под их стек.

5. Что получает в итоге заказчик?

• Полностью развёрнутая и настроенная инфраструктура ИБ-тестирования

• Результаты комплексного анализа защищённости

• Работающий автоматизированный pipeline ИБ в CI/CD с Quality Gate

• Процесс управления уязвимостями через ASOC/ ASPM и Jira

• Управление секретами (Vault)

• Процесс обработки инцидентов ИБ

• Аналитические отчёты с оценкой рисков, триажем и рекомендациями

• Документация: UML pipeline, технический мануал, рекомендации

• Обученная команда — через совместную работу, консультации и отработку ложно позитивных срабатываний уязвимостей

• Готовый фундамент для дальнейшего повышения зрелости DevSecOps

ПС: ну и накидывай сверху от своего кейса, но явно ты, как и я, периодами уже замучался отвечать на такие вопросы и какой то шаблон тебе пригодится

ППС: а скоро тронем еще маркетинг и немного воронки для AppSec, ну да - тут приходится тоже как то с этим работать и как бы только так прокачиваешься 🙃

#devsecops #appsec #paper #reco #pmi #humanres