SecDevOps modellalkalmazás – Információbiztonsági megoldás szervezetek számára

2024. november 29-én a MISA képviselői a BIDV Insurance - BIC által szervezett "Ismerje meg a DevSecOps - Technológiai és biztonsági ellenőrzési megoldások" című workshopon megosztották gyakorlati tapasztalataikat a szervezetek információbiztonságának javítását célzó SecDevOps kultúra kiépítéséről.

A workshopon az információs technológia és az információbiztonság vezető szakértői vettek részt. A MISA részéről Nguyen Quang Hoang úr, az információbiztonsági igazgató, és Bui Duc Truong úr, az információbiztonsági osztály vezetője vett részt.

A workshopon Bui Duc Truong úr, a MISA Információbiztonsági Osztályának vezetője bemutatta a SecDevOps modellt, és megosztotta tapasztalatait a SecDevOps olyan termékekre való alkalmazásáról, amelyek célja a szervezetek információbiztonsággal és -védelemmel kapcsolatos tudatosságának növelése.

A Paloalto Network 2022 novembere és 2023 januárja közötti közös sebezhetőségi és kitettségi (CVE) allokációs katalógusa szerint az alkalmazásokban gyakran a nem biztonságos programozás miatt jelennek meg sebezhetőségek. Ezért a szervezeteknek integrálniuk kell a biztonságot a teljes szoftvertermék-fejlesztési folyamatba. Konkrétan a SecDevOps modell alkalmazására van szükség a szoftverekre a termékfejlesztési folyamat felgyorsítása, a forráskódban található sebezhetőségek 40-50%-ának minimalizálása érdekében, James Rutt - CIO Insight szerint.

A SecDevOps egy olyan fejlesztési modell, amely a DevSecOps-hoz hasonlóan ötvözi a biztonságot, a fejlesztést és az üzemeltetést. A legfontosabb különbség azonban az, hogy a SecDevOps a biztonságot minden egyes személy gondolkodásmódjának és a szoftverfejlesztési folyamat minden lépésének előtérbe helyezi. Ezenkívül ez a modell hangsúlyozza az „egy csapat” munkafolyamatot és kultúrát, amely segíti az egyéneket abban, hogy szorosan együttműködjenek annak biztosítása érdekében, hogy a biztonság végig prioritást élvezzen.

A SecDevOps modell hatékony alkalmazásához a szervezeteknek 3 tényezőt kell szigorúan figyelembe venniük: embereket, folyamatokat és technológiát. Az emberek tekintetében a szervezeteknek fejleszteniük kell az információbiztonsági csapat készségeit, össze kell kapcsolniuk a Sec csapatot a DevOps csapattal, valamint programozási képzést és biztonságos telepítést kell biztosítaniuk. A folyamatot illetően a szervezetek alkalmazhatják a Secure – Software Development Life Cycle (SSDLC) termékéletciklus-modellt a biztonságos szoftverek fejlesztéséhez. A technológiát illetően a szervezetek a következő biztonsági módszereket és eszközöket használhatják a biztonsági réseket észlelni és kezelni: Statikus elemzés (SAST); Dinamikus elemzés (DAST); Interaktív elemzés (IAST); Szoftverösszeállítás-elemzés (SCA).

Truong úr szerint a programozókat biztonsági tudatosságra és biztonságos programozásra kell képezni, azzal a céllal, hogy megakadályozzák a sebezhetőségek megjelenését a szoftverfejlesztési folyamat későbbi lépéseiben.

Vietnám vezető technológiai vállalataként, amely szoftvert, mint szolgáltatást nyújt, és a CYSEEX Szövetség kezdeményezőjeként a MISA elkötelezett amellett, hogy támogassa a szervezeteket fejlett biztonsági megoldások bevezetésében, megvédve az adatokat és az információs rendszereket a kibertámadásoktól.