#devsecops
Как мы выяснили, непрерывная безопасность охватывает следующие категории:
- Безопасность на основе тестирования,
- Мониторинг и реагирование на атаки (ч. 1 и ч. 2),
- Оценка рисков и усиление безопасности.
Последняя категория в большей степени относится к человеческому фактору, однако при правильном подходе автоматизировать можно любой процесс, поэтому верный подход к управлению рисками должен преследовать следующие цели:
- оценка рисков должна проводиться в пределах небольших итераций, а также максимально часто и быстро;
- приоритет должен быть отдан задачам, которые ориентированы на DevOps;
- оценка рисков должна производиться в рамках команд по безопасности и эксплуатации.
Что касается усиления безопасности или регулярного тестирования безопасности, то оно представляет собой процесс, который внедряется в жизненный цикл продукта, чтобы оказать нагрузку на меры безопасности и смоделировать поведение атакующего.
Традиционно тестирование безопасности включает три области:
- оценку безопасности приложений и инфраструктуры изнутри посредством сканирования уязвимостей, фаззинга, статического анализа кода или контроля конфигурации;
- использование услуг сторонних фирм для проверки безопасности основных сервисов;
- запуск Bug Bounty программ.
Как мы выяснили, непрерывная безопасность охватывает следующие категории:
- Безопасность на основе тестирования,
- Мониторинг и реагирование на атаки (ч. 1 и ч. 2),
- Оценка рисков и усиление безопасности.
Последняя категория в большей степени относится к человеческому фактору, однако при правильном подходе автоматизировать можно любой процесс, поэтому верный подход к управлению рисками должен преследовать следующие цели:
- оценка рисков должна проводиться в пределах небольших итераций, а также максимально часто и быстро;
- приоритет должен быть отдан задачам, которые ориентированы на DevOps;
- оценка рисков должна производиться в рамках команд по безопасности и эксплуатации.
Что касается усиления безопасности или регулярного тестирования безопасности, то оно представляет собой процесс, который внедряется в жизненный цикл продукта, чтобы оказать нагрузку на меры безопасности и смоделировать поведение атакующего.
Традиционно тестирование безопасности включает три области:
- оценку безопасности приложений и инфраструктуры изнутри посредством сканирования уязвимостей, фаззинга, статического анализа кода или контроля конфигурации;
- использование услуг сторонних фирм для проверки безопасности основных сервисов;
- запуск Bug Bounty программ.