В Москве состоялась презентация платформы непрерывного анализа защищенности приложений Apsafe
В начале ноября в Москве состоялся официальный запуск нового решения информационной безопасности — облачной платформы Apsafe, обеспечивающей внедрение основных практик безопасной разработки (DevSecOps). На мероприятии эксперты УЦСБ и профильные руководители ИБ-подразделений компаний рассказали о предпосылках и условиях, которые формируют тренд на внедрение безопасной разработки, и поделились практикой применения подходов DevSecOps в своих бизнес-процессах.
В условиях стремительного развития технологий и ужесточения законодательства в области информационной безопасности, компании сталкиваются с необходимостью интеграции безопасной разработки в свои процессы. Так, например, Александр Танчук, руководитель отдела информационной безопасности «Дикси», отметил, что когда происходит кратный рост компании, то простой клиентского приложения может приносить колоссальные убытки в выручке. Потери будут измеряться не по дням, а по часам, и очень многое зависит от продуктивного взаимодействия между разработчиками и специалистами по информационной безопасности на ранних стадиях создания приложения.
Однако, как отмечают специалисты УЦСБ, многие команды разработки испытывают сложности с внедрением инструментов DevSecOps, так как большинство решений требуют значительных временных, финансовых затрат, привлечения компетентных специалистов. Новый сервис от Центра кибербезопасности УЦСБ позволит компаниям без лишних затрат и в короткие сроки включать безопасность в процесс разработки, а также решать актуальные задачи бизнеса, связанные с регуляторными требованиями и рисками кибербезопасности.
«Платформа Apsafe просто и быстро встраивается в существующую среду разработки: не надо закупать дополнительные серверы, программное обеспечение, думать, как это интегрировать и обучать специалистов. Использование платформы помогает проводить как анализ защищенности всего ПО, так и с небольшими релизными циклами контролировать его изменения. Важно, что мы не оставляем наших пользователей один на один с найденными уязвимостями и не отдаём необработанные отчёты. Результаты всех проверок платформы верифицируются нашими специалистами — только те проблемы безопасности, которые удалось подтвердить или которым присвоен высокий процент вероятности наступления, попадают в наши отчеты», — рассказал на презентации Евгений Тодышев, руководитель направления «Безопасная разработка» УЦСБ, CPO платформы Apsafe.
Важность интеграции процессов DevSecOps отметили также в своих выступлениях директор департамента информационной безопасности Банка Синара Денис Улейко и директор по кибербезопасности СберТеха Всеслав Соленик. Эксперты подчеркнули, что исправлять ошибки в готовом продукте зачастую дорого или даже невозможно, а применение разрозненных инструментов не даст необходимый эффект: процесс безопасной разработки должен быть максимально встроен в саму разработку, включаться в обеспечение безопасности необходимо еще на стадии проектирования.
О платформе
Платформа Apsafe предоставляет инструменты для анализа защищенности разрабатываемых продуктов (SAST, SCA, DAST, IAC-S, ASOC) с ручной верификацией результатов специалистом по безопасности приложений. Подключение к платформе занимает около 10 дней (альтернативное внедрение инструментов in-house займет до года), выявление уязвимостей с помощью Apsafe занимает не более 5 дней с момента проверки кода инструментами платформы, при этом ее использование не требует изменений в инфраструктуре разработки.
Фото: пресс-служба УЦСБ
О Центре
Центр кибербезопасности — объединение профильных компетенций Уральского центра систем безопасности (УЦСБ) по внедрению передовых практик и технологий для защиты критически важных систем от цифровых угроз. Экспертиза УЦСБ позволяет проводить комплексные аудиты защищенности и выстраивать процессы безопасной разработки ПО для технически сложных программных продуктов и систем, в том числе предназначенных для внедрения на объектах КИИ. По версии аналитических агентств CNews Analytics и TAdviser, УЦСБ входит в топ-100 крупнейших российских ИТ-компаний и в топ-15 крупнейших поставщиков решений для защиты информации. За 17 лет работы УЦСБ реализовал более 4000 проектов для государственных предприятий, компаний из банковского сектора, нефтегазовой, топливно-энергетической, машиностроительной и других отраслей промышленности.