Почему отрасли ИБ нужны DevSecOps-инженеры

В условиях постоянного роста киберугроз особенно важно повышать качество, скорость и безопасность разработки программного обеспечения (DevSecOps). Для решения этих задач нужны квалифицированные команды. Рассмотрим, какие специалисты наиболее востребованы в сфере информационной безопасности, какими знаниями и навыками они должны обладать.

Введение

В настоящее время технологически развитые отечественные государственные и коммерческие компании начали активно переходить на так называемые практики разработки безопасных приложений, DevSecOps. При этом известные DevSecOps-технологии зачастую не могут охватить основные потребности отечественных компаний, в том числе по причине отсутствия на рынке зрелых решений классов «спецификация ПО» (SBOM), «тестирование безопасности программных интерфейсов» (API Security Testing), «политика как код» (Policy-as-a-Code), «обеспечение безопасности цепочек поставок ПО» (Software Supply Chain Security), «безопасность инфраструктуры как кода» (Infrastructure as Code Security), «защита контейнеров» (Container Security), «динамическое тестирование защищённости приложений» (DAST) и пр.

Более того, при нынешних проблемных задачах в области безопасности назрела необходимость создать именно отечественный DevSecOps-стек технологий и соответствующих инструментов уровня готовности УГТ 9-12 (согласно критериям, утверждённым постановлением Правительства Российской Федерации от 22 декабря 2020 г. № 2204 «О некоторых вопросах реализации государственной поддержки инновационной деятельности, в том числе путём венчурного и (или) прямого финансирования инновационных проектов…»). Также следует отметить, что из-за кадрового дефицита на рынке отечественные компании испытывают трудности при найме специалистов по разработке безопасных приложений, главным образом DevSecOps-инженеров. По этой причине назрела острая необходимость подготовки и переподготовки таких специалистов.

Сегодня индустрия информационной безопасности сталкивается с новыми вызовами и угрозами. Какие специалисты нужны отрасли в современных реалиях? Для того чтобы ответить на этот вопрос, нужно сначала выделить основные тренды развития сферы информационной безопасности в России.

Во-первых, это общая нехватка квалифицированных кадров. По данным Минцифры России, дефицит кадров в российской отрасли ИТ составляет 500–700 тыс. человек. При этом сфера информационной безопасности, по разным оценкам, испытывает нехватку минимум 100 тыс. человек, а соперничество за кадры быстро растёт. С другой стороны, не все специалисты, выпускаемые сегодня вузами (а это примерно 7 500 специалистов в год), имеют тот уровень квалификации, который нужен компаниям.

Во-вторых, это появление сквозных информационных технологий и реализация программ импортозамещения. С 2018 года в России реализовывается национальная программа «Цифровая экономика Российской Федерации», а с 2012 года — государственная программа «Информационное общество». Они нацелены на защиту критической информационной инфраструктуры государства, цифровой суверенитет, импортозамещение и в целом обеспечение качественными и доступными услугами в области связи и подключения к информационно-телекоммуникационным сетям. Кроме того, согласно указу Президента РФ, отечественные компании (а точнее — значимые объекты критической информационной инфраструктуры) должны отказаться от иностранного программного обеспечения и перейти на российский системный софт до 2025 года. При этом сейчас ведущие отечественные предприятия используют до 65 % западного софта и 95 % такого же «железа».

Какие специалисты нужны

Сегодня особенно востребованны DevSecOps-инженеры — лидеры-разработчики, которые отвечают за развёртывание программного обеспечения, координируют программистов, сисадминов и специалистов по компьютерной безопасности. Дело в том, что в настоящее время большинство отечественных компаний перешли ко внутреннему развитию ИТ-систем. Поэтому стало важным повысить качество, безопасность и скорость разработки ПО за счёт формирования внутренних команд разработки и построения собственного производственного ИТ-процесса. Такие команды включают от 500 до 30 000 штатных и внешних специалистов; каждая из них использует свой набор методов для автоматизации развёртывания приложений в различных средах. Для перехода к практикам DevSecOps в команды нужно включать специалистов по архитектуре и разработке ПО, технологов, тестировщиков и DevSecOps-инженеров. Последние определяют требования по безопасности ПО и контролируют их соблюдение, управляют степенью уязвимости программных систем, разрабатывают шаблоны безопасной архитектуры приложений, внедряют стандарты безопасного программирования и лучшие практики разработки безопасного ПО, внедряют и поддерживают требуемые инструменты информационной безопасности. Среди прочего они строят конвейеры (пайплайны) CI / CD и автоматизируют процессы обеспечения защищённости, следят за настройкой и корректной интеграцией технологического стека в процессы разработки безопасных приложений. Также DevSecOps-инженеры участвуют в формировании общей базы знаний по вопросам безопасной разработки приложений, в создании и обновлении проектной документации, подготовке стандартов, регламентов и пользовательских инструкций и пр.

С какими технологиями должен уметь работать DevSecOps-инженер

DevSecOps-инженер — это специалист, который должен обладать широким спектром навыков и знаний в области технологий обеспечения безопасности и производительности цифровых систем. Важно соблюдать баланс между инновационными разработками и безопасностью, чтобы обеспечить надёжную работу приложений и инфраструктуры. Вот несколько ключевых технологий, с которыми должен уметь работать DevSecOps-инженер.

1. Технология обеспечения безопасности контейнеров (Container Security). В настоящее время контейнеризация представляет собой один из основных трендов в области разработки ПО (на смену монолитным, двух- и трёхзвенным клиент-серверным приложениям приходят микросервисные приложения и контейнерные среды), который позволяет существенно ускорить процесс создания и доставки приложений.
2. Технология создания среды безопасной разработки приложений (Secure Development Environment), которая позволяет управлять рисками при удалённом формате работы и широком использовании компонентов с открытым исходным кодом, тем самым улучшая соответствие требованиям регуляторов и стандартам в области ИБ.
3. Технология своевременного обнаружения и устранения уязвимостей (API Security Testing) позволяет предупреждать атаки злоумышленников на программные интерфейсы (API) путём своевременного исследования и устранения уязвимостей в них.
4. Технология провокационного тестирования (Chaos Engineering) предусматривает реализацию такого подхода к тестированию процессов, в рамках которого создаётся нестабильная среда, устраиваются внезапные сбои и отказы. Этот подход позволяет подготовиться к отражению возможных и ранее неизвестных (и, соответственно, слабо изученных) атак злоумышленников, так называемых «атак хаоса», на протяжении всего жизненного цикла построения цифровых платформ. В результате это помогает улучшить качество процессов разработки безопасного ПО, повысить их защищённость и киберустойчивость, улучшить реагирование на инциденты в безопасности.
5. Облачные технологии. Знание облачных платформ, таких как «Яндекс.Облако», Softline «Мультиоблако», VK Cloud, #CloudМТС, Cloud.ru и других, а также умение с ними работать поможет DevSecOps-инженеру обеспечить масштабируемость и безопасность приложений в облаке. Умение работать с облачными технологиями позволит внедрять методы непрерывного мониторинга для сбора и анализа данных в режиме реального времени, выявлять проблемы с производительностью и оперативно реагировать на инциденты.
6. Технология SBOM (Software Bill of Materials) представляет собой набор инструментов для обработки, анализа и использования структурированных машиночитаемых метаданных, используемых для описания компонентов ПО — библиотек с открытым кодом, модулей от сторонних производителей, проприетарного кода. Другими словами, технология SBOM позволяет инвентаризировать состав используемого ПО, своевременно выявлять и устранять уязвимости ПО, а также определять и контролировать перечень лицензий на сторонние компоненты и библиотеки для снижения правовых рисков. Это способствует требуемой прозрачности работы с зависимостями, помогает отслеживать состояние зависимостей по цепочке поставок ПО, а также позволяет наладить сотрудничество с производителями для своевременного обнаружения и устранения уязвимостей ПО.
7. Технология трансляции политик безопасности в исполняемый код (Policy-as-a-Code) предполагает подход, согласно которому политики (корпоративные правила, архитектурные стандарты, инструкции, требования и т. п.) контролируются, используются и обновляются с помощью кода в автоматизированном режиме. Инструменты Policy-as-a-Code позволяют компаниям увеличить скорость выполнения задач, снизить риски ошибок из-за человеческого фактора, улучшить взаимодействие между сотрудниками одной команды или разных подразделений, повысить точность выполнения всех условий политик. Российский рынок технологий активно развивается, поэтому DevSecOps-инженер должен постоянно следить за новыми тенденциями в области информационной безопасности и разработки программного обеспечения. Понимание ключевых технологий поможет создавать эффективные и безопасные цифровые решения, соответствующие современным требованиям бизнеса и пользователей.

Выводы

В заключение хотелось бы отметить, что роль DevSecOps-инженера становится всё более значимой в контексте быстро развивающихся технологических трендов. С учётом динамичного характера угроз в области информационной безопасности внедрение DevSecOps-подхода в разработку программного обеспечения становится необходимостью. Думаю, что в перспективе ближайших двух-пяти лет спрос на DevSecOps-инженеров будет только расти. Для профессионального становления в этой области специалистам будет необходимо постоянно учиться и расширять свои знания и умения. Поэтому инвестиции в профессиональное образование и совершенствование навыков DevSecOps-инженеров не только помогут удовлетворить растущий спрос на этих специалистов, но и обеспечат устойчивость и конкурентоспособность компаний на рынке.