Чим займаються AppSec-інженери

За останні декілька років кількість кібератак значно збільшилася, тому фахівці в галузі Application Security мають високий попит на IT ринку. Які завдання вони вирішують та які інструменти юзають у своїй роботі? Розказують експерти NIX.

Хто такі AppSec-інженери

Ці спеціалісти відповідають за безпеку ПЗ на всіх рівнях. В ІТ є Red Team, Blue Team, Purple Team:

• Red Team шукає вразливості системи;
• Blue Team створює захисні механізми, моніторить організацію та мережі;
• у спеціалістів Purple Team є знання та скіли з обох напрямів. 

Для старту кар’єри в Application Security важливо мати базові знання процесів та ролей в ІТ-команді. Досвід розробки також стане у пригоді.

В обов’язки AppSec-команди входить: 

1. Моделювання загроз та рев’ю дизайну/архітектури
   AppSec-інженери долучаються до проєкту відразу після створення архітектури системи. Вони аналізують, як буде побудована система, та виявляють потенційно вразливі місця. 
2. Створення безпечного коду
   Включає в себе комплексне рев’ю коду, впровадження best practices та автоматизацію процесів.
   AppSec-інженери прописують поліси та гайди з безпечного кодстайлу, налаштовують інструменти автоматизації: плагіни для IDE, сканери, інтегровані в CI-процес.
3. Навчання команди практикам захисту софту
   Тренінги для різних фахівців на проєкті можуть бути загальними (огляд базових правил) або спеціалізованими: для девелоперів, аналітиків, QA.
4. Автентифікація, авторизація та контроль доступу
   Це ключові аспекти безпеки додатків. На кожному проєкті вони реалізуються індивідуально, без стандартних моделей. Неправильна реалізація може призвести до проблем з продуктивністю, а у гіршому випадку — до витоку даних.
5. Тестування безпеки
   Коли немає можливості залучити до проєкту тестувальників із Red Team, перевірки безпеки проводять AppSec-фахівці. Вони добре розуміють побудову системи, тому швидко виявляють вразливості.
6. Захист даних
   Головна мета AppSec — переконатися, що дані, які передаються через публічні канали, надійно захищені. Щоб забезпечити цілісність і конфіденційність інформації, вони перевіряють алгоритми шифрування та протоколи передачі даних.
7. Відповідність та керування
   AppSec-команда має перевірити, чи відповідає процес збереження даних тим, чи іншим стандартам. Наприклад, PCI DSS вимагає, щоб дані користувачів зберігалися у зашифрованому вигляді. Це є ключовим критерієм виконання комплаєнсу.
8. Інтеграція DevSecOps
   Вразливості можуть ховатися як у самому проєкті, так і у конфігурації інфраструктури. Зазвичай відповідальність за це лежить на DevOps, але їхня експертиза у сфері безпеки часто обмежена. Тоді AppSec аналізує всі аспекти з позиції DevSecOps, іноді переймає певні обов’язки девопсів.
9. Моніторинг та реагування на інциденти
   Це зона відповідальності Social Operation Center. AppSec-інженери лише визначають кроки, які має прийняти команда в разі кібератаки. Алгоритм дій зазвичай прописується у полісі та інцидент-планах. 

Які інструменти та методології AppSec-команда використовує для виконання цих завдань, читайте у повному матеріалі за посиланням.