Слайд 2. Security by Design: риски закладываются на этапе проектирования

Блок 1. Фундамент архитектурного подхода Security by Design: риски закладываются на этапе проектирования Слайд 2 / 15

КРИВАЯ СТОИМОСТИ (COST CURVE): СТОИМОСТЬ ИСПРАВЛЕНИЯ УЯЗВИМОСТИ ПО ЭТАПАМ SDLC (Software Development Life Cycle / жизненный цикл разработки ПО)

ТИПИЧНЫЕ УЯЗВИМОСТИ ПО ЭТАПАМ

Проектирование:ошибки сегментации, отсутствие минимальных привилегий (least privilege), неучтённые внешние интерфейсы

Разработка:SQL-инъекции, зашитые учётные данные (hardcoded credentials), отсутствие валидации входных данных

Тестирование:конфигурационные ошибки, открытые порты, дефолтные пароли

Пользовательское тестирование (UAT):проблемы интеграции с IAM (Identity and Access Management / управление удостоверениями и доступом) / SIEM, несовместимость с политиками

Продуктив:реальные инциденты, эксплуатация публичных CVE (Common Vulnerabilities and Exposures / общие уязвимости и воздействия), атаки на цепочку поставок (supply chain)

СООТНОШЕНИЕ СТОИМОСТИ ИСПРАВЛЕНИЯ

1 : 10 : 100 : 1000 : 10000

ПАРАЛЛЕЛЬ: ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ

Спроектировать здание с правильным расположением хранилища и контуров доступа: дёшево на этапе чертежа.

Перенести сейф в уже построенном здании, в 1000 раз дороже.

Кибербезопасность долго не училась этому принципу, отсюда десятилетие «болтов на готовое» и постоянные инциденты.

КРИТИЧЕСКОЕ ПРАВИЛО

Когда бизнес-руководитель просит «нам нужна новая система X к концу квартала, потом подкрутим безопасность», он не экономит время.

Он гарантирует, что компания заплатит за безопасность в 100-1000 раз дороже.

Ваша роль как руководителя экономбеза: требовать участия ИБ (Information Security / информационная безопасность) в архитектурных решениях с самого начала, не в конце.