Область Application Security очень молодая по сравнению с такими видами безопасности как Network, Personal, Organizational. Год назад для Application Security был опубликован международный стандарт ISO/IEC 27034, что свидетельствует о значимости этой области.
Но, несмотря на это, многие IT компании уделяют Application Security не достаточно внимания в рамках жизненного цикла продуктов. Все они вроде бы уже научились правильно конфигурировать firewall’ы, создавать white/black листы и организовывать права доступа на уровне операционных систем. К сожалению, это с трудом предотвращает уязвимости в приложениях. И большинство последних громких взломов и утечек данных было реализовано именно благодаря “дырам” в приложениях.
Но пост не об этом, вернее не совсем об этом, я хотел бы высказать свою точку зрения на вопрос: чем работа в области безопасности лучше работы разработчика?
А дело в том, что разработчики программного обеспечения замкнуты на определенной технологии и/или на логике приложения, которую требует заказчик.
И на мой взгляд, у разработчика есть следующие пути развития – и все они, к сожалению, тупиковые:
- Первый путь: разработчик не знает технологию. В этом случае у него открывается возможность ее изучить и узнать новые для себя вещи. Как только знание получено – работа для него больше не представляет никакого интереса. Остаются рутинные задачи: фиксы/исправления дефектов, некритическое улучшение или изменение функциональности.
- Второй путь: разработчик знаком с технологией. В этом случае основным интересом для него является реализация бизнес-процессов и бизнес-логики. Опять же, как только требования к проекту выполнены, задачи сводятся к рутине, и начинается поиск нового проекта и/или места работы.
- Третий путь: стартап. Это очень интересный вид деятельности, в котором хочет попробовать себя практически каждый уважающий разработчик. Но, как и в предыдущих случаях, стартап хорош только до определенного момента. Или как только идея теряет свою новизну – технологии выбраны и освоены, бизнес-функциональность реализована – интерес к проекту падает, или прекращается финансирование проекта.
- Четвертый путь: получение материальной прибыли. Как показывает практика, нельзя полностью заменить интерес к работе деньгами. Как только материальная составляющая начинает преобладать над интересом к проекту, разработчик останавливается в развитии и не испытывают какого-либо интереса к профессии. К счастью, в настоящее время, все больше и больше разработчиков при устройстве на работу выбирает место в первую очередь в зависимости от проекта и своего интереса к нему.
В отличие от разработчика, Application Security аналитик должен обладать знаниями как в своей предметной области, так и в области разработки: это и знание протоколов, и изучение внутренних принципов работы приложений, и понимание концепций безопасности, и умение работать с кодом, и способность к анализу архитектуры, и даже владение навыками тестирования приложений. Обе эти области постоянно развиваются и совершенствуются, поэтому люди в безопасности не могут идти по выше обозначенным дорогам разработчиков.
Аналитик проецирует свои знания в безопасности на новые веяния в ИТ области, он всегда совершенствуется, всегда в курсе новых технологий, изменений и новшеств в области информационной безопасности – а зачастую и опережает время, проводя собственные исследования, помогая тем самым в разработке безопасного продукта.
Автор: dmides
