07.12.2012

Cisco SecCon: постскриптум или почему так важен SDLC

Сегодня закончился второй день конференции SecCon, о которой я начал писать вчера. Основным лейтмотивом мероприятия была защита кода во всех ее проявлениях и на всех стадиях его жизненного цикла - начиная от разработки и тестирования и заканчивая обучением специалистов. При этом, как я уже писал, хотя мероприятия было рассчитано на сотрудников Cisco (собралось человек 300-350), выступали с докладами представители разных компаний. Если не брать в расчет EMC и Microsoft, то в основном доклады были от небольших компаний, которые занимаются различными аспектами SDLC:

  • Shenick - небольшая компания, которая предлагает виртуализированное решение для эмуляции трафика и тестирование производительности приложений. Работает на базе всех виртуализированных сред (Hyper-V, VMware, Citrix, KVM) и позволяет проводить нагрузочное тестирование совокупной производительностью до 1 Тбит/сек.
  • BreakingPoint (уже часть IXIA) - компания, предлагающая традиционное тестирование, преимущественно сетевого оборудования и средств защиты (МСЭ, IPS и т.д.). К слову сказать, именно BreakingPoint тестирует производительность решений Cisco.
  • KoreLogic - более известная по своему участию в DefCon консалтинговая компания, которая предлагает широкий спектр достаточно традиционных услуг - аудит, пентесты, анализ продуктов, управление инцидентами, мониторинг угроз, обучение и, конечно же, анализ кода на предмет соответствия SDLC.
  • Aspect Security - компания, основной компетенцией которой является обучение в области SDLC и code review (основатель Aspect Security является одним из основателей OWASP). Они предлагают различные программы онлайн-обучения и похоже неплохо существуют в этой нише. Недавно они выпустили облачное решение по анализу Java-приложени, схожее по сути с тем, что предлагает Appercut.
  • Codenomicon Defensics -еще одна небольшая компания, активно развивающаяся в области SDLC. Помимо традиционных услуг по анализу кода, повышению осведомленности и т.п., они разработали мощную платформу Defensics для тестирования защищенности кода различных приложений.




Конференция Cisco SecCon, проводимая уже в пятый раз, не только в очередной раз продемонстрировала внимание, которое западные ИТ-компании уделяют вопросам защищенного программирования и анализа кода с точки зрения информационной безопасности, но и показала, что эта ниша достаточно востребована (и востребованность будет расти) и появляющиеся в ней стартапы не пропадут. Выше перечислено всего 5 компаний, сидящих в достаточно узкой нише рынка ИБ, но при этом каждой находится и свой заказчик и свой рынок. Вопреки расхожему мнению, что разработчикам невыгодно вкладываться в SDLC и на этой теме денег не сделаешь, конференция Cisco SecCon показала, что это не так. И в России пока этот флаг пока никто не поднял и не несет с высоко поднятой головой (некоторые зачатки есть в блоге Евгения Родыгина). Даже те компании, которые работают предлагают услуги в этой нише, занимаются только продажей себя и своих решений, но не повышением осведомленности отрасли.




Эта тема достаточно нова для России, но в условиях рост угроз ИБ и появления ПП-1119, распространяющегося на почти 4.8 миллионов юрлиц и индивидуальных предпринимателей (а именно столько их было по данным Росстата в России в 2011-м году), тема защищенного программирования и анализа кода должна привлечь более активное внимание со стороны отечественных регуляторов. Но пока, насколько я знаю, кроме первых заявлений Банка России о том, что разработчики банковских и платежных приложений в рамках НПС должны соблюдать минимальные требования по ИБ, дело не идет; ни ФСТЭК, ни ФСБ об этом активно не говорят.