Автор: Peleus Uhley, главный научный сотрудник и ведущий специалист по безопасности
Саммит OWASP — это не конференция. Это удаленное выездное мероприятие для лидеров OWASP и сообщества, где они обсуждают, как улучшить OWASP. Была серия одночасовых сессий о том, как решать различные темы и что OWASP может предложить, чтобы сделать мир лучше. Это краткое изложение некоторых наиболее интересных сессий, в которых я участвовал с моей личной точки зрения. Эти взгляды никоим образом не являются официальными взглядами OWASP и не предназначены для представления мнений всех, кто участвовал в соответствующих рабочих группах.
Одна сессия, которую я посетил, была посвящена реагированию на инциденты (IR). Часто для группы реагирования пишутся инструкции по реагированию на инциденты. В них рассказывается, как проводить судебную экспертизу, анализировать журналы и выполнять другие задачи реагирования, которыми занимается основная команда IR. Тем не менее, существует возможность создания руководств по реагированию на инциденты, ориентированных на специалистов по безопасности и разработчиков, с которыми команда IR взаимодействует во время инцидента. Кроме того, OWASP может указать, как эта информация связана с их существующими передовыми методами разработки безопасности. Например, один из первых вопросов от группы по связям с инвесторами — как данные о клиентах проходят через приложение. Это позволяет команде IR быстро определить, что могло быть раскрыто. Теоретически модель угроз должна содержать диаграмму такого типа и может стать непосредственной отправной точкой для обсуждения. Кроме того, после IR-события специалисту по безопасности полезно провести посмертный анализ модели угрозы, чтобы определить, как процесс мог бы лучше идентифицировать использованный риск. Многие передовые методы безопасной разработки, рекомендуемые в жизненном цикле разработки безопасности, поддерживают как упреждающие, так и реактивные усилия по обеспечению безопасности. Кроме того, специалист по безопасности должен знать, как связаться с группой по связям с инвесторами и регулярно согласовывать с ними текущие политики реагирования. Эти типы рекомендаций от OWASP могут помочь компаниям убедиться, что ответственный за безопасность в команде разработчиков готов помочь команде IR во время потенциального инцидента. Многие идеи из нашего обсуждения были отражены на этой странице результатов сессии: https://owaspsummit.org/Outcomes/Playbooks/Incident-Response-Playbook.html.
Еще одна интересная дискуссия на саммите касалась внутренних вознаграждений за обнаружение ошибок. Это та область, в которой Девеш Бхатт и я смогли внести свой вклад, основываясь на нашем опыте работы в Adobe. Девеш участвовал в наших внутренних программах поощрения, а также в нескольких внешних программах поощрения. Внутренние награды за ошибки были горячей темой в сообществе безопасности. С одной стороны, во многих компаниях есть сотрудники, которые участвуют в публичных баунти, и было бы здорово сосредоточить эти навыки на внутренних проектах. Сотрудники, участвующие в публичных вознаграждениях за обнаружение ошибок, часто включают общих разработчиков, которые не входят в группу безопасности и, следовательно, не связаны напрямую с внутренними усилиями по тестированию безопасности. С другой стороны, вы хотите избежать создания противоречивых стимулов внутри компании. Если эта тема вас интересует, Питер Окерс из Adobe подробно обсудит созданную им внутреннюю программу вознаграждения за обнаружение ошибок на конференции O'Reilly Security в Нью-Йорке в октябре этого года: https://conferences.oreilly.com/security /sec-ny/public/schedule/detail/62443.
Наконец, была сессия по машинному обучению. Это была недавняя область моих исследований, поскольку это следующий естественный шаг эволюции для применения данных, собранных в ходе нашей работы по автоматизации безопасности. Adobe также применяет машинное обучение к таким проектам, как Sensei. Несмотря на то, что сессия проходила в пятницу, лидеры OWASP пришли на большое количество участников. Мы обсудили, существуют ли способы обмена наборами данных для обучения машинному обучению и методологиями их создания с использованием общих инструментов. Одно из наблюдений заключалось в том, что многие люди все еще плохо знакомы с темой машинного обучения. Поэтому я решил начать с разработки страницы ресурсов машинного обучения для OWASP. Цель страницы не в том, чтобы скопировать страницы существующего вводного контента на страницу OWASP, где она может быстро устареть. Страница также не предназначена для того, чтобы утопить читателя в ссылках на каждую когда-либо созданную ссылку на машинное обучение. Вместо этого он фокусируется на небольшой подборке ссылок, которые полезны для того, чтобы кто-то начал работу с основными понятиями. Затем читатель может найти свой собственный контент, который углубляется в области, которые его интересуют. Например, Coursera предлагает 11-недельный курс по машинному обучению в Стэнфорде, но это может ошеломить человека, который просто ищет общий обзор. Первый черновик моего соломенного предложения для страницы OWASP можно найти здесь: https://www.owasp.org/index.php/OWASP_Machine_Learning_Resources. Поскольку OWASP создает больше контента для машинного обучения, эта страница может стать полезным приложением. Эта страница является только предложением и на данном этапе не является официальным проектом OWASP. Дополнительные идеи из обсуждения семинара можно найти на странице результатов: https://owaspsummit.org/Outcomes/machine-learning-and-security/machine-learning-and-security.html.
OWASP — это группа, управляемая сообществом, к участию в которой приглашаются все желающие. Если вас интересуют эти темы, не стесняйтесь присоединиться к списку рассылки OWASP и начать предлагать больше идей. На саммите было еще несколько отличных сессий, и вы можете найти список результатов каждой сессии здесь: https://owaspsummit.org/Outcomes/.
