ASOC
Application Security Orchestration and Correlation

# SSDLC, SGRC, разработка, дизайн, архитектура, DevOps, SecOps, STRIDE, OWASP и LINDUNN, CI/CD

Обзор продукта

Security Vision ASOC позволяет управлять безопасностью при формировании дизайна и архитектуры приложений, обеспечивать безопасность кода и операционный мониторинг.

Автоматизация позволяет также эффективно решать задачи, связанные с развёртыванием, тестированием и управлением инфраструктурой (включая работу с образами, контейнерами и пакетами).

Применение продукта

Дизайн, архитектура и безопасность кода

Взаимодействие компонентов, границы доверия и моделирование угроз, статический анализ и поиск секретов, проверка зависимостей и автоматическое формирование задач для обеспечения фундамента безопасной разработки. Позволяет выявлять риски на ранних этапах и снизить нагрузку на разработчиков за счёт автоматизации.

Инфраструктура и развертывание

Автоматизация запуска и контроля устранения проблем, связанных с контейнерами, образами, системными пакетами и фаззинг-тестированием. Интеграция в процессы CI/CD, блокировка релиза при наличии уязвимостей, анализ политик безопасности и контроль сборок.

Операционный мониторинг

Непрерывный мониторинг за объектами, включенными в процессы SSDLC: получение актуальных уязвимостей из VS/VM-платформ с автоматической привязкой к активам, загрузка инцидентов из SOAR и других систем мониторинга, их классификация и связывание с проектами и сервисами для формирования полной картины безопасности.

Примеры и интеграции

Единый продукт вместо десятков инструментов

Полный контекст для каждой уязвимости (компонент, репозиторий, сервис, среда), гибкая интеграция с отечественными и зарубежными DevOps- и SecOps-решениями, а также opensource-решениями: PVS-Studio, Trivy, Semgrep, GitLab, GitHub, Azure DevOps, OWASP ZAP и др.

Гибкая настройка любых дополнительных интеграций, прозрачность и управляемость корректировки процессов, кастомизация и управление отображением данных и меню, управление видимостью, ролевой моделью и аналитическими инструментами (виджеты, дашборды, графы) за счёт встроенных no-code конструкторов.

Дизайн и архитектура

На этапе дизайна и архитектуры платформа помогает выстроить взаимодействие компонентов провести моделирования, заложив тем самым фундамент для безопасной разработки.

Система позволяет создавать архитектурные модели приложений, описывая компоненты и их взаимосвязи, а встроенные шаблоны ускоряют процесс и обеспечивают единообразие. Платформа поддерживает моделирование угроз по методологиям STRIDE, OWASP и LINDUNN, с привязкой угроз к конкретным компонентам системы.

Постановка задач по митигации в платформе и двусторонние интеграции с ITSM-решениями обеспечивают коммуникацию и управление всеми процессами в едином интерфейсе.

Контроль безопасности кода

На этапе контроля безопасности кода система осуществляет статический анализ, поиск секретов, проверка зависимостей и автоматическое формирование задач.

Для каждого проекта также можно настроить политики code review (требования к проверкам безопасности перед слиянием кода), сборки (параметры безопасного CI/CD) и обработки задач (правила автоматического создания и приоритизации задач по устранению уязвимостей).

Политики масштабируются на всю организацию, обеспечивая единые стандарты безопасности и интеграцию с SGRC модулями при необходимости проведения оценки рисков, аудитов и других процессов стратегической безопасности.

Инфраструктурный контроль

Система автоматизирует запуск и контроль устранения проблем, выявленных по результатам анализа контейнеров, образов и системных пакетов, DAST-сканирования веб-приложений (OWASP ZAP и др.) и фаззинг-тестов.

Политики безопасности интегрируются в процессы CI/CD, обеспечивают контроль сборок и поставочных артефактов и не допускают выход продукта с критическими рисками.

Мониторинг и отчётность

На финальном этапе система осуществляет непрерывный мониторинг за объектами, включенными в процессы SSDLC, что позволяет видеть, как эксплуатационные риски соотносятся с архитектурой, кодом и инфраструктурой, а также как собранные данные участвуют в полной картине безопасности с участием модуля SOAR и интегрируемых СЗИ.

Для каждого объекта или выбранной группы можно сформировать отчёт по собственному шаблону для выгрузки в виде файла в различных форматах:

• pdf;
• txt;
• docx;
• xlsx;
• ods;
• odt;
• csv.

Отчёты могут содержать любые свойства, полученные в ходе работы модуля, а внешний вид можно настроить гранулярно с выбором шрифтов, цветов, картинок и логотипов, диаграмм, отступов, нумерации, колонтитулов и др. характеристик.

Визуализация

Собственная модель данных для этапов SSDLC дополнена отображением ключевых показателей: уровень угроз, количество уязвимостей, инцидентов, покрытие проекта сканированием, качество сборок и динамику рисков. Это позволяет руководителям и техническим командам принимать решения на основе данных и видеть реальный прогресс, а также оценивать уровень зрелости по каждому этапу процесса.

Все объекты можно изобразить на карте организации (загрузка изображений-подложек, иконок, анимаций) или географической карте (при наличии координат), связать между собой для построения графов. Интерактивные виджеты и дашборды поддерживают запуск процессов, фильтрацию, углубление в данные без ограничений по их количеству и составу.

Карточки и табличные представления также можно адаптировать, добавляя новые свойства, колонки, кнопки без каких-либо лицензионных ограничений при помощи встроенного no-code конструктора.

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК и Минобороны России и входит в реестр отечественного ПО.