Разработка с KasperskyOS

«Чтобы завоевать доверие, нужна вечность, для разочарования достаточно одного мига», — забавно, что эта фраза, напоминающая цитату из какой-нибудь 147-й серии бесконечной мыльной оперы, очень точно описывает важную проблему создания кибербезопасных систем.

Если мы не докажем, что реализованные в системе функции безопасности работают корректно, то доверия быть не может. Для доказательства разработано множество процедур анализа кода (например, статический и динамический анализ кода, фаззинг-тестирование, формальная верификация, тестирование на проникновение), методов и инструментов — от простых и хорошо известных до очень сложных, редко используемых и требующих специальных компетенций.

Несмотря на всю зрелость методов, есть важная проблема: неясно, как грамотно и осознанно поделить код на тот, который надо проверять «задешево», и тот, который надо проверять «задорого». В результате для доказательства доверия к системе возникает потребность тщательно проверять чуть ли не весь ее код, что, конечно, почти невыполнимо на практике.

Решить эту проблему можно, следуя принципу минимизации доверенной кодовой базы. Смысл принципа в том, чтобы предельно уменьшить объем кода, критичного для безопасности системы. Тогда «дорогие» методы проверки нужно будет применить не для всего кода, а только для небольшой его части, тем самым значительно снизив затраты на анализ. Для остального же будет достаточно и базовых процедур.

На прикладном уровне принцип минимизации доверенной кодовой базы сводится к следующему:

• как можно меньше доверенных компонентов должны непосредственно влиять на достижение целей безопасности системы;
• сами доверенные компоненты должны быть достаточно простыми с точки зрения функциональности и иметь маленькую поверхность атаки.

На системном уровне:

• должно быть как можно меньше кода, сосредоточенного в ядре безопасности операционной системы (оно состоит собственно из ядра ОС, монитора обращений и некоторых других модулей).

Именно этот принцип помогает разрабатывать кибериммунные системы.

Прод горит, а код еле держится «на костылях»?
Значит, это самое время выпить кофе переключиться и принять участие в игре, от которой зависит не только твой скилл, но и, возможно, будущая карьера!

Поиграем в кибериммунитет?
Ничего не понятно, но очень интересно!

Стартуем в понедельник 28 апреля на нашем канале KasperskyOS. Разработка.

Что тебя ждёт во II Эпизоде?

• Реальные фейлы мирового масштаба: от British Airways до Tesla и Equifax. Разберём, почему это случилось, и как этого избежать в твоём коде.
• Кибериммунитет на пальцах: даже бабушкин петух умеет строить эшелонированную защиту лучше, чем специалисты многие компании. Поймёшь, почему.
• Жёсткие холивары и прикольные шутки с DevSecOps и безопасниками: узнаешь, почему чайнику не нужны рутовые права, и зачем думать, будто тебя уже взломали (спойлер: потому что, скорее всего, так и есть).
• Разделы «Вынос пользы для джуна» и «Пояснительная бригада», в которых всё, что нужно и важно, причем кратко и ёмко.

Почему мы крайне рекомендуем потратить несколько минут в день на нашу игру.

Потому что твой код уже давно не только твоя задача. От него зависит как твоя зарплата, так и уважение команды, и твоя будущая карьера. Научишься применять кибериммунный подход к разработке — станешь человеком с которым реально советуются сеньоры и безопасники.

А, может, это станет твоим первым шагом, чтобы уйти в секьюрити ресёрч, стать киберэлитой и взламывать мир ему же на благо?

🎲 Каждый день — новый пост.
Каждый пост — новая возможность стать круче.

Подписывайся, включай уведомления и присоединяйся к игре.
#поиграемвКИ

Записи Kaspersky Cyber Immunity Developers Night — открытой обучающей конференции по кибериммунной разработке — уже в доступе на нашем канале VK Video.

• Видео № 1. Евгений Касперский. Приветственное слово
• Видео № 2. Сергей Рогачев. Язык мой — враг мой? Безопасные и небезопасные языки программирования
• Видео № 3. Ольга Алёшина. Как применять GPU при разработке современных графических интерфейсов
• Видео № 4. Юрий Шведов. Удаленно управляем и отлаживаем С++ API с помощью KDS бесплатно, без регистрации и SMS
• Видео № 5. Андрей Наенко. Как маленькие ошибки могут оборачиваться большими уязвимостями
• Видео № 6. Татьяна Голубева, Олег Кировский. Совместим ли кибериммунитет с отраслевыми требованиями?
• Видео № 7. Андрей Карабань. Кибериммунитет и KasperskyOS в ООН: поддержка UN R № 155
• Видео № 8. Тимур Шарафеев. KASG: возможно ли сделать продуктовые сценарии быстрыми и безопасными
• Видео № 9. Валерий Овчинников. Как мы кибериммунный IoT-контроллер на KasperskyOS SDK разрабатывали
• Видео № 10. Александр Лифанов. Движение к продуктам с кибериммунитетом, или как учиться кибериммунной разработке
• Видео № 11. Ответы на вопросы о кибериммунной разработке и KasperskyOS

Смотрите, комментируйте, переходите на нашу сторону кибериммунитета.