גרהולד הובנר, סאפ: "מניעת נוזקה בפיתוח – זולה פי 20 מהנזק העתידי שלה"

"פעמים רבות מפתחי מוצרים ותוכנות מתלוננים כי בדיקות האבטחה מעכבות את הפיתוח – בהיבטי זמן ועלות. תשובתי אליהם תמיד זהה: לגלות באג או נוזקה תוך כדי תהליך הפיתוח, היא פעולה שזולה פי 20 מאשר הגילוי שלה בסוף התהליך, ויצירת ההטלאות, או חמור מזה – כאשר הנוזקה גורמת נזק", כך אמר גרהולד הובנר, מנהל מוצרי האבטחה, סאפ (SAP) העולמית.

הובנר ביקר באחרונה בארץ. במסגרת תפקידו הוא אחראי ליצירת ומימוש אסטרטגיית האבטחה במוצרים של ענקית היישומים הגרמנית. הוא מנהל צוות של 160 עובדים. הובנר עושה זאת בעזרת בדיקות אבטחה, אשר נעשות לאורך כל מחזור חיי פיתוח המוצרים והיישומים – בכל יחידות הפיתוח בסאפ.

לדברי הובנר, "בכל פרק זמן נתון, אנו עובדים על 500 פרויקטים במקביל. אנו תומכים בצוותי הפיתוח, ומלמדים אותם לפתח באופן מאובטח, כי פעמים רבות הם לא שמים על כך דגש". הוא הסביר כי "זה לא משנה אם הפיתוח הוא מסורתי, בתפיסת 'מפל מים', או אג'ילי. בכל אחת משתי דרכי הפיתוח, נדרש לשים דגש על אבטחת מידע, ולוודא שהיא נכנסת כבר בהתחלה, ומשולבת לאורך כל תהליך הפיתוח. אנו עושים זאת, בין השאר, בהתבסס על תקן ISO27034, לצד שורה של עדכוני תקנות הנוגעים לבקרות שיש לשלב במהלך מחזור חיי הפיתוח. בנוסף, יש לנו בסאפ 53 דרישות לפיתוח מאובטח – ליישומים מסורתיים, לפיתוח במובייל או למחשוב ענן".

על פי הובנר, "לא משנה באיזו דרך נעשה הפיתוח, לאיפה יהיה היישום – מה שחשוב הוא שתהיה שקיפות במשך התהליך. בדרך זו אנו יכולים לעשות מידול לאיומים, ובהתאם להיערך אליהם ולמנוע אותם באופן שיטתי, כי הם נגלים לנו. זה ממש לא משנה אם האיום הוא ממסוג הזרקת SQL, Cross-site scripting או איומים הנוגעים להרשאות. אנו מתמקדים באיומים הנפוצים, ועושים זאת באופן שיטתי".

לדברי הובנר, "אני חבר הנהלה ב-SAFECode. זהו מלכ"ר תעשייתי בינלאומי, שמטרתו להניע את הדרכים הטובות ביותר לפיתוח מאובטח, ו'להזריק' את האבטחה לפיתוח. בין החברות שחברות בו, מלבד סאפ, ניתן למנות גם את מיקרוסופט (Microsoft) וסימנטק (Symantec). אנו מחליפים מידע וידע על הדרכים הנכונות לפיתוח מאובטח, ומשתפים במידע זה את כלל התעשייה. זה אינטרס של כלל ספקיות ה-IT. בנוסף, אנו רוצים שגם החברות שעובדות עימנו, צד ג' ושותפים עסקיים, יעבדו גם הן באופן מאובטח".

פעילות האבטחה במהלך הפיתוח, אמר הובנר, "מתבססת על שלושה עמודים: מניעה, גילוי ותגובה. בהיבט המניעה, אנו דואגים שהפלטפורמה שאנשי הפיתוח בסאפ מפתחים, תהיה עמידה בפני התקפות, בין השאר בעזרת הצפנה. בהיבט הגילוי והניטור, אנו פועלים במחקר ופיתוח לזיהוי  APT – מתקפות ממוקדות ומתמשכות, כיוון שזה האיום הגדול ביותר בתעשייה. לצערי, התעשייה לא עושה מספיק לטיפול וזיהוי מתקפות מסוג זה. לכן, מה שאנו עושים הוא Big Data for Security – יוצרים מאגר מידע על בסיס פעולות איסוף שלנו, לבניית תשתית מידע מודיעינית המגיעה ממקורות שונים, לטובת האיומים השונים העלולים לפגוע ביישומים ובמוצרים שלנו. אנו בוחנים את הנוזקות, עושים להן ניתוח שורש סיבתי ומשפרים, תוך כדי תנועה – את המוצר המפותח. לצורך כך, אנו פועלים כדי לנהל את האירועים, לנטר אירועי אבטחת מידע ולצפות בהם בזמן אמת". בהיבט התגובה, הסביר הובנר, "אנו פועלים ליצירת מצב בו המערכות ירוצו מהר יותר, ויוכלו להגיב לנוזקות המופיעות בזמן אמת, או קרוב לכך. כך, למשל, אנו 'דוחפים' הטלאות לנוזקות שטרם פורסמו, ועל ידי זה, אנו תומכים בלקוחות".

"המוטו שלנו בסאפ", סיכם הובנר, "הוא ליצור תשתית מאובטחת במהלך הפיתוח, בעזרת פשטות מצד אחד, עם ניהול האיומים ותעדוף שלהם. המטרה היא להימנע ככל האפשר מעריכת הטלאות לאחר שהמוצר יצא מאיתנו".