До Parallels я занимался в основном консалтингом по безопасности в качестве независимого предпринимателя. К тому моменту я уже вообще не представлял себе, что когда-либо снова пойду в офис. Мне это претило. Я считал, что мне это не нужно и что свобода дороже.
В 2011 году глава разработки Стас Протасов убедил меня стать частью команды Parallels. В случае с Parallels все тоже начиналось с консалтинга. Сначала я помогал Parallels разобраться в текущей ситуации, а потом стало ясно, что работы много, а я на тот момент уже жил в Москве.
Тогда передо мной стояла задача - оценить текущее состояние ИБ. Для общего аудита сетевой безопасности была привлечена сторонняя компания, а моя работа началась с того, что нужно было интерпретировать полученные ими данные, выделить из них что-то важное и понять, что делать дальше. Непростая задача, когда ничего не знаешь о компании.
Впрочем, положение было отнюдь не трагичное. Да, безопасность в компании была на тот момент, что называется, ad hoc - решали проблемы по мере их поступления. Но могло бы быть и хуже. Видимо, сыграло свою роль то, что у нас очень хороший IT-отдел, где люди в состоянии заниматься безопасностью, даже если это не их основная профессия.
Работа в компании сильно отличается от обычного консалтинга, и я довольно долго к этому привыкал. Представьте себе, что вчера я общался с тремя людьми за раз (и больше в голове держать не нужно), а сегодня я работаю с 15-20 людьми... это совсем другой способ работы головы.
Занимаясь консалтингом, я привык к очень тяжелому сопротивлению. В Parallels в основном работают гуру, и воспринимают они все неожиданно легко. Если удается объяснить, зачем это нужно, как правило, сопротивления не возникает вовсе.
Сейчас у нас нет отдельной организационной единицы, которая отвечала бы только за безопасность. Скорее, нужно находить людей, которые интересуются безопасностью в своей основной работе, помогать им сориентироваться, взаимодействовать. Словом, в первую очередь - коммуникации и аналитика, возможность поделиться даже не знаниями, а видением, как делаются какие-то вещи.
В числе прочего я приглядываю и за безопасной разработкой кода. С этим сложно, потому что у нас много продуктов, а значит - разные команды, разные традиции. Конечно, хотелось бы внедрять какие-то лучшие практики (как SDL в Microsoft). Сейчас у нас начинает складываться хорошая традиция делиться информацией.
Я планирую собирать все воедино, в каком-то формализованном виде, но в первую очередь важна сама возможность рассказать. У нас есть и еще одна традиция - устраивать внутри компании технические доклады. К сожалению, я еще ни разу не читал лекций. Но, например, Антон Дедов, архитектор по безопасности Parallels Automation, уже прочитал пару хороших докладов, связанных именно с безопасной разработкой.
Лично мне хотелось бы видеть и программу вознаграждения за найденные уязвимости. Увы, я не могу делать на этот счет никаких публичных анонсов, но, естественно, я это приветствую. Хотя неофициально вознаграждение за серьезные найденные уязвимости у нас присутствует. В первую очередь это, конечно, касается уязвимостей в серверных продуктах и всего, что может повлиять на безопасность наших клиентов, - облачные услуги, хостинг и так далее. Прецеденты были и, думаю, будут.
Мы часто привлекаем сторонние компании для аудита наших продуктов. Для нас это привычная практика. Держать такое количество квалифицированных людей в штате, мне кажется, не нужно. Поэтому мы и приняли такой подход - частично распределенный, частично аутсорсинг.
Можно долго разбрасываться словами из учебника, вроде разделения полномочий. Но это не так важно. Я считаю, что даже если статическая картинка имеющегося кода кому-то и достанется, пускай у него и остается, мы все равно сделаем так, что она ему не поможет. Конечная цель заключается в том, чтобы к тому времени, когда любой сможет разобраться в этом коде и нанести вред, все баги уже были починены, а новая функциональность была такова, что старая окажется вчерашним днем.