Хто такий Application Security Engineer?

Application Security Engineer — це інженер-програміст, який відповідає за безпеку програмного забезпечення, а також веб-додатків.

У його обов’язки входить:

• забезпечення безпеки життєвого циклу розробки програмного забезпечення CI/CD (Continuous Integration/Continuous Delivery) , що має загальну назву –  Secure (Safe) Software Development Lifecycle (SSDL);
• аналіз, відлагодження (debugging) і тестування вихідного коду, моделювання загроз різного ступеня критичності :  Code Review, Static Code Security Testing (SCST), Continuous Penetration Testing (CPT);
• перевірка софта на відповідність вимогам, методологіям, фреймворкам з кібербезпеки:  OWASP, SANS, NIST, ISO, HIPAA, PCI-DSS, GDPR та ін.
• проведення IT аудитів, зокрема аудиту кібербезпеки;
• підготовка технічних завдань (ТЗ) і специфікацій на розробку/виправлення/доопрацювання додатків.

Можна сказати, що Application Security Engineer — це такий собі девелопер, тестувальник і кіберсек в одному обличчі. Але не варто його плутати з Пентестерами, Аналітиками шкідливого коду і Аналітиками безпеки. Це різні фахівці.

Які посадові вимоги до Application Security Engineer?

• базове розуміння мов програмування (С/++, Python, Java Script, Ruby, Perl, Go та ін.);
• знання інструментів розробки (Visual Studio Code, Sublime Text);
• знання баз даних (SQL, MySQL/MariaDB, MongoDB, PostgreSQL та ін.);
• знання операційних систем Windows, Linux, MacOS, Android, iOS;
• володіння технологіями віртуалізації і контейнеризації: Microsoft Hyper-V, KVM, XEN, Oracle VirtualBox, VMware Workstation, Sandboxes, Docker, Kubernetes та ін.;
• володіння технологіями безперервної інтеграції і розгортання — CI/CD, Git/SVN, Jenkis, Kubernetes та ін.;
• володіння SAST-сканерами: Snyk, SonarQube, Netsparker, Fortify, Rapid;
• володіня DAST/IAST-сканерами: Acunetix, Netsparker, BurpSuite, OWASP Zap, OpenVAS та ін.
• розуміння принципів Agile-розробки (Agile Software Development — гнучка модель розробки ПЗ);
• чітке розуміння усіх міжнародних принципів, стандартів і методологій безпеки;
• уміння чітко складати вимоги і задачі, делегувати завдання іншим профільним спеціалістам.

Як стати Application Security Engineer?

Поради:

• Вивчайте ОС Linux (Ubuntu/Debian/Kali Linux/Arch Linux) і мови програмування (Java Script, Python, Perl, Ruby, JS, C++). Працюйте в командному рядку (Bash, Powershell).
• Напрацьовуйте портфоліо. Беріть проєкти на фрілансі. Накопичуйте кейси і здобутки.
• Беріть участь в CTF і Bug Bounty.
• Присвячуйте вільний час прочитанню фахової літератури (за одно поповнюючи словниковий запас та рівень ерудиції).
• Ведіть професійний блог або щоденник.
• На зароблені кошти придбайте собі потужний комп’ютер і розгорніть дослідницький центр.
• Здобувайте фахову освіту і проходьте сертифікацію.

ВУЗи України, які навчають інженерів з кібербезпеки (Код спеціальності — 125):

• КПІ ім. Ігоря Сікорського
• Національний Авіаційний Університет
• Національний Університет “Львівська політехніка”
• Тернопільський Національний Технічний Університет
• Національний Університет “Одеська політехніка”
• Національний Університет “Запорізька політехніка”
• Харківський Національний Аерокосмічний Університет

Книги для інженерів з кібербезпеки:

• Ендрю Таненбаум – Комп’ютерні мережі (2019)
• Ендрю Таненбаум – Архітектура комп’ютера (2018)
• Ендрю Таненбаум – Сучасні операційні системи (2018)
• Ендрю Таненбаум – Операційні системи: Розробка та реалізація (2007)
• Ендрю Таненбаум – Розподілені системи: Принципи та парадигми (2003)
• Юрій Діогенес, Ердаль Озкайя – Кібербезпека: стратегії атак і оборони (2020)
• Джон Еріксон – Хакінг: Мистецтво експлойта (2018)
• Пітер Яворскі – Основи веб-хакінгу (2016)
• Ларс Кландер – Hacker Proof: Повне керівництво з безпеки комп’ютера (2002)
• Кріс Сандерс – Аналіз пакетів. Практичний посібник із Wireshark (2019)
• Крейг Гант – TCP/IP. Системне адміністрування (2007)
• Микола Федотов – Форензика. Комп’ютерна криміналістика (2007)
• Майкл Сікорскі, Ендрю Хоніг – Розтин покаже. Практичний аналіз шкідливого ПЗ (2018)
• Шон Гарріс – CISSP. Повне керівництво

👉 Повний список книг з кібербезпеки, доступних до завантаження>>

Корисні посилання:

• Awesome Application Security (GitHub)
• Awesome Ethical Hacker (GitHub)
• Awesome Reverse Engineer (GitHub)
• SANS25 Software Errors
• Mozilla Secure Coding Checklist
• Static Application Testing (GitLab)