Хто такий Application Security Engineer?

Application Security Engineer — це інженер-програміст, який відповідає за безпеку програмного забезпечення, а також веб-додатків.

У його обов’язки входить:

• забезпечення безпеки життєвого циклу розробки програмного забезпечення CI/CD (Continuous Integration/Continuous Delivery) , що має загальну назву –  Secure (Safe) Software Development Lifecycle (SSDL);
• аналіз, відлагодження (debugging) і тестування вихідного коду, моделювання загроз різного ступеня критичності :  Code Review, Static Code Security Testing (SCST), Continuous Penetration Testing (CPT);
• перевірка софта на відповідність вимогам, методологіям, фреймворкам з кібербезпеки:  OWASP, SANS, NIST, ISO, HIPAA, PCI-DSS, GDPR та ін.
• проведення IT аудитів, зокрема аудиту кібербезпеки;
• підготовка технічних завдань (ТЗ) і специфікацій на розробку/виправлення/доопрацювання додатків.

Можна сказати, що Application Security Engineer — це такий собі девелопер, тестувальник і кіберсек в одному обличчі. Але не варто його плутати його з Пентестерами, Аналітиками шкідливого коду і Аналітиками безпеки. Це різні фахіці.

Які посадові вимоги до Application Security Engineer?

• базове знання мов програмування (С/++, Python, Java Script, Ruby, Perl, Go та ін.);
• знання інструментів розробки (Visual Studio Code, Sublime Text);
• знання баз даних (SQL, MySQL/MariaDB, MongoDB, PostgreSQL та ін.);
• знання операційних систем Windows, Linux, MacOS, Android, iOS;
• володіння технологіями віртуалізації і контейнеризації: Microsoft Hyper-V, KVM, XEN, Oracle VirtualBox, VMware Workstation, Sandboxes, Docker, Kubernetes та ін.;
• володіння технологіями безперервної інтеграції і розгортання — CI/CD, Git/SVN, Jenkis, Kubernetes та ін.;
• володіння SAST-сканерами: Snyk, SonarQube, Netsparker, Fortify, Rapid;
• володіня DAST/IAST-сканерами: Acunetix, Netsparker, BurpSuite, OWASP Zap, OpenVAS та ін.
• розуміння принципів Agile-розробки (Agile Software Development — гнучка модель розробки ПЗ);
• чітке розуміння усіх міжнародних принципів, стандартів і методологій безпеки;
• уміння чітко складати вимоги і задачі, делегувати завдання іншим профільним спеціалістам.

Як стати Application Security Engineer?

Поради:

• Вивчайте ОС Linux (Ubuntu/Debian/Kali Linux/Arch Linux) і мови програмування (Java Script, Python, Perl, Ruby, JS, C++). Працюйте в командному рядку (Bash, Powershell).
• Напрацьовуйте портфоліо. Беріть проєкти на фрілансі. Накопичуйте кейси і здобутки.
• Беріть участь в CTF і Bug Bounty.
• Присвячуйте вільний час прочитанню фахової літератури (за одно поповнюючи словниковий запас та рівень ерудиції).
• Ведіть професійний блог або щоденник.
• На зароблені кошти придбайте собі потужний комп’ютер і розгорніть дослідницький центр.
• Здобувайте фахову освіту і проходьте сертифікацію.

ВУЗи України, які навчають інженерів з кібербезпеки (Код спеціальності — 125):

• КПІ ім. Ігоря Сікорського: https://pk.kpi.ua/specialities/s-125/
• Національний Авіаційний Університет: https://pk.nau.edu.ua/125-kiberbezpeka-2/
• Національний Університет “Львівська політехніка”: https://lpnu.ua/zi/abituriientu
• Тернопільський Національний Технічний Університет: https://vstup.tntu.edu.ua/speciality/125-kiberbezpeka.html
• Національний Університет “Одеська політехніка”: https://op.edu.ua/125
• Національний Університет “Запорізька політехніка”: https://zp.edu.ua/kafedra-zahistu-informaciyi
• Харківський Національний Аерокосмічний Університет: https://csn.khai.edu/

Книги для інженерів з кібербезпеки:

• Ендрю Таненбаум – Комп’ютерні мережі (2019)
• Ендрю Таненбаум – Архітектура комп’ютера (2018)
• Ендрю Таненбаум – Сучасні операційні системи (2018)
• Ендрю Таненбаум – Операційні системи: Розробка та реалізація (2007)
• Ендрю Таненбаум – Розподілені системи: Принципи та парадигми (2003)
• Юрій Діогенес, Ердаль Озкайя – Кібербезпека: стратегії атак і оборони (2020)
• Джон Еріксон – Хакінг: Мистецтво експлойта (2018)
• Пітер Яворскі – Основи веб-хакінгу (2016)
• Ларс Кландер – Hacker Proof: Повне керівництво з безпеки комп’ютера (2002)
• Кріс Сандерс – Аналіз пакетів. Практичний посібник із Wireshark (2019)
• Крейг Гант – TCP/IP. Системне адміністрування (2007)
• Микола Федотов – Форензика. Комп’ютерна криміналістика (2007)
• Майкл Сікорскі, Ендрю Хоніг – Розтин покаже. Практичний аналіз шкідливого ПЗ (2018)
• Шон Гарріс – CISSP. Повне керівництво

👉 Повний список книг з кібербезпеки, доступних до завантаження>>

Українські ЗМІ і ресурси на тему IT безпеки:

• Новини за тегом “кібербезпека” на сайті агенції ІНТЕРФАКС-УКРАЇНА: https://interfax.com.ua/news/tag/%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0.html
• Новини за тегом “кібербезпека” на сайті агенції УКРІНФОРМ: https://www.ukrinform.ua/tag-kiberataka
• Новини за тегом “кібербезпека” на сайті агенції УНІАН: https://www.unian.ua/tag/kiberbezpeka
• Новини кібербезпеки на “Економічній правді”: https://www.epravda.com.ua/tags/5a12c6dac771b/
• Новини на порталі “Громадське” за тегом “кібератаки”: https://hromadske.ua/tags/kiberataky
• Український аудіоподкаст з кібербезпеки NoNamePodcast: https://nonamepodcast.org/
• Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA: https://cert.gov.ua/articles
• Новини Національної кіберполіції України: https://www.cyberpolice.gov.ua/
• Новинна IT-агенція AIN за тегом “кібербезпека”: https://ain.ua/tag/kiberbezpeka/
• Новини на порталі IT-товариства України за тегом “кібербезпека”: https://dou.ua/search/?q=%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0
• Новини на українському порталі розробників за тегом “кібербезпека”: https://dev.ua/news?tag=%D0%BA%D1%96%D0%B1%D0%B5%D1%80%D0%B1%D0%B5%D0%B7%D0%BF%D0%B5%D0%BA%D0%B0

Іноземні ЗМІ і ресурси на тему IT безпеки:

• https://www.reuters.com/site-search/?query=cybersecurity
• https://www.forbes.com/cybersecurity/
• https://hackernoon.com/
• https://thehackernews.com/
• https://securityintelligence.com/
• https://www.cio.com/
• https://www.infosecurity-magazine.com/
• https://blog.sucuri.net/
• https://www.techrepublic.com/
• https://www.zdnet.com/topic/security/
• https://threatpost.com/
• https://www.darkreading.com/
• https://cisomag.eccouncil.org/
• https://blog.360totalsecurity.com/en/
• https://www.bitdefender.com/blog/
• https://blog.avast.com/
• https://www.mcafee.com/blogs/
• https://www.pandasecurity.com/en/mediacenter/security/
• https://nakedsecurity.sophos.com/
• https://proprivacy.com/
• https://ssd.eff.org/
• https://www.vx-underground.org/apts.html

Список популярних Bug Bounty платформ і програм:

• https://hackenproof.com/programs
• https://hackerone.com/bug-bounty-programs
• https://www.hackerone.com/internet-bug-bounty
• https://www.bugcrowd.com/bug-bounty-list/
• https://www.yeswehack.com/
• https://firebounty.com/
• https://bughunters.google.com/
• https://www.facebook.com/whitehat
• https://www.microsoft.com/en-us/msrc/bounty

Корисні посилання:

• Awesome Application Security (GitHub)
• Awesome Ethical Hacker (GitHub)
• Awesome Reverse Engineer (GitHub)
• SANS25 Software Errors
• Mozilla Secure Coding Checklist
• Static Application Testing (GitLab)