Что не так с B2B продуктами для кибербезопасности
Продукты, связанные с кибербезопасностью, в большинстве своем — коробочные решения. Это значит, что устанавливать и запускать их будут на закрытых контурах компании. Иногда заказчик ещё и “докручивает” решение под себя. И всё это в обстановке строгой секретности, конечно.
Из-за этого разработчикам сложно коммуницировать с конечными пользователями, тестировать фичи и оценивать жизненные показатели продукта.
В этой статье подсвечу проблемы и поищу возможности, чтобы вы знали, чего ожидать при работе с продуктом в сфере кибербезопасности.
Сложно собирать количественные метрики
Компании, которые заботятся о безопасности настолько, что покупают многомиллионный ИБ-продукт, обычно не доверяют разработчикам внешнего софта лишнюю информацию и доступы. Навешивать на продукт дополнительные сервисы и финтифлюшки — не ок.
Тут самое время приуныть аналитикам. Вам вряд ли позволят прикрутить к продукту инструменты, чтобы собирать данные и следить за активностью юзеров. Даже поля фидбека для обратной связи протащить в продукт может быть сложно, потому что:
а) куда будут уходить эти данные и где храниться?
б) насколько защищен канал передачи?
в) добиться разрешения на доверку определенному стороннему IP сложно, долго и бюрократично
г) получение этого фидбека выльется в дополнительные затраты
Тревожно, в общем!
Но если решитесь — заготовьте ответы на вопросы выше. Придется очень долго защищаться.
Долгий релизный цикл
Бизнес не готов слишком часто обновлять установленные продукты, обновление требует трудозатрат. Каждый релиз ИБ-продукта тестируют не только QA, но и безопасники.
Теперь загрустят юиксеры. Выкатить одну фичу и получить по ней быстрый фидбек? Нет, такого не будет, выкатываем полноценные новые флоу + исправляем баги.
Респонденты
Информационная безопасность — сфера с узким сегментом респондентов. Набор навыков респондентов требуется разный от задачи к задаче — не всегда получается найти подходящих именно к твоей. Иногда приходится тыкаться вслепую и получать фидбек уже после релиза, а затем выкатывать изменения еще через полгода, с новым обновлением продукта.
Качественные метрики
Это свет в окне. Для коробочных продуктов практически невозможно собирать количественные метрики, но можно собрать качественные.
Если вам повезло найти подходящих по навыкам респондентов, проводите исследования. Обычно они результативны, тк с критикой в ИБ всё в порядке, никто не побоится вас расстроить)
Коридорки, юзабилити-тестирование на прототипе и глубинное интервью помогут понять, нужно ли вообще внедрять новый функционал и каким его видят юзеры.
Если респондентов нет — нет и метрик. Тогда при разработке нового функционала придётся положиться на свой опыт и здравый смысл
Знакомые паттерны нелегальны
Работая с ИБ-продуктом, вам придётся считаться со спецификой сферы и иногда наступать на горло best practices. Проще говоря, ваш продукт должен быть максимально продуман с точки зрения безопасности, иначе будете как тот сапожник без сапог.
Так, любой дизайнер интерфейса научен (стартер-пак):
— инвалид форма должна быть подписана подробно и понятно
— вход или регистрацию лучше сделать через гугл аккаунт SSO (с англ. Single Sign-On)
— автозаполнение это круто!
А вот почему об этом придётся забыть:
— Подробная инвалид форма с типом ошибки «У вас неправильный пароль» подскажет хакеру, что ошибка именно в пароле, а не в логине, и бить лучше туда.
— Использование SSO влечёт за собой существенный риск безопасности — хакеру достаточно взломать одну учетную запись, чтобы получить доступ ко всем связанным с ней системам. Гугл/яндекс аккаунты использовать нельзя. Можно использовать корпоративную систему, вход в которую охраняется границами внутренней сети.
— С автозаполнением хакеры могут провернуть прикольный фокус: добавить в форму скрытые поля. Они не будут видны при заполнении формы, но в них автоматически подтянутся данные пользователя, сохранённые в браузере — адреса, телефоны, паспортные данные.Но не пароли, они хранятся в другом месте и просто так не подставятся.
Мы разобрали некоторые сложности, которые ждут вас при работе с ИБ-продуктами. Но это, конечно, не значит, что работать с ними неинтересно. Просто придётся проявить чуть больше изобретательности.
