Aktuelles, Branche - geschrieben von cp am Dienstag, Oktober 2, 2018 18:29 - noch keine Kommentare
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen
Mittlerweile hat sich DevOps für viele Unternehmen zu einem Wettbewerbsvorteil entwickelt / Security für viele IT-Verantwortlichen eine Herausforderung
Von unserem Gastautor Jens Freitag, Security Specialist bei Tenable
[datensicherheit.de, 02.10.2018] Mit DevOps steht Unternehmen eine nützliche Methode zur Prozessverbesserung in Rahmen der Systemadministration und Softwareentwicklung zur Verfügung: Gemeinsame Tools in der Entwicklung, im IT-Betrieb und der Qualitätssicherung ermöglichen eine effizientere Zusammenarbeit, so das Versprechen. Zudem bieten sie mehr Stabilität und lassen sich gut skalieren. Produkte können so schneller auf den Markt kommen, Neuveröffentlichungen sind weniger fehlerhaft und Zeitfenster bis zur Behebung verkleinern sich. Unternehmen profitieren von besserer Softwarequalität sowie effizienterer Organisation.
Jens Freitag, Security Specialist bei Tenable
Es ist nicht verwunderlich, dass es DevOps längst in die Unternehmen geschafft haben. Einer Umfrage zufolge nutzten 2017 bereits 56 Prozent der deutschen Unternehmen DevOps. Zur Technologie gehört jedoch auch die Sicherheit. Und hier hakt es noch. So fand die „2018 DevSecOps Community Survey“ heraus, dass knapp die Hälfte der Entwickler nicht genug Zeit für Security‑Fragen haben – auch keine Lösungen oder Prozesse erarbeiten.
Hacker nutzen bereits die mangelnde DevOps-Cyberhygiene aus und schleusen Crypto-Mining-Malware über Docker Hub Backdoors, Kubernetes-Konten und ungepatchte Drupal-Webapplikationen ein. Zwar erfordern Angriffe noch sehr viel Rechenleistung, um Profit aus Kryptowährungen generieren zu können, doch bald wird es ihnen noch leichter fallen.
Traditionelles Schwachstellenmanagement muss überdacht werden
Die Sicherheitsexperten sollten sich das zu Herzen nehmen, das traditionelle Schwachstellenmanagement überdenken und neue Sicherheitsmethoden einführen, um auch DevOps-Prozesse in ihre IT-Sicherheitsmaßnahmen einzubeziehen. Tenable erklärt, was dafür erforderlich ist.
- Kontinuierlich identifizieren und scannen. Monatliche oder vierteljährliche Scans sind in der DevOps-Welt nicht ausreichend. Kontinuierliche Softwarebereitstellung bedeutet, dass sich die Umgebung ständig verändert. Aus diesem Grund sollten Unternehmen Cyberrisiken kontinuierlich identifizieren sowie bewerten und das über den gesamten Lebenszyklus der Softwareentwicklung hinweg – von der Bedarfsanalyse bis zum Einsatz. Nur so können Unternehmen vollständige Transparenz gewährleisten.
- Sicherheitsmaßnahmen in DevOps-Prozesse integrieren. Sicherheitstests und -kontrollen sollten ein integraler Bestandteil des Softwareentwicklungs-Lebenszyklus sein und in die Entwicklungspipeline integriert werden. Wieso Schwachstellen, Malware und Fehlkonfigurationen nicht wie jede andere Art von Softwarefehler behandeln und so früh wie möglich beheben, bevor z. B. die Codequalität leidet?
- Sicherheitsabläufe automatisieren. Um die Skalierbarkeit und Geschwindigkeit von DevOps zu unterstützen, sollten Verantwortliche Sicherheitskontrollen programmgesteuert mit APIs in DevOps-Systeme einbinden und so die Vorteile der Automatisierung während des gesamten Entwicklungszyklus nutzen. Anstatt die Images anhand vordefinierter Security Gates manuell zu bewerten, können die Teams Sicherheitstests automatisch auslösen, um alle Build‑Prozesse zu bewerten, wenn sie erstellt werden.
Der Markt bietet mittlerweile viele Lösungen, die Unternehmen dabei unterstützen. Cloud‑Konnektoren tracken etwa kontinuierlich Asset-Veränderungen, um sicherzustellen, dass alle Cloud-Workloads bekannt sind und auf Schwachstellen untersucht werden. Dabei werden die Lösungen oft in CI/CD-Systeme (Continuous Integration and Continuous Delivery) integriert, um Schwachstellen und Malware schon während der Entwicklung zu beheben. Gut dokumentierte APIs ermöglichen es zudem, Sicherheitsscans zu automatisieren und Kontrollen innerhalb von Workflows zu integrieren. Für IT‑Verantwortliche bedeutet dies, dass es durchaus Möglichkeiten gibt, etwas gegen ihre Bauchschmerzen zu unternehmen.
Weitere Informationen zum Thema:
datensicherheit.de, 09.08.2018
Verbesserung der Cybersicherheit im Finanzsektor
datensicherheit.de, 25.07.2018
Intelligente Anwendung zur Verteidigung gegen Ransomware
Kooperation
Mitgliedschaft

Schulungsangebot

Partner

Gefragte Themen
- Rekordstrafe für Google nach DSGVO-Verstoß: Warnung für andere Unternehmen
- BrExit: Europäische Datenschutzbeauftragte diskutierten Folgen
- IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
- Wenn Kollegen zum Sicherheitsrisiko werden
- KMU: Über die Hälfte muss Windows-Version aktualisieren
- KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
- Upload-Filter: Faires europäisches Urheberrecht wird verspielt
- TU Graz: Internet der Dinge zuverlässiger machen
- Münchner Sicherheitskonferenz: Internet der Dinge als Schwerpunktthema
- Gehackte Daten: Illegaler Online-Handel boomt
- Cyber-Sicherheit: Kontrolle und Verständnis als Erfolgsfaktoren
- Warnung vor gefälschten Banking-Apps
- Überwachungstechnologie: Globale Regulierung gefordert
- Ich fände es ehrlich gesagt erläuterungsbedürftig, wenn die EU Kommission einem ...
- Gerade in Zeiten von Bring your own Device wird die DSGVO-Compliance nochmal zu ...
- Kann mich dem Kommentar nur anschließen. WIe wäre es bei unseren Bundestagsabgeo...
- Es ist schon erstaunlich, wozu Politiker in der Lage sind auf Stimmenfang zu geh...
- ein Gruß aus Leipzig.
Ich wünsche Ihnen einen guten Jahreswechsel und ein gut...
- Danke für den interessanten Beitrag. Wir leben tatsächlich in einer Ära des Soci...
- Der neue Verschlüsselungsvirus beginnt, (nach dem Nachladen), mit der Verschlüss...
- IT-Sicherheit muss weder kompliziert, noch teuer sein. Schon mit einfachen Mitte...
Aktuelles, Branche, Gastbeiträge - Feb 18, 2019 14:45 - noch keine Kommentare
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
weitere Beiträge in Experten
- Wenn Kollegen zum Sicherheitsrisiko werden
- Upload-Filter: Faires europäisches Urheberrecht wird verspielt
- TU Graz: Internet der Dinge zuverlässiger machen
- Cyber-Sicherheit: Kontrolle und Verständnis als Erfolgsfaktoren
- Überwachungstechnologie: Globale Regulierung gefordert
Aktuelles, Branche, Gastbeiträge - Feb 18, 2019 14:45 - noch keine Kommentare
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
weitere Beiträge in Branche
- Wenn Kollegen zum Sicherheitsrisiko werden
- KMU: Über die Hälfte muss Windows-Version aktualisieren
- KRITIS: Cyber-Angriff als Ursache von Versorgungsengpässen
- Münchner Sicherheitskonferenz: Internet der Dinge als Schwerpunktthema
- Gehackte Daten: Illegaler Online-Handel boomt
Aktuelles, Branche, Studien, Umfragen - Feb 14, 2019 23:05 - noch keine Kommentare
Sicherheitsgründe: Nutzer meiden bestimmte Online-Dienste
weitere Beiträge in Service
- Thema Datenschutz: Verbraucherreaktion kulturabhängig
- Neue Macht der Verbraucher zwingt Unternehmen zum Handeln
- Cyber-Kriminalität: Jeder zweite Internetnutzer betroffen
- Sichere digitale Infrastrukturen: Mehrheit der Nutzer bevorzugt inländische Datenspeicherung
- Trendbarometer: IT-Sicherheitsbranche erwartet weiterhin Wachstum
Kommentieren