Aktuelles, Branche - geschrieben von cp am Dienstag, Oktober 2, 2018 18:29 - noch keine Kommentare
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen
Mittlerweile hat sich DevOps für viele Unternehmen zu einem Wettbewerbsvorteil entwickelt / Security für viele IT-Verantwortlichen eine Herausforderung
Von unserem Gastautor Jens Freitag, Security Specialist bei Tenable
[datensicherheit.de, 02.10.2018] Mit DevOps steht Unternehmen eine nützliche Methode zur Prozessverbesserung in Rahmen der Systemadministration und Softwareentwicklung zur Verfügung: Gemeinsame Tools in der Entwicklung, im IT-Betrieb und der Qualitätssicherung ermöglichen eine effizientere Zusammenarbeit, so das Versprechen. Zudem bieten sie mehr Stabilität und lassen sich gut skalieren. Produkte können so schneller auf den Markt kommen, Neuveröffentlichungen sind weniger fehlerhaft und Zeitfenster bis zur Behebung verkleinern sich. Unternehmen profitieren von besserer Softwarequalität sowie effizienterer Organisation.
Jens Freitag, Security Specialist bei Tenable
Es ist nicht verwunderlich, dass es DevOps längst in die Unternehmen geschafft haben. Einer Umfrage zufolge nutzten 2017 bereits 56 Prozent der deutschen Unternehmen DevOps. Zur Technologie gehört jedoch auch die Sicherheit. Und hier hakt es noch. So fand die „2018 DevSecOps Community Survey“ heraus, dass knapp die Hälfte der Entwickler nicht genug Zeit für Security‑Fragen haben – auch keine Lösungen oder Prozesse erarbeiten.
Hacker nutzen bereits die mangelnde DevOps-Cyberhygiene aus und schleusen Crypto-Mining-Malware über Docker Hub Backdoors, Kubernetes-Konten und ungepatchte Drupal-Webapplikationen ein. Zwar erfordern Angriffe noch sehr viel Rechenleistung, um Profit aus Kryptowährungen generieren zu können, doch bald wird es ihnen noch leichter fallen.
Traditionelles Schwachstellenmanagement muss überdacht werden
Die Sicherheitsexperten sollten sich das zu Herzen nehmen, das traditionelle Schwachstellenmanagement überdenken und neue Sicherheitsmethoden einführen, um auch DevOps-Prozesse in ihre IT-Sicherheitsmaßnahmen einzubeziehen. Tenable erklärt, was dafür erforderlich ist.
- Kontinuierlich identifizieren und scannen. Monatliche oder vierteljährliche Scans sind in der DevOps-Welt nicht ausreichend. Kontinuierliche Softwarebereitstellung bedeutet, dass sich die Umgebung ständig verändert. Aus diesem Grund sollten Unternehmen Cyberrisiken kontinuierlich identifizieren sowie bewerten und das über den gesamten Lebenszyklus der Softwareentwicklung hinweg – von der Bedarfsanalyse bis zum Einsatz. Nur so können Unternehmen vollständige Transparenz gewährleisten.
- Sicherheitsmaßnahmen in DevOps-Prozesse integrieren. Sicherheitstests und -kontrollen sollten ein integraler Bestandteil des Softwareentwicklungs-Lebenszyklus sein und in die Entwicklungspipeline integriert werden. Wieso Schwachstellen, Malware und Fehlkonfigurationen nicht wie jede andere Art von Softwarefehler behandeln und so früh wie möglich beheben, bevor z. B. die Codequalität leidet?
- Sicherheitsabläufe automatisieren. Um die Skalierbarkeit und Geschwindigkeit von DevOps zu unterstützen, sollten Verantwortliche Sicherheitskontrollen programmgesteuert mit APIs in DevOps-Systeme einbinden und so die Vorteile der Automatisierung während des gesamten Entwicklungszyklus nutzen. Anstatt die Images anhand vordefinierter Security Gates manuell zu bewerten, können die Teams Sicherheitstests automatisch auslösen, um alle Build‑Prozesse zu bewerten, wenn sie erstellt werden.
Der Markt bietet mittlerweile viele Lösungen, die Unternehmen dabei unterstützen. Cloud‑Konnektoren tracken etwa kontinuierlich Asset-Veränderungen, um sicherzustellen, dass alle Cloud-Workloads bekannt sind und auf Schwachstellen untersucht werden. Dabei werden die Lösungen oft in CI/CD-Systeme (Continuous Integration and Continuous Delivery) integriert, um Schwachstellen und Malware schon während der Entwicklung zu beheben. Gut dokumentierte APIs ermöglichen es zudem, Sicherheitsscans zu automatisieren und Kontrollen innerhalb von Workflows zu integrieren. Für IT‑Verantwortliche bedeutet dies, dass es durchaus Möglichkeiten gibt, etwas gegen ihre Bauchschmerzen zu unternehmen.
Weitere Informationen zum Thema:
datensicherheit.de, 09.08.2018
Verbesserung der Cybersicherheit im Finanzsektor
datensicherheit.de, 25.07.2018
Intelligente Anwendung zur Verteidigung gegen Ransomware
Aktuelles, Experten - Apr 22, 2024 13:20 - noch keine Kommentare
Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
weitere Beiträge in Experten
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
- TÜV-Verband: Digitalministerkonferenz wichtiger, aber überfälliger Schritt zur Koordinierung der Digitalisierungsbestrebungen
- Cyber-Versicherungen: it’s.BB lädt zu Online-Seminar am 24. April 2024
Aktuelles, Branche, Studien - Apr 22, 2024 13:09 - noch keine Kommentare
KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren
weitere Beiträge in Branche
- StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an
- NIS-2: Die Bedeutung der Richtlinie für die Lieferkette
- Mittels internem Marketing Verständnis für IT-Sicherheitsmaßnahmen schaffen
- RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
- NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren