Aktuelles, Branche - geschrieben von cp am Dienstag, Oktober 2, 2018 18:29 - noch keine Kommentare
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen
Mittlerweile hat sich DevOps für viele Unternehmen zu einem Wettbewerbsvorteil entwickelt / Security für viele IT-Verantwortlichen eine Herausforderung
Von unserem Gastautor Jens Freitag, Security Specialist bei Tenable
[datensicherheit.de, 02.10.2018] Mit DevOps steht Unternehmen eine nützliche Methode zur Prozessverbesserung in Rahmen der Systemadministration und Softwareentwicklung zur Verfügung: Gemeinsame Tools in der Entwicklung, im IT-Betrieb und der Qualitätssicherung ermöglichen eine effizientere Zusammenarbeit, so das Versprechen. Zudem bieten sie mehr Stabilität und lassen sich gut skalieren. Produkte können so schneller auf den Markt kommen, Neuveröffentlichungen sind weniger fehlerhaft und Zeitfenster bis zur Behebung verkleinern sich. Unternehmen profitieren von besserer Softwarequalität sowie effizienterer Organisation.
Jens Freitag, Security Specialist bei Tenable
Es ist nicht verwunderlich, dass es DevOps längst in die Unternehmen geschafft haben. Einer Umfrage zufolge nutzten 2017 bereits 56 Prozent der deutschen Unternehmen DevOps. Zur Technologie gehört jedoch auch die Sicherheit. Und hier hakt es noch. So fand die „2018 DevSecOps Community Survey“ heraus, dass knapp die Hälfte der Entwickler nicht genug Zeit für Security‑Fragen haben – auch keine Lösungen oder Prozesse erarbeiten.
Hacker nutzen bereits die mangelnde DevOps-Cyberhygiene aus und schleusen Crypto-Mining-Malware über Docker Hub Backdoors, Kubernetes-Konten und ungepatchte Drupal-Webapplikationen ein. Zwar erfordern Angriffe noch sehr viel Rechenleistung, um Profit aus Kryptowährungen generieren zu können, doch bald wird es ihnen noch leichter fallen.
Traditionelles Schwachstellenmanagement muss überdacht werden
Die Sicherheitsexperten sollten sich das zu Herzen nehmen, das traditionelle Schwachstellenmanagement überdenken und neue Sicherheitsmethoden einführen, um auch DevOps-Prozesse in ihre IT-Sicherheitsmaßnahmen einzubeziehen. Tenable erklärt, was dafür erforderlich ist.
- Kontinuierlich identifizieren und scannen. Monatliche oder vierteljährliche Scans sind in der DevOps-Welt nicht ausreichend. Kontinuierliche Softwarebereitstellung bedeutet, dass sich die Umgebung ständig verändert. Aus diesem Grund sollten Unternehmen Cyberrisiken kontinuierlich identifizieren sowie bewerten und das über den gesamten Lebenszyklus der Softwareentwicklung hinweg – von der Bedarfsanalyse bis zum Einsatz. Nur so können Unternehmen vollständige Transparenz gewährleisten.
- Sicherheitsmaßnahmen in DevOps-Prozesse integrieren. Sicherheitstests und -kontrollen sollten ein integraler Bestandteil des Softwareentwicklungs-Lebenszyklus sein und in die Entwicklungspipeline integriert werden. Wieso Schwachstellen, Malware und Fehlkonfigurationen nicht wie jede andere Art von Softwarefehler behandeln und so früh wie möglich beheben, bevor z. B. die Codequalität leidet?
- Sicherheitsabläufe automatisieren. Um die Skalierbarkeit und Geschwindigkeit von DevOps zu unterstützen, sollten Verantwortliche Sicherheitskontrollen programmgesteuert mit APIs in DevOps-Systeme einbinden und so die Vorteile der Automatisierung während des gesamten Entwicklungszyklus nutzen. Anstatt die Images anhand vordefinierter Security Gates manuell zu bewerten, können die Teams Sicherheitstests automatisch auslösen, um alle Build‑Prozesse zu bewerten, wenn sie erstellt werden.
Der Markt bietet mittlerweile viele Lösungen, die Unternehmen dabei unterstützen. Cloud‑Konnektoren tracken etwa kontinuierlich Asset-Veränderungen, um sicherzustellen, dass alle Cloud-Workloads bekannt sind und auf Schwachstellen untersucht werden. Dabei werden die Lösungen oft in CI/CD-Systeme (Continuous Integration and Continuous Delivery) integriert, um Schwachstellen und Malware schon während der Entwicklung zu beheben. Gut dokumentierte APIs ermöglichen es zudem, Sicherheitsscans zu automatisieren und Kontrollen innerhalb von Workflows zu integrieren. Für IT‑Verantwortliche bedeutet dies, dass es durchaus Möglichkeiten gibt, etwas gegen ihre Bauchschmerzen zu unternehmen.
Weitere Informationen zum Thema:
datensicherheit.de, 09.08.2018
Verbesserung der Cybersicherheit im Finanzsektor
datensicherheit.de, 25.07.2018
Intelligente Anwendung zur Verteidigung gegen Ransomware
Aktuelles, Experten, Studien - Nov 8, 2024 19:30 - noch keine Kommentare
it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
weitere Beiträge in Experten
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
- Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung
Aktuelles, Branche - Nov 8, 2024 19:20 - noch keine Kommentare
Sophos X-Ops analysieren Cyber-Attacken per Quishing
weitere Beiträge in Branche
- ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken
- SweetSpecter hatte OpenAI im Visier
- Smart Cities: Aspekte der Sicherheit in urbaner Zukunft
- Fit für DORA in 3 Schritten: Birol Yildiz rät zum effektiven Incident Management zwecks Stärkung der Cyber-Sicherheit im Finanzsektor
- Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren