Um DevOps abzusichern, sollen Sicherheitsteams unter Dampf stehen sein

Mangelnde Ressourcen, Unterbrechungen durch die weltweite Seuche und dies Versäumnis, Sicherheit in die DevOps-Pipeline zu integrieren, nach sich ziehen viele Unternehmen dazu gebracht, ihre Anwendungen abzusichern — und Sicherheitsteams, die versuchen, mit dem Entwicklungstempo Schritttempo zu halten, sagten Experten aufwärts dieser SecTor-Sicherheitskonferenz jene Woche.

Während 83 % dieser Chief Information Security Officers (CISOs) Software-Schwachstellen qua Risiko zu Händen ihr Unternehmen ansehen, holen weitestgehend zwei Drittel dieser Sicherheitsteams mit dem modernen Softwareentwicklungslebenszyklus (SDLC) aufwärts und purzeln zurück, sagte Will Kapcio , einem Lösungsingenieur zu Händen HackerOne, während einer Präsentation mehr als DevOps-Sicherheit.

Die Unterbrechung des Geschäftsbetriebs hat die Probleme verschärft, wodurch 30 % dieser Unternehmen ihre Ressourcen von Sicherheits-Apps aufwärts die Sicherung von Remote-Mitarbeitern umstellen und ein weiteres Drittel ihre Sicherheitsteams reduziert sehen.

Die Verschleierung von Sicherheitsressourcen und ihre Auswirkungen aufwärts die Geschäftsinnovation sorgen CISOs, sagte Kapcio.

„Wir wissen, dass unsrige Online-Dienste Schwachstellen aufzählen. Wir wissen, dass unsrige technologischen Wertströme mit zunehmender Performanz immer häufiger Schwachstellen importieren“, sagte er. „Im schlimmsten Kasus verlangsamen wir den Strahl, anstatt Hindernisse zwischen dieser Konfiguration an ein modernes SDLC zu entsorgen, weil wir uns Sorgen zeugen, neue Schwachstellen einzuführen und unser Risiko zu potenzieren.“

Agile Weiterentwicklung und DevOps sind zu Händen viele Unternehmen, die versuchen, mit Software und Dienstleistungen innovativ zu sein, zu einem wichtigen Weg in die Zukunft geworden, im Unterschied dazu die Sicherheit hat sich schwergewichtig getan, Schritttempo zu halten. Seitdem dieser Veröffentlichung des Agile Manifesto im Jahr 2001 hat sich die Anwendungsentwicklung von dieser Wasserfallentwicklung zur agilen Weiterentwicklung, zu einer agilen Unterbau und zu Continuous Integration und Continuous Delivery (CI/CD) entwickelt.

Viele Aspekte des Entwicklungsprozesses bleiben jedoch manuell, welches es dieser Sicherheit unmöglich macht, Einblick in die Sicherheit einer bestimmten Nutzung zu profitieren und die Zusammenarbeit mit den DevOps-Teams verhindert, sagte Yoni Leitersdorf, Geschäftsführer und Gründer von Indeni Cloudrail, während einer Präsentation aufwärts dieser SecTor-Kongress .

Die meisten Unternehmen verwenden Tools, um ihre Cloud-Umgebungen aufwärts Fehlkonfigurationen und Schwachstellen zu parsen, im Unterschied dazu jene Tools passen oft nicht gut in zusammenführen agilen Entwicklungsprozess.

“Es ist nicht sehr umsetzbar, weil Sie qua Sicherheitsexperte keine Änderungen an dieser Cloud-Umgebung vornehmen können”, sagte er. “Und wenn Sie zum Infrastrukturteam möglich sein und sagen: ‘Hey, Volk, wir nach sich ziehen all jene Probleme in dieser Cloud-Umgebung gefunden, lasst uns sie beheben’, werden sie Ihnen sagen, dass Sie Tickets öffnen und Prioritäten setzen sollen … und die meisten Probleme tun sie. nicht hinkommen.”

Drei Säulen von DevOps
Teil von CI/CD ist dieser Pressung, jeden Teil dieser Weiterentwicklung durch Konfigurationsdateien zu verwalten, die Entwickler und Betriebsteams ändern und live veräußern können. Infrastructure-as-Identifikator und Security-as-Identifikator sind beiderartig Teil dieser Weiterentwicklung. Um sich weiter zu verbessern, sollen Unternehmen jedoch drei Säulen von DevOps nehmen: den Strahl des Codes von mehreren Köpfen in die Produktion, die Nutzung von Feedback, um DevOps-Teams aufwärts den richtigen Weg zu münden, und kontinuierliches Lernen. Dazu gehört die Integration von Lektionen in automatisierte Systeme, um zukünftige Fehler zu vermeiden, sagte Kapcio.

Viele Softwareentwicklungs- und Sicherheitsteams nach sich ziehen jene Lektionen nicht spekulativ, sagte er.

“Sicherheit stört den Strahl, gibt negatives Feedback und scheint nie zu lernen”, sagte Kapcio. „Wir nach sich ziehen ständig neue Fehler, und jene Tarif steigt nur, da immer mehr Unternehmen Agile und DevOps implementieren. Wenn Sicherheitsprobleme früher im Lebenszyklus erkannt werden, dauert die Beseitigung weniger Zeit, und genau hier Kopfgeldprogramm kann helfen.”

HackerOne verwendet DevOps in seinen eigenen Prozessen, schiebt Identifikator etwa 10 Mal pro Tag in die Produktion und veröffentlicht monatlich drei solange bis sechs neue Funktionen, sagte Kapcio. Dasjenige Unternehmen verfolgt eine Vielzahl von Metriken, darunter Zykluszeit, Durchsatz pro Entwickler, Änderungsfehlerrate und durchschnittliche Zeit solange bis zur Problemlösung.

Kapcio argumentierte, dass Programmierfehler Bountys die Beweglichkeit potenzieren, welches nicht verwunderlich ist, wenn man bedenkt, dass HackerOne ein Lieferant von Programmierfehler-Bounty-Management-Diensten ist. Im Kontext Hackern und Programmierfehler Bounties geht es drum, Schwachstellen zu finden, jene Sicherheitsprobleme zu beheben und dieses Feedback zu nutzen, um die Anwendungsentwicklung zu informieren, sagte er. In mehr qua drei Viertel dieser Programmierfehler-Bounty-Programme – 77 % – finden Hacker intrinsisch dieser ersten 24 Zahlungsfrist aufschieben eine gültige Schwachstelle.

Leitersdorf von Indeni Cloudrail drängte jedoch darauf, Sicherheit in die gleichen Prozesse zu integrieren, die Entwickler zu Händen Funktionstests und Codeprüfungen verwenden. Durch die Verwendung dieser gleichen Prozesse fährt die Sicherheit mit den Entwicklern mit, anstatt zu versuchen, ihre Teams zu leiten, sagte er.

“Die gleichen Konzepte, die zu Händen Funktionstests von Anwendungscode verwendet werden, können zu Händen Sicherheitstests von Infrastrukturen verwendet werden”, sagte Leitersdorf. “Und dies ist irgendetwas, dies führende Ingenieure unterstützen, weil es zu dem passt, welches sie schon zwischen dieser Anwendungsbereitstellung tun.”

Die Konzentration aufwärts eine Pipeline mit Infrastructure-as-Identifikator ermöglicht es Sicherheitsteams, statische Analysetools einzubauen, um Schwachstellen frühzeitig zu wiedererkennen, dynamische Analysetools, um Probleme in Staging und Produktion zu wiedererkennen, und Tools zur Richtliniendurchsetzung, um kontinuierlich zu nachsehen, ob die Unterbau normiert ist, sagte Leitersdorf .

“Wenn Sie jetzt darüber nachdenken, wie Sicherheit jetzt gemacht werden kann, anstatt Sicherheit am Finale des Prozesses zu tun … Sie können jetzt Sicherheit von Entstehen an mehr als jeden Schritttempo im Prozess solange bis hin zum Finale tun. Die meisten Sicherheitsprobleme werden sehr Vormittag gefangen, und dann wird eine Handvoll von ihnen in dieser Live-Umgebung gefangen und dann sehr schnell behoben”, sagte er.

Entwickler können ihre Performanz zwischen dieser Weiterentwicklung und Zurverfügungstellung von Anwendungen erhalten und taktgesteuert die Zeit zu Händen die Beseitigung von Sicherheitsproblemen verkürzen. Und Sicherheitsteams können enger mit DevOps-Teams zusammenarbeiten, sagte er.

“Punktum Sicht des Sicherheitsteams wahrnehmen Sie sich besser, Sie wahrnehmen sich sicherer, Sie nach sich ziehen Leitplanken um Ihre Entwickler herum, um dies Risiko von Fehlern aufwärts dem Weg und den Oberbau einer unsicheren Unterbau zu verringern, und Sie nach sich ziehen jetzt Einblick in ihren DevOps-Prozess, ein riesiger Zugabe, “, sagte Leitersdorf. „Dasjenige ist die Zukunft – die Zukunft liegt in dieser Sicherheit dieser Unterbau qua Identifikator und in dieser Cloud-Sicherheit aufwärts eine Weise, die Entwickler verstehen und damit interagieren können.“