:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Silos aufbrechen und Secure DevOps etablieren Sichere Entwicklung von Web-Apps
Angesichts immer neuer Cyber-Bedrohungslagen sollte Security von Beginn an in die Entwicklung und über den Lebenszyklus einer Web-App eingebunden sein. So profitieren DevOps- und Security-Teams gleichermaßen davon.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Es ist heute eine Binsenweisheit, dass kollaborative Teams aus Entwicklern und Operations (DevOps) effizienter arbeiten. Ein gut gelebtes DevOps-Modell führt zu robusteren Prozessen und beschleunigt die Bereitstellungskadenzen von Webanwendungen.
Dieser ganzheitlich gedachte Ansatz ist aber trotzdem noch unvollständig. Die Log4J-Schlagzeilen zeigen leider wieder einmal, dass Webanwendungen und Schnittstellen (APIs) anfällig für Sicherheitslücken sind. Daher sollte ein gut abgestimmtes Secure DevOps-Konzept (DevSecOps) die Antwort sein: mit Fokus auf vier entscheidende Transformationsbereiche.
Feedbackschleifen ab Entwicklung über die gesamte Runtime
Kein Unternehmen möchte mit Sicherheitspannen und frustrierten Kunden in die Schlagzeilen kommen. Häufig ist der Reputationsschaden sogar viel größer als der materielle Schaden. Dagegen kann die konsequente Einbindung von Feedbackschleifen helfen – am besten gleich dort, wo die meisten Angriffe passieren: der Webanwendung.
Insbesondere wenn Unternehmen agile Prozesse und schnelle Releases eingeführt haben, müssen die Sicherheitsteams von Anfang an in den Entwicklungsprozess eingebunden werden. Die so gewonnenen Informationen über die ständigen Änderungen in der Runtime-Umgebung und die direkte Zusammenarbeit mit Entwicklung und Operations ermöglichen es dem Security-Team, auf Ereignisse zu reagieren, bevor sie zur Bedrohung werden.
Innovative DevSecOps-Teams belassen es aber nicht bei Trockenübungen. Sie setzen Web Application Firewalls der neuesten Generation (Next-Gen WAF) in der Produktivumgebung ein, um Anwendungen und APIs kontextbezogen zu überwachen. So erhalten Entwickler Informationen über Angriffe in Echtzeit.
Diese modernen Firewalls schützen außerdem vor einem breiteren Spektrum von Angriffen, wie Account-Übernahmen, Credential Stuffing, bösartigen Bots, API-Missbrauch, Anwendungs-DDoS, sowie vor klassischen OWASP Top-10-Angriffen. Effektivere Lösungen sind vor allem dort besonders wichtig, wo eine agile DevOps-Kultur zu dezentralen Anwendungen geführt hat, die in Multi-Cloud-Umgebungen, Containern, Rechenzentren oder Serverless verwaltet werden.
Gemeinsame Kultur und Demokratisierung von Informationen
Die Integration von Security bringt ähnliche Herausforderungen mit sich wie damals die Verschmelzung von Development und Operations. Es ergeben sich scheinbare Zielkonflikte zwischen Geschwindigkeit und Funktion auf der einen und Gefahrenabwehr und Compliance auf der anderen Seite.
Es gibt jedoch zwei hilfreiche Ansätze, wie Security Experten sich in diesem Umfeld agil einbringen können. Zum einen „Lean Security“ und zum anderen die Demokratisierung von Sicherheitsdaten.
Lean Security bedeutet, dass Sicherheitsexperten seltener und zielgerichteter intervenieren als dies früher der Fall war. So können DevSecOps-Teams Probleme gemeinsam lösen, anstatt sich gegenseitig zu blockieren oder sich die Verantwortung zuzuschieben. Dabei hilft es, wenn Selfservice-Arbeitsabläufe etabliert sind und sich die Arbeit der Sicherheitsexperten an die Prozesse der Entwickler anpasst.
Zu Lean Security gehört auch, dass Sicherheitsexperten ihre Befunde immer erst validieren bevor sie diese an DevOps melden. Diese frühzeitige Analyse von sowohl False-Positive- als auch False-Negative-Meldungen erlaubt eine schnelle Lösung und spart damit sehr viel Ressourcen.
Der zweite hilfreiche Ansatz für die Einbindung von Security-Experten ist die Demokratisierung aller Informationen im gesamten DevOps-Team. Dafür haben sich ChatOps bewährt, mit denen Erkenntnisse der Überwachungs-, Protokollierungs- und operativen Aufgaben ohne Verzug und proaktiv an das gesamte Team kommuniziert werden können. So lässt sich das bisher isolierte Wissen darüber, wo Angriffe stattfinden, im gesamten Unternehmen teilen.
Beschleunigung der Bereitstellungskadenz
Experten und Nutzer sind sich einig: Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. Auch bei einer schnellen Abfolge von Releases muss Sicherheit nicht zwingend leiden. Das gelingt beispielsweise durch den Einsatz von Continuous Integration (CI) und Continuous Delivery (CD).
Beides ermöglicht eine kontinuierliche Automatisierung und Überwachung über den gesamten Lebenszyklus einer Anwendung hinweg – also von Integration und Tests, bis hin zur Bereitstellungs- und Implementierungsphase. Doch was tun CI und CD im Detail?
Ein CI-System führt automatisch Tests aus und sendet die Ergebnisse an die Bereitstellungs-Pipeline, damit dort eventuelle Korrekturen vorgenommen werden können. Das verringert die Gesamtzahl der notwendigen Änderungen und macht jede Bereitstellung einfacher. Außerdem wird es Security Teams so ermöglicht, Änderungen an den sensibleren Teilen der Code-Base isoliert durchzuführen.
Ein CD-System wiederum gewährleistet, dass die Code-Änderungen eines Entwicklers automatisch auf Bugs getestet werden. Danach werden sie in eine Testumgebung geladen, wo Operations sie aktivieren kann. So entsteht Transparenz und Missverständnisse zwischen Dev und Ops werden vermieden. In Summe sorgt CD also dafür, dass neuer Code mit minimalem Aufwand implementiert werden kann. Das Sicherheitsteam kann dieses Spielfeld nutzen, indem statische und dynamische Sicherheitstools (SAST und DAST) zur Pipeline hinzugefügt werden.
Einer der Kerngedanken von CD ist, dass Code-Änderungen nur einmal erstellt werden und so weit wie möglich unveränderlich sind. Da CD Änderungen vom Testabschluss bis zur Bereitstellung trackt, erhöht sich Transparenz und Vertrauen. Security-Mitarbeiter haben so die Gewissheit, dass sie Änderungen auch später nachvollziehen können.
Bereitstellung von Infrastruktur als Code
Infrastruktur als Code (IaC) war bereits in den Anfängen der DevOps-Bewegung eine wichtige Triebfeder für mehr Integration. Heute speichern Operations-Teams Konfigurationen und Skripte nicht mehr in gemeinsam genutzten Laufwerken und Wikis, sondern sind zu Versionskontrollen und einer vollständigen Automatisierung ihrer Systeme übergegangen.
Je mehr DevOps gelebt wurde, umso mehr lernte man auch über IaC – die komplette Umsetzung des Systems als Code, das heißt von Vernetzung und Weiterleitung über Systemkonfiguration bis hin zu allen Akzeptanz- und Smoke-Tests. Kurzum: alles, was zum Erstellen, Ausführen, Testen, Ändern, Überwachen, Sichern und Zerstören der Infrastruktur und des gesamten Systems erforderlich ist, wird als Code ausgedrückt.
Dieser Paradigmenwechsel hat Folgen für die Sicherheit. Sind die Artefakte (= das Ergebnis eines Build), die das System und seine Komponenten beschreiben, in der Versionskontrolle enthalten, ist die Trennung zwischen Konfigurationen und Wikis sowie Dokumenten gewährleistet, und die Versionierbarkeit und Referenzierbarkeit der Konfigurationen ebenso. Konfigurations- und Laufzeitzustandsverfolgung ersetzen eine Konfigurationsmanagementdatenbank (CMDB) und sorgen für mehr Transparenz, die wiederum den Security-Kollegen eine bessere Überwachung ermöglicht.
Eine DevSecOps-Kultur bietet nur Vorteile
Am Ende profitieren alle von einer tiefgreifenden Integration der Sicherheit in DevOps. Feedbackschleifen ermöglichen Sicherheitsteams frühere Interventionen, wenn die Runtime-Umgebung sich rasant ändert. Lean Security und die Demokratisierung von Informationen über den gesamten Lebenszyklus einer Anwendung stärken eine Kultur der Zusammenarbeit und geteilten Verantwortlichkeit in DevSecOps-Teams.
Die Bereitstellungskadenzen werden so kürzer und es entstehen keine Nachteile für die Sicherheit. Und schließlich sorgt IaC für mehr Transparenz und steigert so die Anwendungssicherheit bis zum Deployment.
* Sean Leach ist Chief Product Architect bei Fastly, wo er sich auf die Entwicklung und Skalierung von Produkten rund um große, unternehmenskritische Infrastrukturen konzentriert. Zuvor war er VP Technology bei Verisign. Er hat einen Bachelor in Informatik von der University of Delaware. Seine aktuellen Forschungsschwerpunkte sind DNS, DDOS, Web-/Netzwerkleistung, Internet-Infrastruktur und die Bekämpfung der massiven Internet-Sicherheitsepidemie.
(ID:48022689)
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945940/original.jpg "Snyk weitet seine Sicherheitsstrategie auf End-to-End-Containerschutz und Cloud-Sicherheit aus. (Snyk)")