Erkunden von Continuous Security

  • 6 Minuten

Continuous Security ist eine der acht Funktionen in der DevOps-Taxonomie.

Gründe, weshalb Continuous Security erforderlich ist

Cyberkriminalität ist ein unausweichliches Phänomen des digitalen Zeitalters. Viele Organisationen werden täglich in böswilliger Absicht angegriffen, um Schaden anzurichten. Doch nicht nur unsere Organisationen, sondern auch wir als Benutzer von Drittanbieterdiensten sind mögliche Ziele dieser Angriffe.

Nachfolgend finden Sie einige Praxisbeispiele.

Firma Reale Storys
Symbol für Probleme, die Yahoo Yahoo betreffen 2013 waren alle 3 Milliarden Yahoo-Benutzerkonten von Datendiebstahl betroffen. Die Untersuchung dieses Vorfalls ergab, dass die gestohlenen Informationen keine Kennwörter in Klartext, keine Zahlungskartendaten und keine Bankkontodetails enthielten.
Symbol für Probleme, die Uber Uber betreffen 2016 griffen Hacker auf die persönlichen Informationen von 57 Millionen Fahrgästen zu. Uber zahlte den Hackern 100.000 US-Dollar für die Vernichtung der Daten. Weder Regulierungsbehörden noch Benutzer wurden darüber informiert, dass die Informationen gestohlen wurden. Die Sicherheitsverletzung wurde erst ein Jahr später offengelegt.
Symbol für Probleme mit Auswirkungen auf Instagram 2017 waren Millionen von Konten von einem Hackerangriff auf Instagram betroffen, der zur Offenlegung der Telefonnummern dieser Benutzer führte. Die Telefonnummern wurden in einer Datenbank bereitgestellt, in der für 10 US-Dollar pro Suche nach den Kontaktinformationen der Instagram-Nutzer gesucht werden konnte.
Symbol für Probleme mit Auswirkungen auf Facebook Facebook 2018 gelang Hackern der Zugriff auf detaillierte persönliche Daten von 14 Millionen Facebook-Benutzer*innen. Die gestohlenen Daten umfassten Suchergebnisse, aktuelle Aufenthaltsorte und Heimatorte.
Symbol für ein Problem, das Equifax betrifft Am 6. März 2017 gab Apache Foundation ein neues Sicherheitsrisiko und einen verfügbaren Patch für das Struts 2-Framework bekannt. Kurze Zeit später informierte Equifax (eine Kreditauskunftei, die die Bonität von Kunden in den USA bewertet) einige Kunden darüber, dass es zu einer Sicherheitsverletzung gekommen war. Im September 2017 machte Equifax die Sicherheitsverletzung weltweit öffentlich bekannt. Die Sicherheitsverletzung betraf 145,4 Millionen Kunden in den USA und 8.000 Kunden in Kanada. Im Vereinigten Königreich waren insgesamt 15,2 Millionen Datensätze kompromittiert, darunter vertrauliche Daten von 700.000 Kunden. Im März 2018 informierte Equifax die Öffentlichkeit darüber, dass 2,4 Millionen mehr US-Kunden betroffen waren als ursprünglich bekanntgegeben.

Laut Michael Hayden (ehemaliger Direktor der NSA und CIA) sollten Sie stets davon ausgehen, dass eine Sicherheitsverletzung aufgetreten ist, und auf sämtlichen Ebenen einer Organisation sollten tiefgreifende Schutzmechanismen implementiert sein. Hayden unterteilt Unternehmen in zwei Gruppen: Unternehmen, bei denen es zu einer Sicherheitsverletzung gekommen ist, und Unternehmen, die noch nichts davon wissen.

Im Folgenden finden Sie die Philosophie der Microsoft-Produktgruppe, die Grundlage für unseren DevSecOps-Ansatz ist:

  • Es sollte stets davon ausgegangen werden, dass es bereits zu einer Sicherheitsverletzung gekommen ist
  • Akteure mit böswilliger Absicht befinden sich bereits mit internem Zugriff innerhalb des Netzwerks
  • Tiefgreifende Verteidigungs- bzw. Schutzmechanismen sind entscheidend

Organisationen installieren Anwendungen heute praktisch überall. Sie nutzen Web- und mobile Anwendungen für die Interaktion mit ihren Kunden, und führen Software für die große Anzahl von neuen IoT-Geräten (Internet der Dinge) aus. Diese Apps stellen jedoch ein immer größeres Risiko für Unternehmen dar. Bei einer Befragung der für die globale Netzwerksicherheit verantwortlichen Mitarbeiter von Unternehmen, bei denen innerhalb der letzten 12 Monate Sicherheitsverletzungen aufgetreten waren, gaben diese an, dass die beiden häufigsten Angriffe direkte Angriffe auf Webanwendungen sowie das Ausnutzen von anfälliger Software waren. Und in absehbarer Zukunft werden diese anfälligen Ziele noch mehr für die Kommunikation mit Kunden und die Übermittlung von Daten verwendet werden. Laut einer Forrester-Prognose wird die Mehrzahl der Unternehmen bis zum Jahr 2022 76 % bis 100 % ihres Gesamtumsatzes durch digitale Produkte und/oder Produkte generieren, die online vertrieben werden. Sicherheitsexperten müssen den Schwerpunkt also auf die Sicherheit von Anwendungen legen.

Das Diagramm zeigt die Ergebnisse des Zustands der Anwendungssicherheit, 2020, die zeigt, dass Anwendungen der häufigste Angriffsvektor bleiben. 42% externer Angriffe wurden durch Softwarerisiken durchgeführt. 35% wurden über Webanwendungen durchgeführt. 27% wurden mit gestohlenen Anmeldeinformationen durchgeführt. 25% waren auf die Ausbeutung verlorener oder gestohlener Vermögenswerte zurückzuführen, und 24% aufgrund strategischer Webkompromittierung. 24% wurden Denial-of-Service-Angriffe verteilt. 22% waren auf mobile Schadsoftware zurückzuführen. 21% waren DNS-Angriffe. 18% waren auf Phishing zurückzuführen. 15% waren Ransomware-Angriffe. 6% der Angriffe wurden durch Social Engineering begangen.

Bildquelle: State of Application Security, 2020, Forrester Research, Inc., 4. Mai 2020

Was ist Continuous Security?

Sicherheit ist das Anwenden von Technologien, Prozessen und Kontrollen zum Schutz von Systemen, Netzwerken, Programmen, Geräten und Daten vor unbefugtem Zugriff oder krimineller Nutzung.

Sicherheit bedeutet, dass Schutzmechanismen gegen vorsätzliche Angriffe und den Missbrauch wertvoller Daten und Systeme vorhanden sind, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

Wichtig

Dabei sollte hervorgehoben werden, dass der Schwerpunkt bei Sicherheitsverfahren nicht auf Fehlern, sondern auf vorsätzlichen Angriffen liegt. Dieser Aspekt ist wichtig, weil unterschiedliche Gegenmaßnahmen erforderlich sind: Bei Fehlern kann eine einfache Benachrichtigung oder Bestätigungsaufforderung ausreichend sein, bei böswilligen Handlungen ist dies keinesfalls genug.

Continuous Security ist eine Praxis, die sicherstellt, dass Sicherheit ein integraler Bestandteil des Softwarebereitstellungslebenszyklus ist. Continuous Security in DevOps sollte eine ganzheitliche Sicht der Sicherheit bieten, die die Sicherheitskultur, eine sichere Softwarebereitstellung und eine sichere Infrastruktur umfasst.

Für Continuous Security sind eine neue Denkweise, neue Kenntnisse und Automatisierung erforderlich.

Die drei folgenden Elemente sind Voraussetzung für Continuous Security:

  • Ein starker Sicherheitsfokus innerhalb der Unternehmenskultur
  • Eine Infrastruktur , die implementiert und betrieben wird, indem sie die neuesten bewährten Methoden für die Sicherheit einführen
  • Ein Softwarebereitstellungsprozess , der sich auf sicherheit konzentriert, z. B. den Microsoft Security Development Lifecycle (SDL)

Nachfolgend sind die drei Prinzipien in DevOps aufgeführt, die bei jeder Funktion (einschließlich Continuous Security) berücksichtigt werden müssen:

Prinzip BESCHREIBUNG
Symbol für Verschieben nach links
Verschieben nach links		 Shift-left bedeutet, Sicherheitsaktivitäten zu antizipieren und sie früher im Softwarebereitstellungsprozess durchzuführen, statt sie auf später im Prozess zu verschieben. Untersuchungen haben gezeigt, dass sich das Behandeln von Problemen zu einem früheren Zeitpunkt innerhalb des Entwicklungszyklus erheblich auf die Kosten und Verluste auswirkt.
Symbol für Automatisierung Automatisierung Die Automatisierung sich wiederholender Aktionen ist entscheidend, um die Möglichkeit von Fehlern zu reduzieren. Durch diesen Ansatz können Aufgaben und Prozesse, die typischerweise selten ausgeführt werden (z. B. die Bereitstellung), häufiger ausgeführt werden.
Symbol für kontinuierliche Verbesserung kontinuierliche Verbesserung Kontinuierliche Verbesserung erfolgt durch Analyse aktueller Verhaltensweisen und Identifizierung von Optimierungsmöglichkeiten.

Das Diagramm zeigt die Elemente der kontinuierlichen Sicherheit: Verschiebung nach links, kontinuierliche Verbesserung und Automatisierung. Diese Elemente sind in Kombination mit der sicheren Infrastruktur, der Sicherheitskultur und der sicheren Softwarebereitstellung verbunden und stellen einen ganzheitlichen Ansatz für die Sicherheit dar.

Wichtig

Wenn die drei Prinzipien Shifting Left, Automatisierung und kontinuierliche Verbesserung mit den Elementen von Continuous Security (Kultur, Softwarebereitstellung und Infrastruktur) kombiniert werden, stellen sie einen ganzheitlichen Ansatz an die Sicherheit dar.