Cloud-Sicherheit: 5 wichtige Erkenntnisse aus der DevSecOps-Umfrage von SANS

Ein aktueller Report des SANS Institute kommt zu dem Schluss, dass DevSecOps-Teams zwar ihre Tools, Prozesse und Techniken verbessern, die zunehmend hybriden und Multi-Cloud-IT-Umgebungen ihrer Unternehmen jedoch immer schwieriger abzusichern sind. Informieren Sie sich über die wichtigsten Ergebnisse der „SANS 2022 DevSecOps-Umfrage".

Unternehmen verbessern DevSecOps – die Abstimmung von Entwicklungs-, Operations- und Sicherheitsteams, Tools und Prozessen – kontinuierlich, doch die Stärkung ihrer Sicherheitslage wird aufgrund neuer, komplexerer Herausforderungen keinesfalls einfacher.

Das ist eine der wichtigsten Erkenntnisse aus der SANS-Umfrage 2022 zum Thema DevSecOps des SANS Institute, die auf einer Umfrage unter 431 Sicherheitsverantwortlichen und Sicherheitsexperten weltweit basiert.

In diesem Blog präsentieren wir Ihnen fünf Erkenntnisse aus dem Report, der einen detaillierten Einblick in DevSecOps-Trends bietet und konkrete Empfehlungen enthält, um DevSecOps-Bestrebungen auf Kurs zu halten. Darüber hinaus zeigen wir auf, wie Tenable helfen kann.

Die Ursache für viele der im SANS-Report genannten DevSecOps-Herausforderungen liegt in der zunehmend hybriden Multi-Cloud-Struktur der IT-Umgebungen von Unternehmen, in denen Anwendungen „mehr denn je“ sowohl On-Prem als auch auf mehreren Cloud-Plattformen unter Verwendung von virtuellen Maschinen, Containern und Serverless-Funktionen gehostet werden.

„Solche Umgebungen stellen aufgrund der inhärenten Unterschiede zwischen den verschiedenen Cloud-Service-Anbietern und den sehr unterschiedlichen Anforderungen an das On-Premises-Hosting eine Herausforderung für die Sicherheit dar“, heißt es in dem 20-seitigen Report, der von Tenable gesponsert wurde.

Fünf Erkenntnisse zur Stärkung Ihrer DevSecOps-Strategie

 Quelle: SANS Institute, „SANS 2022 DevSecOps Survey“, September 2022

1. Die Befragten wurden gebeten, die wichtigsten Faktoren aufzulisten, die zu ihrem DevSecOps-Erfolg beitragen:
   • Einbindung der Unternehmensleitung
   • Verbesserte Kommunikation zwischen Entwicklung, Sicherheit und Operations
   • Automatisierter Workflow für Entwicklung, Tests und Bereitstellung
   • Integrierte automatische Sicherheitstests
   • Einbindung der Entwickler
2. DevSecOps-Teams machen zu wenig Gebrauch von CSPM-Software (Cloud Security Posture Management), die dabei helfen kann, große Multi-Cloud-Umgebungen mit einem Mix aus VMs, Containern und Serverless abzusichern. Der Report legt nahe, dass Unternehmen eine verstärkte Nutzung und Einführung von CSPM-Produkten in Erwägung ziehen.
3. CSPM und Policy-as-Code unterstützen Unternehmen dabei, die Durchsetzung ihrer Compliance-Richtlinien noch stärker zu automatisieren. Der Anteil der Befragten, die angaben, dass ihre Richtlinien zu 100 % automatisch durchgesetzt werden, stieg von 5,1 % im Jahr 2021 auf 18,4 % in diesem Jahr.
4. Angesichts der Tatsache, dass DevSecOps-Teams Software immer schneller und häufiger an Produktionsumgebungen übergeben – manche täglich, andere sogar rund um die Uhr – sollten sie sicherstellen, dass sämtlicher Code über eine CI/CD-Pipeline (Continuous Integration / Continuous Deployment) mit integrierten Sicherheitstests bereitgestellt wird.
5. Allgemein haben Sicherheitstests während des Build- und Release-Zyklus zugenommen, mit einer einzigen Ausnahme: Die Nutzung von Sicherheits-Plug-Ins in integrierten Entwicklungsumgebungen (IDEs) ist im Vergleich zum letzten Jahr zurückgegangen.

Quelle: SANS Institute, „SANS 2022 DevSecOps Survey“, September 2022

Wie kann Tenable Ihnen helfen, diese Erkenntnisse für sich zu nutzen?

Tenable bietet Software-as-a-Service (SaaS)-Lösungen und -Expertise an, wie beispielsweise Tenable Cloud Security, eine einheitliche Lösung für Cloud Security Posture Management (CSPM) und Schwachstellen-Management, die eingesetzt werden kann, um viele der Ergebnisse aus der SANS-Studie zu unterstützen, unabhängig davon, wo auf Ihrem Weg Sie sich gerade befinden:

1. Um die Einbindung der Unternehmensleitung zu verbessern und die DevSecOps-Zusammenarbeit zu fördern, bietet Tenable Cloud Security Führungskräften und DevSecOps-Mitarbeitern integrierte, rollenbasierte Dashboards. Diese bieten die nötigen gezielten Einblicke, um bessere Sicherheitsentscheidungen für die jeweiligen Funktionsbereiche zu treffen. Beispielsweise ermöglicht es ein übergreifender Cyber Exposure Score Führungskräften und Cloud-Sicherheitsarchitekten, die allgemeine Cloud-Sicherheitslage ihres Unternehmens im Vergleich zu Branchenkollegen zu beurteilen und ihre Investitionsentscheidungen zu rechtfertigen.
2. Um die Probleme bei der Absicherung von Cloud-Umgebungen mit verschiedenen Anbietern zu verringern, unterstützt Tenable Cloud Security gängige Best Practices wie z. B. die Benchmarks des Center for Internet Security (CIS) und wendet diese konsistent auf alle Cloud-Anbieter und Technologien an - von virtuellen Maschinen bis hin zu cloud-nativen Architekturen mit Infrastructure as Code (IaC), Containern und Kubernetes. Zudem ermöglicht die Lösung das Definieren von maßgeschneidertem Policy-as-Code, um speziellen Anforderungen gerecht zu werden.
3. Zur Durchsetzung von Compliance im großen Maßstab unterstützt Tenable Cloud Security Compliance-Tests für kritische regulatorische Frameworks wie PCI DSS (Payment Card Industry Data Security Standard), HIPAA (Health Insurance Portability and Accountability Act), die Datenschutz-Grundverordnung (DSGVO) und andere in allen Runtime-Umgebungen – Entwicklung, Test, Staging und Produktion. Zudem bietet die Lösung automatisiertes Compliance-Reporting, Drift-Erkennung und Warnmeldungen, wenn Runtime-Konfigurationen von den Vorgaben abweichen.
4. Damit gewährleistet ist, dass Sicherheitstests in CI/CD-Pipelines angewendet werden, lässt sich Tenable Cloud Security in gängige CI/CD-Tools integrieren und nutzt eine umfangreiche Wissensdatenbank mit 1.500 Richtlinien und 72.000 Schwachstellen von Tenable Research, um Fehlkonfigurationen in IaC und Schwachstellen in Images zu identifizieren sowie automatische Leitplanken bereitzustellen, die bei schweren Verstößen eine Benachrichtigung auslösen oder die Bereitstellung verhindern.
5. Um die Automatisierung von Build- und Release-Workflows voranzutreiben, bietet Tenable Cloud Security zusätzliche Testoptionen für DevSecOps-Teams. Dazu gehören das Testen von Code durch Entwickler auf ihrem Desktop, Integration und Testen von Repositorys zur Quellcode-Verwaltung sowie die Möglichkeit, automatisierte Pull-Requests zu erstellen, die konformen Code enthalten, den Entwickler mit nur einem Klick akzeptieren oder Sicherheitsteams für die automatische Fehlerbehebung einstellen können.

Mehr erfahren

• Besuchen Sie die Tenable Cloud Security-Lösungsseite: https://www.tenable.com/solutions/cloud-security-posture-management
• Lesen Sie die „SANS 2022 DevSecOps-Umfrage“ des SANS Institute
• Schauen sich das Webinar von Tenable an: „When It Comes to Effective Cloud Security, Sharing is Caring“ (auf Englisch)