Drei Gründe, warum DevOps die Spielregeln der Security grundlegend verändert
Über die DevOps-Revolution und warum diese eine echte Herausforderung für die Cybersecurity darstellt, wurde schon viel geschrieben. Ein wichtiger Punkt: Security-Teams werden größtenteils nicht in die DevOps-Scrums und -Sprints eingebunden. Dass das Thema Sicherheit in diese Prozesse nicht integriert wird – und zwar ausgerechnet in einer Disziplin, die stolz darauf ist, die Mauern zwischen verschiedenen Arbeitsbereichen einzureißen, und viel Wert auf Zusammenarbeit legt – ist kein tragbarer Zustand. Schließlich entsteht dadurch eine erhebliche Cyber-Exposure-Lücke, aufgrund der Cybersecurity-Experten stets alle Hände voll damit zu tun haben, Assets und Applikationen nach deren Veröffentlichung zu identifizieren und abzusichern – ein Kampf gegen Windmühlen. Gibt es denn keine bessere Methode?
Holen Sie sich „Container Security Best Practices: Ein How-To-Guide“
Zum Glück doch. Und zwar besteht die Lösung in noch mehr DevOps – genauer gesagt darin, Cybersecurity-Teams zur Einbindung von DevOps-Prinzipien in ihren eigenen Prozessen und Workflows zu ermutigen. Nachstehend finden Sie drei Gründe, warum das Kombinieren dieser beiden Praktiken die Spielregeln für Security grundlegend verändert.
1) Integrierte Sicherheit
Sicherheitstests müssen dort stattfinden, wo die Entwickler sind, also in der DevOps-Pipeline. Es geht darum, Sicherheitsprozesse an den Entwickler anzupassen und nicht anders herum. Dadurch wird sichergestellt, dass das Thema Sicherheit bei der Entwicklung nicht auf den zweiten Rang verwiesen wird und die Entwickler auch die Qualitätssicherungstests innerhalb ihrer Continuous Integration/Continuous Deployment (CI/CD)-Systeme durchführen. Die Integration von Sicherheit in DevOps ist somit ein großer Gewinn für die Cybersecurity und deren Wirksamkeit.
2) Automatisierung
Für eine funktionierende Cybersecurity ist es erforderlich, dass Tests und Audits überall dort, wo es möglich ist, automatisiert durchgeführt werden. Schließlich werden tagein tagaus Dutzende, wenn nicht gar Hunderte von Software-Updates veröffentlicht. Für Unternehmen, die allein auf manuelle Prozesse setzen, ist es daher praktisch unmöglich, in puncto Sicherheit am Ball zu bleiben. Viel sinnvoller ist es, Sicherheitstests bei jeder Build-Änderung bzw. der Erkennung neuer Schwachstellen automatisiert ablaufen zu lassen. Die fortlaufende Bereitstellung von Software und dazugehörigen Updates erfordert dementsprechend fortlaufende Sicherheitskontrollen.
3) Proaktive Prävention
Vor die Wahl gestellt, wenden Cybersecurity-Verantwortliche ihre Zeit ganz sicher lieber für die Einführung und Nutzung hochwertigerer Sicherheitsprogramme auf, um so für Compliance zu sorgen und das Risikomanagement zu verbessern (statt gegen Windmühlen zu kämpfen). Mit der proaktiven Identifizierung und Behebung von Schwachstellen bereits während der Entwicklung lässt sich – im Vergleich zur nachträglichen Behebung in der Produktion – erheblich Zeit und Geld sparen (laut einigen Schätzungen über 85 %). Das folgende alte Sprichwort gilt auch für das Thema Sicherheit: Vorbeugen ist besser als Heilen.
Wollen Sie im Jahr 2018 Ihre Sicherheitskosten reduzieren, blinde Flecken beseitigen und DevOps beschleunigen? Dann lesen Sie das IDG-Whitepaper 3 Gründe: Warum DevOps die Spielregeln der Security grundlegend verändert. Darin erfahren Sie, welche Schritte Sie unternehmen können, um einen proaktiveren Ansatz für eine bessere Zusammenarbeit zu fördern, Ihr Unternehmen zu schützen und Ihre Cyber Exposure-Lücke zu reduzieren. Sicherheit muss kein Hemmschuh sein – machen Sie sie zu Ihrem Wettbewerbsvorteil im digitalen Business.
Verwandte Artikel
AWS Access Analyzer Just Got Better, So Did Tenable Cloud Security
November 27, 2023AWS IAM Access Analyzer now has an API allowing you to make custom policy checks. Tenable Cloud Security allows you to easily use this API as part of its code scanning functionality. Find out how and ...
Cybersecurity Snapshot: CISOs Are Happier, but Dev Teams Still Lack Secure Coding Skills
January 20, 2023Learn all about the spike in CISO job satisfaction. Plus, NIST mulls major makeover of its Cybersecurity Framework. Also, the struggle to develop secure apps is real. Then check out how Uncle Sam plans to use AI and ML to boost cybersecurity. And much more!
What Happens When the Metaverse Enters Your Attack Surface?
December 12, 2022Tenable polled 1,500 cybersecurity, IT and DevOps professionals about their top concerns in the nascent virtual reality worlds of the metaverse. Here's what we found out.
Cybersecurity Snapshot: U.S. Gov’t Unpacks AI Threat to Banks, as NCSC Urges OT Teams to Protect Cloud SCADA Systems
March 29, 2024Check out new guidance for banks on combating AI-boosted fraud. Plus, how to cut cyber risk when migrating SCADA systems to the cloud. Meanwhile, why CISA is fed up with SQLi flaws. And best practices to prevent and respond to DDoS attacks. And much more!
Enhancing Transportation Cybersecurity and Fleet Management for the DoD
March 25, 2024Few things can halt operations across the Department of Defense like a critical failure of logistics and transportation. From automated asset inventory to malicious-activity detections through baselining, learn how Tenable OT Security can protect these critical functions within the DoD and work towards the federal government’s zero trust mandate in OT environments.
Cybersecurity Snapshot: NSA Picks Top Cloud Security Practices, while CNCF Looks at How Cloud Native Can Facilitate AI Adoption
March 22, 2024Check out the NSA’s 10 key best practices for securing cloud environments. Plus, learn how cloud native computing could help streamline your AI deployments. Meanwhile, don’t miss the latest about cyberthreats against water treatment plants and critical infrastructure in general. And much more!
- DevOps