Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.
Entwickler waren schon immer überlastet. Sie sind mit einem konstanten Fluss funktionsorientierter Arbeit aus dem Unternehmen konfrontiert und müssen diese mit Arbeit in Einklang bringen, bei der es um Leistung, Qualität und Zuverlässigkeit sowie technische Schulden geht. DevOps und hochautomatisierte CI/CD-Pipelines haben die Produktivität der Entwickler durch die Beseitigung wertloser, nicht entwicklungsbezogener Aufgaben zwar gesteigert, der Lieferdruck ist dadurch jedoch tatsächlich noch größer geworden. Laut DORA Accelerate 2018: Dem Bericht „State of DevOps“ zufolge führen DevOps-Teams mit hoher Leistung 46-mal häufiger Code-Bereitstellungen durch als Teams mit niedriger Leistung. Das bedeutet viel mehr Arbeit für die Entwickler – glücklicherweise mehr Arbeit mit großer Wirkung, aber dennoch mehr Arbeit.
Jetzt kommt die Sicherheitsbranche und fordert diese Unternehmen auf, ihre Sicherheit auf die nächste Stufe zu heben und DevSecOps einzuführen. Dies bedeutet, dass die Verantwortung für die Sicherheit früher im Entwicklungsprozess angesiedelt und in den DevOps-Ansatz für die Softwareentwicklung und -bereitstellung integriert wird. Im Prinzip klingt das großartig, aber DevSecOps-Gespräche beginnen selten mit der Empfehlung, zusätzliche Softwareentwickler einzustellen. Wie also sollen bereits überlastete Entwickler neben Funktionen, Qualität, Leistung und technischer Schuld auch noch die Last der Sicherheit tragen? Es ist nicht so, dass es ihnen egal wäre. Es ist nur eine Frage der Zeit. In einem aktuellen Threat Stack-Bericht gaben 44 % der DevOps-Experten an, dass sie sich bei sicherheitsrelevanten Problemen auf jemand anderen verlassen müssten. Und selbst wenn sie etwas Zeit finden, sich der Sicherheit zu widmen, fehlt vielen Entwicklern das Fachwissen, um zu wissen, wie sie die Sicherheit ihrer Anwendungen verbessern können. Einer Studie aus dem Jahr 2016 zufolge erfordert kein einziges der zehn führenden Informatikstudiengänge in den USA zum Abschluss einen Kurs in Cybersicherheit.
Für viele Entwickler klingt „Shift Left“ nach „Schütten Sie uns noch mehr Arbeit auf“.
Sicherheitsteams sind nicht unsympathisch. Sie spüren seit Jahren die Folgen von zu viel Software und zu geringem Sicherheitsschutz. Vielen Unternehmen fehlt ein dediziertes Anwendungssicherheitsteam und die Teams derjenigen, die über eines verfügen, sind völlig überlastet. Unternehmen mit einem formellen Softwaresicherheitsteam müssen der jüngsten BSIMM-Umfrage zufolge im Durchschnitt mit nur einem Sicherheitsteammitglied pro 75 Entwickler auskommen! Sie können sicher sein, dass der einzelne Sicherheitsprofi nicht derjenige sein möchte, der 75 Entwicklern im Weg steht, wenn es darum geht, den dem Unternehmen versprochenen Kundennutzen zu liefern! Auf der diesjährigen RSA-Konferenz gaben 40 % der Befragten an, dass das größte Hindernis bei der Implementierung von Anwendungssicherheitsprogrammen deren Auswirkungen auf die Agilität und Geschwindigkeit der Anwendungsentwicklung oder -bereitstellung seien.
Was ist also die Lösung? Sicherheit kann nicht einfach auf die lange Bank unvorbereiteter und überlasteter Entwicklungsteams geschoben werden. Zudem mangelt es den AppSec-Teams an Personal und Zugriff auf den SDLC, um sich frühzeitig im Prozess mit Anwendungsrisiken zu befassen.
Wir haben vor Kurzem Threat Stack Application Security Monitoring (auch bekannt als AppSec Monitoring) als Teil der Threat Stack Cloud Security Platform® (ohne zusätzliche Kosten) in unsere Full-Stack-Lösung zur Cloud-Sicherheitsbeobachtung eingeführt. AppSec Monitoring wurde entwickelt, um diese DevSecOps-Herausforderungen direkt anzugehen. Wir glauben, dass Anwendungssicherheit in einer DevOps-Welt möglich ist, wenn wir drei Ziele erreichen:
Entwickler fügen ihrer Anwendung AppSec Monitoring gleich zu Beginn der Entwicklung hinzu, indem sie es wie jede andere Drittanbieterkomponente als Abhängigkeit hinzufügen. Der Anwendung wird eine einzeilige Initialisierungsfunktion hinzugefügt und das ist alles, was für den Einstieg erforderlich ist. Es ist nicht erforderlich, Server oder zusätzliche Tools zu installieren oder Tests zu schreiben oder zu verwalten. Die AppSec-Überwachung läuft bei jeder Ausführung der Anwendung im Hintergrund, sodass der Entwickler ohne Verzögerung seiner Entwicklungsarbeit nachgehen kann. Von diesem Zeitpunkt an wird das AppSec-Monitoring für den Rest des SDLC weiterhin innerhalb der Anwendung ausgeführt, um dem Team beim Schutz und der Risikoreduzierung zu helfen.
(Eine einzeilige Codeergänzung fügt Threat Stack AppSec Monitoring zu jeder Node.js-Anwendung hinzu.)
Jedes Mal, wenn die Anwendung ausgeführt wird – sei es auf der lokalen Maschine eines Entwicklers, in der Build-Umgebung, im Test oder in der Produktion – analysiert Threat Stack die Anwendung, um potenzielle Risiken zu identifizieren. Risiken können durch die Verwendung schwacher Kryptografie, unsicherer Methodenaufrufe, falscher Datenbankkonfigurationen oder sogar durch die Verwendung bekanntermaßen anfälliger Komponenten von Drittanbietern entstehen. Sicherheitsexperten im Team (oder die Entwickler selbst) können die Ergebnisse prüfen, um zu entscheiden, welche zuerst behoben werden sollten – und Threat Stack hilft dabei, indem es sie nach Risikostufe kategorisiert.
Risiken können nur reduziert werden, wenn Entwickler über die Informationen verfügen, die sie zur Bewältigung dieser Risiken benötigen. AppSec Monitoring bietet dies in Form von E-Learning-Inhalten, die Entwicklern das Risiko in ihrer eigenen Sprache erläutern, mit Codebeispielen und Links zu weiteren externen Lerninhalten. Darüber hinaus hilft es Entwicklern dabei, die genaue Position des Risikos in ihrer Anwendung zu bestimmen (durch Hervorhebung des Methoden- und Modulnamens, des Dateinamens und sogar der Zeilennummer) – unabhängig davon, ob das Risiko in ihrem eigenen nativen Code oder in einer Drittanbieterkomponente steckt. Entwickler erhalten ein Verständnis für das Problem und verfügen über den Kontext, um es in ihrem Code zu finden und zu beheben – und zwar in den frühesten Entwicklungsphasen, wenn die Behebung einfacher und kostengünstiger ist.
Mit diesen drei Vorteilen – frühzeitige Risikoidentifizierung, Hilfe bei der Priorisierung sowie Kontext und Schulung zum Umgang mit den Risiken – wird die Anwendungssicherheit nicht vernachlässigt : Es ist nach links gestreckt . Es ist in den Prozess eingebettet und erleichtert die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsteams.
Selbst bei den besten Sicherheitsbemühungen während der Entwicklung kann es vorkommen, dass böswillige Akteure versuchen, eine Anwendung in der Produktion anzugreifen. Wenn dies der Fall ist, kann Threat Stack Application Security Monitoring diese Angriffe auch in Echtzeit erkennen und blockieren. Wie das genau funktioniert, erläutern wir im nächsten Beitrag.
Um mehr über das Application Security Monitoring von Threat Stack zu erfahren, das als Teil der Threat Stack Cloud Security Platform ohne zusätzliche Kosten verfügbar ist, melden Sie sich für eine Demo an. Unsere Sicherheitsexperten besprechen gerne Ihre spezifischen Sicherheits- und Compliance-Anforderungen.
Threat Stack heißt jetzt F5 Distributed Cloud App Infrastructure Protection (AIP). Beginnen Sie noch heute damit, Distributed Cloud AIP mit Ihrem Team zu verwenden.