Share
Beitragsbild zu Security-Sorgenkind DevOps – wie schützen Unternehmen sich richtig?

Security-Sorgenkind DevOps – wie schützen Unternehmen sich richtig?

Mittlerweile hat sich DevOps für viele Unternehmen zu einem Wettbewerbsvorteil entwickelt. Doch bereitet die Security vielen IT-Verantwortlichen noch immer Bauchschmerzen.

Mit DevOps steht Unternehmen eine nützliche Methode zur Prozessverbesserung in Rahmen der Systemadministration und Softwareentwicklung zur Verfügung: Gemeinsame Tools in der Entwicklung, im IT-Betrieb und der Qualitätssicherung ermöglichen eine effizientere Zusammenarbeit. Zudem bieten sie mehr Stabilität und lassen sich gut skalieren. Produkte können so schneller auf den Markt kommen, Neuveröffentlichungen sind weniger fehlerhaft und Zeitfenster bis zur Behebung verkleinern sich. Unternehmen profitieren von besserer Softwarequalität sowie effizienterer Organisation.

Es ist nicht verwunderlich, dass es DevOps längst in die Unternehmen geschafft haben. Einer Umfrage zufolge nutzten 2017 bereits 56 Prozent der deutschen Unternehmen DevOps. Zur Technologie gehört jedoch auch die Sicherheit. Und hier hakt es noch. So fand die 2018 DevSecOps Community Survey“ heraus, dass knapp die Hälfte der Entwickler nicht genug Zeit für Security Fragen haben – auch keine Lösungen oder Prozesse erarbeiten.

Hacker nutzen bereits die mangelnde DevOps-Cyberhygiene aus und schleusen Crypto-Mining-Malware über Docker Hub Backdoors, Kubernetes-Konten und ungepatchte Drupal-Webapplikationen ein. Zwar erfordern Angriffe noch sehr viel Rechenleistung, um Profit aus Kryptowährungen generieren zu können, doch bald wird es ihnen noch leichter fallen. 

Die Sicherheitsexperten sollten sich das zu Herzen nehmen, das traditionelle Schwachstellenmanagement überdenken und neue Sicherheitsmethoden einführen, um auch DevOps-Prozesse in ihre IT-Sicherheitsmaßnahmen einzubeziehen. Tenable erklärt, was dafür erforderlich ist.

Kontinuierlich identifizieren und scannen. Monatliche oder vierteljährliche Scans sind in der DevOps-Welt nicht ausreichend. Kontinuierliche Softwarebereitstellung bedeutet, dass sich die Umgebung ständig verändert. Aus diesem Grund sollten Unternehmen Cyberrisiken kontinuierlich identifizieren sowie bewerten und das über den gesamten Lebenszyklus der Softwareentwicklung hinweg – von der Bedarfsanalyse bis zum Einsatz. Nur so können Unternehmen vollständige Transparenz gewährleisten.

Sicherheitsmaßnahmen in DevOps-Prozesse integrieren. Sicherheitstests und -kontrollen sollten ein integraler Bestandteil des Softwareentwicklungs-Lebenszyklus sein und in die Entwicklungspipeline integriert werden. Wieso Schwachstellen, Malware und Fehlkonfigurationen nicht wie jede andere Art von Softwarefehler behandeln und so früh wie möglich beheben, bevor z. B. die Codequalität leidet?

Sicherheitsabläufe automatisieren. Um die Skalierbarkeit und Geschwindigkeit von DevOps zu unterstützen, sollten Verantwortliche Sicherheitskontrollen programmgesteuert mit APIs in DevOps-Systeme einbinden und so die Vorteile der Automatisierung während des gesamten Entwicklungszyklus nutzen. Anstatt die Images anhand vordefinierter Security Gates manuell zu bewerten, können die Teams Sicherheitstests automatisch auslösen, um alle Build Prozesse zu bewerten, wenn sie erstellt werden.

Der Markt bietet mittlerweile viele Lösungen, die Unternehmen dabei unterstützen. Cloud Konnektoren tracken etwa kontinuierlich Asset-Veränderungen, um sicherzustellen, dass alle Cloud-Workloads bekannt sind und auf Schwachstellen untersucht werden. Dabei werden die Lösungen oft in CI/CD-Systeme (Continuous Integration and Continuous Delivery) integriert, um Schwachstellen und Malware schon während der Entwicklung zu beheben. Gut dokumentierte APIs ermöglichen es zudem, Sicherheitsscans zu automatisieren und Kontrollen innerhalb von Workflows zu integrieren. Für IT Verantwortliche bedeutet dies, dass es durchaus Möglichkeiten gibt, etwas gegen ihre Bauchschmerzen zu unternehmen.

https://de.tenable.com/

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Featured image for “Wie man RMM-Software mit einer Firewall absichert”

Wie man RMM-Software mit einer Firewall absichert

Featured image for “Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024”

Red Sifts vierteljährliche Produktveröffentlichung vom Frühjahr 2024

Featured image for “Konvergiert vs. Einheitlich: Was ist der Unterschied?”

Konvergiert vs. Einheitlich: Was ist der Unterschied?

Studien

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Featured image for “Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle”

Zunahme von „Evasive Malware“ verstärkt Bedrohungswelle

Featured image for “Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart”

Neuer Report bestätigt: Die Zukunft KI-gestützter Content Creation ist längst Gegenwart

Featured image for “Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht”

Neue Erkenntnisse: Trend-Report zu Bankbetrug und Finanzdelikten in Europa veröffentlicht

Featured image for “Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen”

Studie: Rasantes API-Wachstum schafft Cybersicherheitsrisiken für Unternehmen

Whitepaper

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Featured image for “Sechs Vordenker in Sachen Cybersicherheit”

Sechs Vordenker in Sachen Cybersicherheit

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI