Die Art und Weise, wie Software entwickelt wird, ist im ständigen Wandel, wobei neue Methoden die Effizienz des Entwicklungsprozesses steigern. Auch die Softwarearchitektur entwickelt sich weiter, so dass ein Großteil der Software aus wiederverwendbaren Standardkomponenten aufgebaut werden kann. Man muss sich das wie beim Bau eines Fertighauses vorstellen, bei dem die Standardteile mit weitaus größerer Effizienz und Qualität in einer Fabrik gebaut werden können, während die wirklich wertvollen und individuell gestalteten Teile des Hauses dem Erbauer oder Handwerker vor Ort überlassen werden. Da sich die Welt der Softwareentwicklung rasant verändert, vervielfachen sich auch die Möglichkeiten für Sicherheitsrisiken, so dass die Kontrollsysteme, die Unternehmen beim Schutz der von ihnen entwickelten und bereitgestellten Software unterstützen sollen, ebenfalls anpassen werden müssen.
Constant Integration und Constant Deployment (die neuen Prozesse, die in die Cloud Native-Entwicklung eingeführt wurden) heben den Fortschritt auf ein Niveau an, bei dem der Mensch nicht mehr mithalten kann. Selbst der beste Ingenieur für Anwendungssicherheit könnte nicht mit etwas Schritt halten, das sich ständig verändert.
So langatmig sie auch sind, die NIST-Rahmenwerke sind insofern nützlich, als sie einen sehr umfassenden Ansatz für Sicherheitskontrollen verfolgen – sie durchdenken die Dinge gründlich und präsentieren eine Menge detaillierter Informationen. Man kann es auch so sehen, dass sie die Arbeit für Sie erledigt haben – quasi ein geschenkter Gaul. Ein Referenzrahmen wie NIST, der weltweit so häufig verwendet wird, bedeutet, dass alle am Schutz der Umwelt beteiligten Akteure das gleiche Notenblatt lesen.
Alle Arten von Sicherheitskontrollen beinhalten in der Regel eine gewisse manuelle Komponente. Ein Cyber-Analyst oder -Operator muss sich irgendwann etwas ansehen und ein Urteil fällen. Die Implikation von CI/CD ist ein höherer Automatisierungsgrad im Softwareentwicklungsprozess, und die Herausforderung besteht in der Regel darin, wie diejenigen Schritte in der Automatisierung abgedeckt werden können, die normalerweise von einem Menschen ausgeführt werden.
Es dürfte sehr schwierig werden, sowohl Cloud-native als auch Legacy-Softwareentwicklung auch zukünftig noch zu unterstützen. Die Entwicklung der Cloud hat Standardisierungen erzwungen und Effizienzsteigerungen ermöglicht, die es in der Welt der Legacy-Entwicklung normalerweise nicht gibt. Die Entwicklung von Legacy-Software findet in so vielen verschiedenen Umgebungen und auf so vielfältige Weise statt, dass es schwer vorstellbar ist, sie umzurüsten. Wenn ich einen Euro zur Verfügung hätte, würde ich ihn in eine schnellere Entwicklung in Richtung Cloud und Devsecops investieren, anstatt zu versuchen, etwas rückwirkend zu reparieren.
Es gibt viele verschiedene Arten von NIST-Frameworks, und es ist hilfreich zu verstehen, wie sie sich im Zusammenspiel verhalten. Ich denke, dass eine Präsentation der wichtigsten Erkenntnisse des NIST-Kontrollumfelds auf Führungsebene nützlich wäre – um zu zeigen, wie dieses neue Framework mit anderen zusammenhängt.
Ein Kommentar von Tom Molden, CIO Global Executive Engagement bei Tanium