DevSecOps

Auf die Abwehr kommt es an

Um eine durchgehende Anwendungssicherheit zu gewährleisten, müssen Unternehmen rechtzeitig von DevOps auf DevSecOps umstellen.

Ein Torwart legt eine Glanzparade hin.

Agile Entwicklungsprozesse erfordern eine belastbare Defensive.

DevOps ist in vielen Unternehmen für die Anwendungsentwicklung auf dem Vormarsch: Kürzere Release-Zyklen und eine engere Verzahnung von Entwicklung (Development) und Software-Betrieb (Operations) versprechen eine möglichst schnelle Umsetzung von stabiler, hochwertiger Software. Sträflich vernachlässigt wird in den Unternehmen, die bereits auf den DevOps-Zug aufgesprungen sind, noch allzu oft der Aspekt der Anwendungssicherheit. Althergebrachtes Silodenken zwischen den Abteilungen Development, Operations und der IT-Sicherheit lässt gerade bei den dank DevOps beschleunigten Software-Prozessen erhebliche Risiken entstehen und führt bisweilen zu großem Schaden bei Unternehmen, die mit sensiblen Kundendaten arbeiten – wie etwa Versicherungen, E-Commerce-Treibende oder auch Behörden. Denn eine durchsnittliche Web-Anwendung ist für diverse Sicherheitsangriffe extrem anfällig und weist allein im Custom Code circa 26,7 Schwachstellen auf.

Berichte wie der „AppSec Intelligence Report” von Contrast Security zeigen mehr als deutlich, dass Cross-Site Scripting (XSS), SQL-Injections oder auch Path Traversals akute Gefahren insbesondere für Web-Applikationen darstellen. Angesichts der wachsenden Bedrohung durch Cyberkriminelle können Unternehmen nur gewinnen, wenn sie DevOps frühzeitig als Chance für ihre Sicherheit erkennen und den Ansatz hin zu DevSecOps erweitern.

Neue Herausforderungen

Der Prozessverbesserungsansatz „DevOps” hat die Software-Entwicklung drastisch beschleunigt. Sicherheitsteams, die traditionell relativ langsame Tests durchführen, stehen vor gänzlich neuen Herausforderungen: Waren bis vor Kurzem monatliche oder gar jährliche Sicherheitstests Standard, gilt es jetzt, eine tägliche Sicherheitsroutine in der Anwendungsentwicklung zu gewährleisten. Automatisierte Tests, bei denen ein gesondertes Expertenteam Tools wie statische Analysen und dynamische Scans einsetzt, stehen mit der jungen agilen Arbeitsweise im Kontrast. Ein gutes Beispiel ist die SQL-Injection, eines der gravierendsten Probleme von Web-Anwendungen. Die häufig eingesetzte Hacking-Technik nutzt eine Sicherheitslücke in SQL-Abfragen aus. Diese Schwachstelle tritt auf, wenn Angreifer nicht vertrauenswürdige Daten in eine Datenbankabfrage einfügen. Ein SQL-Injection-Angriff besteht aus dem Einfügen oder auch „Injizieren“ einer SQL-Abfrage über die Eingabedaten vom Client in die Anwendung.

In der Folge kann ein solcher Angriff unter anderem sensible Daten aus einer Datenbank auslesen oder verändern, Verwaltungsoperationen in der Datenbank ausführen oder gar Befehle ans Betriebssystem geben. Um die Anwendungssicherheit bereits im frühen Lebenszyklus der Software-Entwicklung zu erhöhen, können Entwickler neue Technologien wie Interactive Application Security Testing (IAST) und Runtime Application Self-Protection (RASP) einsetzen.

Durch die Integration von Sicherheitsmaßnahmen in alle drei Abschnitte der DevOps-Pipeline – Entwicklung, CI-/CD-Pipeline und Produktion – eröffnet sich mit DevSecOps eine wirksame Abwehr der gängigen Schwachstellen und Angriffstypen, die vor allem den Code betreffen, von dessen Entwicklung bis zu dessen Bereitstellung.

Ziel dieses Prozesses ist es zudem, die Sicherheitsprüfung direkt auf Anwendungsebene vor der Software-Produktion so zu automatisieren, dass sie als Teil der Pipeline kontinuierlich funktioniert. Im Anschluss kann man sich auf die Automatisierung der Tests und den Risikenschutz für das Unternehmen konzentrieren.

Schritt für Schritt zu mehr Sicherheit

Worauf also müssen Unternehmen auf dem Weg zu DevSecOps achten? Eine sukzessive Umsetzung ist der richtige Weg. Und das bedeutet nicht zwangsläufig den Einkauf kostspieliger Technik-Tools oder die Anstellung neuer Mitarbeiter in der IT-Abteilung. Vielmehr gilt es folgende Punkte zu beachten:

1. Zunächst müssen Unternehmen einen Security Workflow erstellen. Dies impliziert agile Sicherheitsarbeit – Arbeit in kleinen Schritten, die erst abgeschlossen sein muss, bevor sich die Teams auf eine übergeordnete Ebene begeben. Wichtig ist außerdem, dass die Arbeit der verschiedenen Abteilungen ineinandergreift und dass die Auswirkungen einer bestimmten Aufgabenstellung auf die gesamte Software-Produktion und den Ablauf geprüft werden kann. In Fragen der Sicherheit geht es nun mal um Rückverfolgbarkeit – und der größte Vorteil von DevSecOps besteht darin, die Nachvollziehbarkeit jedes einzelnen Schrittes und die Anpassungsfähigkeit des Systems sicherzustellen.

2. Des Weiteren spielen kurze, engmaschige Feedback-Schleifen zur Anwendungssicherheit eine ausschlaggebende Rolle. Erreicht das Feedback seinen Adressaten nicht umgehend, kann die Sicherheitslücke nicht rechtzeitig erkannt und geschlossen werden, was zu massiven Anwendungsschäden und in der Folge auch zu hohen Kosten führt. Dementsprechend wird der Einsatz moderner Technologien und Tools, die ein unverzügliches und zuverlässiges Feedback für Entwicklung und Betrieb ermöglichen, für Unternehmen auf dem Weg zu DevSecOps erfolgsentscheidend.

3. Über all dem steht die Etablierung einer neuen Lern- und Innovationskultur der IT-Organisation im Unternehmen rund um das Thema „Anwendungssicherheit“, die durch ständiges Experimentieren und in einer agilen Umsetzung stattfindet. In dieser können Veränderungspotenziale frühzeitig erkannt und umgesetzt werden. Auch eine wertschätzende Fehlerkultur ist von Nöten, die auf Schuldzuweisungen verzichtet und den Blick auf die Ursachen und Verbesserungsmöglichkeiten lenkt. Hacker werden auch künftig Katz und Maus mit den Unternehmen spielen. Damit letztere die Nase vorn behalten, muss eine ständige Weiterbildung in Sachen „Anwendungssicherheit“ selbstverständlich werden.

Compliance as Code

DevSecOps bedeutet also, die Sicherheitsanforderungen und Richtlinien direkt in Software umzusetzen, sobald sich ein Fehler oder eine Schwachstelle auftun. Mithilfe diverser Sicherheitstests können Problemfelder gefunden und unmittelbar beseitigt werden, bevor der tatsächliche Angriff geschieht. Wendet man diesen Ansatz auf den Code an, können die Entwickler ihn jederzeit anpassen, sobald eine Fehlermeldung erfolgt. Diese Methode nennt sich „Compliance als Code”. Der Clou daran: Je umfassender die Liste der Regeln ist, die Unternehmen sofort und genau testen können, desto weniger Sicherheitsspezialisten werden benötigt und desto schneller und sicherer sind die Software-Prozesse.

„DevSecOps“ ist trotz wachsender Bekanntheit und Akzeptanz bei Entwicklern und Sicherheitsteams in deutschen Unternehmen noch nicht weit verbreitet. Zwar hat laut einer Studie das Thema DevOps 82 Prozent mehr Relevanz als noch vor einem Jahr. Dennoch wird bei 41 Prozent der befragten Unternehmen kein Sicherheitsteam mit hinzugezogen, obwohl 92 Prozent der Befragten angaben, dass bei Projekten durchaus Sicherheitsrisiken gesehen werden. Unternehmen sollten mit einer Inventur der Anwendungen, APIs und weiteren Codes auf allen Unternehmensebenen beginnen und diese kontinuierlich fortführen. Des Weiteren muss konkret dokumentiert und nachweisbar sein, dass jede Anwendung richtige und effiziente Abwehrmechanismen hat. Für jede Anwendung sollte ersichtlich sein, wer angreift, welche Techniken dabei benutzt werden und ob eine Abwehr zur Laufzeit der Anwendung vorhanden ist. Wer DevOps also bereits umsetzt oder die Einführung plant, ist gut beraten, den Schutz der eigenen Anwendungen und Daten vor böswilligen Angriffen rechtzeitig mitzudenken. Dafür ist zunächst ein grundlegendes Bewusstsein im Unternehmen vonnöten. Werden dann konkrete Verhaltensregeln und Tool-Integrationen früh im DevOps-Prozess verankert, ist der Weg zu DevSecOps erfolgreich geebnet.

Bildquelle: Getty Images/iStock/Getty Images Plus

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok