Innovatiebeveiliging

  • Artikel
  • 13 minuten om te lezen

Innovatie is het levensblood van een organisatie in het digitale leeftijd en moet zowel worden ingeschakeld als beveiligd. Innovatiebeveiliging beschermt de processen en gegevens van innovatie tegen cyberaanvallen. Innovatie in het digitale leeftijd heeft de vorm van het ontwikkelen van toepassingen met behulp van de DevOps- of DevSecOps-methode om snel te innoveren zonder te wachten op de traditionele watervalplanning die maanden of jaren tussen releases kan duren.

DevSecOps-hart

Voor het ontwikkelen van nieuwe mogelijkheden en toepassingen moet aan drie verschillende vereistetypen worden voldaan:

  • Bedrijfsontwikkeling ( ): uw toepassing moet voldoen aan zakelijke en gebruikersbehoeften, die vaak snel veranderen.
  • Beveiliging ( ): uw toepassing moet bestand zijn tegen aanvallen van snel veranderende aanvallers en profiteren van innovaties in beveiligingsbeveiliging.
  • IT-bewerkingen ( ): uw toepassing moet betrouwbaar zijn en efficiënt presteren.

Het samenvoegen van deze drie vereisten en het creëren van een gedeelde cultuur is van cruciaal belang, maar vaak lastig. Leiders van ontwikkelings-, IT- en beveiligingsteams moeten samenwerken om deze wijziging te stimuleren. Zie voor meer informatie het imperatieve leiderschap: mix van de culturen.

Wat is DevSecOps?

Technologie-innovatie wordt vaak ontwikkeld in de context van een snelle lean en flexibele ontwikkelingsbenadering waarbij ontwikkeling en bewerkingen worden gecombineerd in een DevOps-proces. We hebben geleerd dat het integreren van beveiliging in dat proces essentieel is om risico's voor het innovatieproces, de groei van de organisatie en de bestaande assets in de organisatie te beperken. Het integreren van beveiliging in het proces maakt een DevSecOps-proces.

Beveiligen door het ontwerp en de verschuiving naar links

Naarmate organisaties DevOps en andere snelle innovatiemethoden gebruiken, moet beveiliging een thread zijn die wordt omsingelt in de tapestry van de organisatie en de ontwikkelingsprocessen. De integratie van beveiliging laat in het proces is duur en moeilijk op te lossen.

Shift-beveiliging links in de tijdlijn om deze te integreren in de inrichting, het ontwerp, de implementatie en de werking van services en producten. Naarmate ontwikkelteams over schakelen naar DevOps en cloudtechnologieën gaan gebruiken, moet beveiliging deel uitmaken van die transformatie.

Beveiliging tijdens het proces

In het watervalmodel was beveiliging van oudsher een kwaliteitspoort nadat de ontwikkeling is afgesloten.

DevOps heeft het traditionele ontwikkelingsmodel (mensen, processen en technologie) uitgebreid met operationele teams. Deze wijziging verminderde de frictie die het gevolg was van het scheiden van de ontwikkel- en operationele teams. Op dezelfde manier breidt DevSecOps DevOps uit om de frictie van afzonderlijke of ongelijksoortige beveiligingsteams te verminderen.

DevSecOps is de integratie van beveiliging in elke fase van de DevOps-levenscyclus, van het begin van het idee tot het ontwerpen van de architectuur, het iteratieve ontwikkelen en uitvoeren van toepassingen. Teams moeten tegelijkertijd worden afgestemd op de doelstellingen van innovatiesnelheid, betrouwbaarheid en beveiligings resilience. Met wederzijds begrip en wederzijds respect voor elkaars behoeften werken de teams eerst aan de belangrijkste problemen, ongeacht de bron.

De Cloud Adoption Framework van de organisatie biedt meer context over DevSecOps-structuren in een organisatie. Zie Inzicht in toepassingsbeveiliging en DevSecOps-functiesvoor meer informatie.

Waarom DevSecOps?

DevOps brengt flexibiliteit met zich mee, DevSecOps zorgt voor een veilige flexibiliteit.

Bijna elke organisatie op deze planeet kijkt naar softwareontwikkeling om een concurrentievoordeel te behalen door innovatie. Het beveiligen van het DevOps-proces is essentieel voor het succes van de organisatie. Aanvallers hebben deze verschuiving naar aangepaste toepassingen onderkend en vallen aangepaste toepassingen steeds vaker aan tijdens hun aanvallen. Deze nieuwe toepassingen zijn vaak uitgebreide bronnen van waardevol intellectueel eigendom die waardevolle nieuwe ideeën bevatten die nog geen basis zijn in de marketplace.

Voor het beveiligen van deze innovatie moeten organisaties potentiële zwakke plekken in de beveiliging en aanvallen aanpakken in zowel het ontwikkelingsproces als de infrastructuur die als host voor de toepassingen wordt gebruikt. Deze aanpak is van toepassing op zowel de cloud als on-premises.

Mogelijkheden van aanvallers

Aanvallers maken mogelijk gebruik van zwakke plekken in:

  • Ontwikkelingsproces: Aanvallers kunnen zwakke punten in het ontwerpproces van de toepassing vinden, bijvoorbeeld door zwakke of geen versleuteling voor communicatie te gebruiken. Of aanvallers kunnen zwakke plekken vinden in de implementatie van het ontwerp, bijvoorbeeld dat code invoer niet valideert en veelvoorkomende aanvallen toestaat, zoals SQL injectie. Daarnaast kunnen aanvallers achterdeuren in de code laten maken, zodat ze later kunnen terugkeren om misbruik te maken in uw omgeving of in de omgeving van uw klant.
  • IT-infrastructuur: Aanvallers kunnen aanvallen uitvoeren op eindpunt- en infrastructuurelementen die door het ontwikkelingsproces worden gehost met behulp van standaardaanvallen. Aanvallers kunnen ook een aanval met meerdere fases uitvoeren die gebruikmaakt van gestolen referenties of malware om toegang te krijgen tot de ontwikkelinfrastructuur vanuit andere onderdelen van de omgeving. Daarnaast is het vanwege het risico op aanvallen in de software-toeleveringsketen essentieel om beveiliging in uw proces te integreren voor beide:
  • Uw organisatie beveiligen: Van schadelijke code en beveiligingsproblemen in de toeleveringsketen van uw broncode
  • Uw klanten beschermen: Van beveiligingsproblemen in uw toepassingen en systemen, die kunnen leiden tot reputatieschade, aansprakelijkheid of andere negatieve bedrijfseffecten op uw organisatie

Het DevSecOps-traject

De meeste organisaties vinden dat DevOps of DevSecOps voor een bepaalde workload of toepassing in feite een proces in twee fasen is, waarbij ideeën eerst in een veilige ruimte worden gebuikd en later worden vrijgegeven voor productie en iteratief en continu worden bijgewerkt.

In dit diagram ziet u de levenscyclus van dit soort innovatie factory-benadering:

DevSecOps-fasen

Veilige innovatie is een geïntegreerde benadering voor beide fasen:

  • Idee-incubatie waarbij een eerste idee wordt gebouwd, gevalideerd en voorbereid voor eerste productiegebruik. Deze fase begint met een nieuw idee en eindigt wanneer de eerste productiere release voldoet aan de minimum viable product-criteria (MVP) voor:
    • Ontwikkeling: Functionaliteit voldoet aan de minimale bedrijfsvereisten
    • Beveiliging: Mogelijkheden voldoen aan de nalevings-, beveiligings- en veiligheidsvereisten voor productiegebruik
    • Bewerkingen: Functionaliteit voldoet aan de minimale kwaliteits-, prestatie- en ondersteuningsvereisten als productiesysteem
  • DevOps: Deze fase is het voortdurende iteratieve ontwikkelingsproces van de toepassing of workload die continue innovatie en verbetering mogelijk maakt

Het imperatieve leiderschap: De culturen combineren

Om aan deze drie vereisten te voldoen, moeten deze drie culturen worden samengevoegd om ervoor te zorgen dat alle teamleden alle soorten vereisten waarderen en samenwerken aan algemene doelstellingen.

Het integreren van deze culturen en doelstellingen in een echte DevSecOps-benadering kan lastig zijn, maar het is de investering waard. Veel organisaties ervaren een hoog niveau van slechte frictie door ontwikkelings-, IT-activiteiten- en beveiligingsteams die onafhankelijk van elkaar werken, waardoor er problemen ontstaan met:

  • Trage waardelevering en lage flexibiliteit
  • Problemen met kwaliteit en prestaties
  • Beveiligingsproblemen

Hoewel het normaal is dat er problemen zijn met nieuwe ontwikkeling, nemen conflicten tussen teams vaak het aantal en de ernst van deze problemen aanzienlijk toe. De conflicten treden vaak op omdat een of twee teams een politieke voordeel hebben en herhaaldelijk de vereisten van andere teams overschrijven. Na een periode nemen de nare problemen toe in volume en ernst. Als dit niet wordt opgelost, kan deze dynamische ontwikkeling met DevOps slechter worden naarmate de snelheid waarmee beslissingen worden genomen toeneemt om te voldoen aan de snelle ontwikkeling van bedrijfsbehoeften en klantvoorkeuren.

Voor het oplossen van deze problemen is het nodig om een gedeelde cultuur te creëren waarin de vereisten voor ontwikkelen, sec en ops die worden ondersteund door het management, worden gebruikt. Met deze aanpak kunnen uw teams beter samenwerken en helpen bij het oplossen van de meest urgente problemen in een bepaalde sprint, of ze nu de beveiliging, operationele stabiliteit of het toevoegen van essentiële bedrijfsfuncties verbeteren.

Technieken voor leiderschap

Deze belangrijke technieken kunnen het management helpen bij het bouwen van een gedeelde cultuur:

  1. Niemand wint alle argumenten: Leiders moeten ervoor zorgen dat geen enkele mindset alle beslissingen die een onevenwichtige balans kunnen veroorzaken die een negatieve invloed op het bedrijf kan hebben, te overheersen.

  2. U kunt continue verbetering verwachten, niet per se: Leiders moeten een verwachting van continue verbetering en doorlopend leren instellen. Het bouwen van een geslaagd DevSecOps-programma gebeurt niet van de ene op de andere dag. Het is een doorlopend traject met incrementele voortgang.

  3. Bewaarde zowel algemene interesses als unieke afzonderlijke waarden: Zorg ervoor dat de teams kunnen zien dat ze werken aan algemene resultaten en dat elke persoon iets biedt wat anderen niet kunnen. Alle vereistetypen gaan over het maken en beveiligen van dezelfde bedrijfswaarde. Ontwikkeling probeert nieuwe waarde te creëren, terwijl ops en beveiliging proberen die waarde te beveiligen en te behouden, tegen verschillende risicoscenario's. Leiders op alle niveaus in de organisatie moeten deze gemeenschappelijke aard communiceren en hoe belangrijk het is om te voldoen aan alle soorten vereisten voor zowel direct succes als succes op de lange termijn.

  4. Gedeelde kennis ontwikkelen: Iedereen in het team moet een basiskennis hebben van:

    • Zakelijke urgentie: Het team moet een duidelijk beeld hebben van de omzet die op het spel staat. Deze weergave moet de huidige omzet bevatten (als de service offline is) en potentiële toekomstige omzet die wordt beïnvloed door een vertraging in de levering van toepassingen en functies. Dit moet rechtstreeks worden gebaseerd op signalen van belanghebbenden van het management.
    • Waarschijnlijke risico's en bedreigingen: Op basis van de invoer van het bedreigingsinformatieteam moet het team, indien aanwezig, een idee krijgen van de mogelijke bedreigingen waar het toepassingsportfolio mee te maken krijgt.
    • Beschikbaarheidsvereisten: Het team moet een gedeeld idee hebben van de operationele vereisten, zoals de vereiste bedrijfstijd, de verwachte levensduur van de toepassing en de probleemoplossings- en onderhoudsvereisten, bijvoorbeeld patching terwijl de service online is.

  5. Het gewenste gedrag demonstreren en modelleren: Leiders moeten het gedrag dat ze van hun teams willen, openbaar modelleren. Toon bijvoorbeeld kwetsbaarheid, richt u op het leren en waarderen van de andere disciplines. Een ander voorbeeld is dat ontwikkelmanagers de waarde van beveiliging en toepassingen van hoge kwaliteit bespreken of beveiligingsmanagers de waarde van snelle innovatie en toepassingsprestaties bespreken.

  6. Het beveiligingsrisico bewaken: Beveiliging veroorzaakt op natuurlijke wijze frictie waardoor processen worden vertraagd. Het is essentieel dat leiders het niveau en type frictie bewaken dat door de beveiliging wordt gegenereerd:

    • Goede frictie: Net als bij de manier waarop oefening een sterkere kracht maakt, wordt de toepassing door de integratie van het juiste beveiligingsniveau in het DevOps-proces versterkt door het afdwingen van kritiek denken op het juiste moment. Als teams deze kennis leren en gebruiken om de beveiliging te verbeteren, bijvoorbeeld om na te gaan waarom en hoe een aanvaller een toepassing kan proberen te compromitteerd en belangrijke beveiligings bugs te vinden en op te lossen, zijn ze op schema.
    • Slechte frictie: Zoek naar frictie die meer waarde in de weg staat dan het beschermt. Dit gebeurt vaak wanneer beveiligings bugs die door hulpprogramma's worden gegenereerd een hoog fout-positiefpercentage of valse alarmen hebben, of wanneer de beveiligingsinspanning om iets op te lossen de mogelijke impact van een aanval overschrijdt.

  7. Beveiliging integreren in budgetplanning: Zorg ervoor dat het beveiligingsbudget proportioneel wordt toegewezen aan andere investeringen in beveiliging. Dit is vergelijkbaar met een fysieke gebeurtenis, zoals een concert waarbij het gebeurtenisbudget fysieke beveiliging als norm omvat. Sommige organisaties wijzen 10 procent van de totale kosten voor beveiliging toe als algemene regel om te zorgen voor een consistente toepassing van best practices voor beveiliging.

  8. Gedeelde doelstellingen vaststellen: Zorg ervoor dat metrische gegevens over prestaties en succes voor toepassingsworkloads de ontwikkelings-, beveiligings- en operationele doelstellingen weerspiegelen.

Notitie

In het ideale geval moeten deze teams gezamenlijk deze gedeelde doelen maken om het kopen te maximaliseren, voor de hele organisatie of voor een bepaald project of bepaalde toepassing.

De DevSecOps MVP identificeren

Tijdens de overgang van een idee naar productie is het essentieel om ervoor te zorgen dat de mogelijkheid voldoet aan de minimale vereisten, of het minimum viable product (MVP) voor elk vereistetype:

  • Ontwikkelaars (ontwikkelaars) richten zich op het vertegenwoordigen van de bedrijfsbehoeften voor een snelle levering van mogelijkheden die voldoen aan de verwachtingen van gebruikers, klanten en zakelijke leiders. Bepaal de minimale vereisten om ervoor te zorgen dat de mogelijkheid helpt de organisatie succesvol te maken.
  • Beveiliging (sec) richt zich op het voldoen aan nalevingsverplichtingen en bescherming tegen de aanvallers die voortdurend op zoek zijn naar onrechtmatige winst uit de resources van de organisatie. Identificeer de minimale vereisten om te voldoen aan wettelijke nalevingsvereisten, beveiligingsstatus te handhaven en ervoor te zorgen dat beveiligingsbewerkingen snel een actieve aanval kunnen detecteren en erop kunnen reageren.
  • Bewerkingen (ops) zijn gericht op prestaties, kwaliteit en efficiëntie, zodat de workload op de lange termijn waarde kan blijven leveren. Bepaal de minimale vereisten om ervoor te zorgen dat de workload kan worden gebruikt en ondersteund zonder dat er in de nabije toekomst enorme architectuur- of ontwerpwijzigingen nodig zijn.

De definities voor MVP kunnen in de tijd en met verschillende workloadtypen worden gewijzigd, omdat het team samen leert van hun eigen ervaring en van andere organisaties.

Systeemeigen beveiliging integreren in het proces

Beveiligingsvereisten moeten gericht zijn op systeemeigen integratie met het bestaande proces en de bestaande hulpprogramma's. Bijvoorbeeld:

  • Ontwerpactiviteiten zoals threat modeling moeten worden geïntegreerd in de ontwerpfase
  • Hulpprogramma's voor het scannen van beveiliging moeten worden geïntegreerd in de CI/CD-systemen (continue integratie en continue levering), zoals Azure DevOps, GitHub en Jenkins
  • Beveiligingsproblemen moeten worden gerapporteerd met behulp van dezelfde systemen en processen voor het bijhouden van fouten, bijvoorbeeld een prioriteitsschema, als andere bugs.

De manier waarop beveiliging in het proces is geïntegreerd, moet continu worden verbeterd naarmate de teams leren en processen volwassener worden. Beveiligingsbeoordelingen en risicoanalyses moeten ervoor zorgen dat oplossingen worden geïntegreerd in de end-to-end ontwikkelingsprocessen, de uiteindelijke productieservice en de onderliggende infrastructuur.

Zie Technische besturingselementen voor DevSecOps voor meer informatie over DevSecOps.

Tips over het navigeren door het traject

Transformatie vereist incrementeel bouwen naar deze ideale toestand tijdens een traject. Veel organisaties moeten tijdens dit traject navigeren in complexiteit en uitdagingen. In deze sectie worden enkele veelvoorkomende problemen beschreven waar organisaties mee te maken krijgen.

  • Veranderingen in het onderwijs en cultuur zijn essentiële vroege stappen: Ugaat de strijd aan methet land dat u hebt. Het team dat u hebt, moet vaak nieuwe vaardigheden ontwikkelen en nieuwe perspectieven gebruiken om inzicht te krijgen in de andere onderdelen van het DevSecOps-model. Deze verandering in het onderwijs en de cultuur kost tijd, focus, executive sponsorship en regelmatige opvolging om individuen te helpen de waarde van de wijziging volledig te begrijpen en te begrijpen. Veranderende culturen en vaardigheden kunnen soms de professionele identiteit van individuen benutten, waardoor er potentieel voor sterke weerbaarheid ontstaat. Het is essentieel om het waarom, wat en hoe van de wijziging voor elk individu en hun situatie te begrijpen en uit te drukken.
  • Wijziging kost tijd: U kunt zich alleen zo snel verplaatsen als uw team zich kan aanpassen aan de gevolgen van het op nieuwe manieren doen van dingen. Teams moeten altijd hun bestaande taken doen terwijl ze transformeren. Het is essentieel om zorgvuldig te bepalen wat het belangrijkst is en om de verwachtingen te beheren over hoe snel deze wijziging kan plaatsvinden. Als u zich richt op een verkennings-, walk-, run-strategie, waarbij de belangrijkste en belangrijkste elementen op de eerste plaats komen, is dit goed voor uw organisatie.
  • Beperkte resources: Een uitdaging waar organisaties meestal al vroeg mee te maken krijgen, is het vinden van talent en vaardigheden in zowel de ontwikkeling van beveiliging als toepassingen. Naarmate organisaties effectiever gaan samenwerken, kunnen ze verborgen talent vinden, zoals ontwikkelaars met een beveiligingsmentaliteit of beveiligingsprofessionals met een ontwikkelingsachtergrond.
  • Verschuiving van de aard van toepassingen, code en infrastructuur: De technische definitie en samenstelling van een toepassing verandert fundamenteel met de introductie van technologieën zoals serverloze, cloudservices, cloud-API's en toepassingen zonder code, zoals Power Apps. Door deze verschuiving worden de ontwikkelingsprocedures en toepassingsbeveiliging veranderd en kunnen niet-ontwikkelaars zelfs toepassingen maken.

Notitie

Sommige implementaties combineren operationele en beveiligingsverantwoordelijkheden in een SRE-rol (Site Reliability Engineer).

Hoewel het combineren van deze verantwoordelijkheden in één rol de ideale eindtoestand kan zijn voor sommige organisaties, is dit vaak een extreme wijziging van de huidige zakelijke procedures, cultuur, hulpprogramma's en vaardighedensets.

Zelfs als u zich richt op een SRE-model, raden we u aan om te beginnen met het insluiten van beveiliging in DevOps met behulp van praktische snelle winst en incrementele voortgang die in deze richtlijnen worden beschreven om ervoor te zorgen dat u een goed rendement op investeringen (ROI) krijgt en aan de onmiddellijke behoeften kunt voldoen. Hiermee voegt u stapsgewijs beveiligingsverantwoordelijkheden toe aan uw operationele en ontwikkelingsmedewerkers, waardoor uw mensen dichter bij de eindtoestand van een SRE komen (als uw organisatie van plan is dat model later te gaan gebruiken).

Volgende stappen

Bekijk de technische besturingselementen voor DevSecOps voor meer gedetailleerde richtlijnen over DevSecOps.

Zie About GitHub advanced security (Over geavanceerde beveiliging) voor meer informatie over hoe GitHub geavanceerde beveiliging beveiliging integreert in uw CI/CD-pijplijnen (continue integratie en continue levering).

Zie Secure DevOps toolkit (Beveiligde DevOps-toolkit)voor meer informatie en hulpprogramma's over hoe de IT-organisatie van Microsoft DevSecOps heeft geïmplementeerd.