Udforsk fortløbende sikkerhed

Fuldført

Continuous Security er en af de otte funktioner i DevOps-taksonomien.

Find ud af, hvorfor kontinuerlig sikkerhed er nødvendig

Cyberkriminalitet er et uundgåeligt faktum i de digitale tider, vi lever i. Mange organisationer bliver angrebet dagligt af kriminelle gør det for at gøre skade eller af hackere gør det for sjov. Såvel som vores organisationer er vi som brugere af tredjepartstjenester også mulige mål for disse angreb.

Her er nogle eksempler fra det virkelige liv.

Firma Historier fra den virkelige verden
ikon for problem, der påvirker Yahoo Yahoo I 2013 blev alle 3 milliarder Yahoo brugerkonti påvirket af datatyveri. Undersøgelsen viste, at de stjålne oplysninger ikke indeholdt adgangskoder i klartekst, kreditkortdata eller bankkontooplysninger.
ikon for problem, der påvirker Uber Uber- I 2016 fik hackere adgang til de personlige oplysninger om 57 millioner ryttere. På tidspunktet for bruddet betalte Uber hackere $ 100.000 for at ødelægge dataene. De fortalte ikke regulatorer eller brugere, at deres oplysninger blev stjålet. De afslørede bruddet et år senere.
ikon for problem, der påvirker Instagram Instagram- I 2017 påvirkede et Instagram-hack millioner af konti og resulterede i at afsløre brugernes telefonnumre. Tallene endte i en database, hvor folk kunne søge efter offerets kontaktoplysninger for $10 pr. søgning.
ikon for problem, der påvirker Facebook Facebook- I 2018 stjal hackere detaljerede personlige data fra 14 millioner Facebook-brugere. Stjålne data inkluderede søgeresultater, seneste placeringer og hjembyer.
ikon for problem, der påvirker Equifax Equifax- Den 6. marts 2017 annoncerede Apache Foundation en ny sårbarhed og tilgængelig programrettelse til dens Struts 2-struktur. Kort efter begyndte Equifax, et af de kreditrapporteringsbureauer, der vurderer mange forbrugeres økonomiske sundhed i USA, at underrette udvalgte kunder om, at det led et brud. I september 2017 annoncerede Equifax sit brud offentligt på verdensplan. Bruddet påvirkede 145,4 millioner forbrugere i USA og 8000 i Canada. I alt 15,2 millioner poster blev kompromitteret i Storbritannien, herunder følsomme data, der påvirker 700.000 forbrugere. I marts 2018 meddelte Equifax, at 2,4 millioner flere amerikanske forbrugere blev påvirket end oprindeligt offentliggjort.

I dag er det råd givet af Michael Hayden (tidligere direktør for NSA og CIA) er at antage, at du er blevet brudt, og at forsvar-dybdegående på hvert niveau bør være central for en organisations sikkerhedsholdning. Ifølge Hayden er der to typer virksomheder: dem, der er blevet brudt, og dem, der ikke kender det endnu.

Microsofts produktgruppefilosofi, som inspirerer deres DevSecOps-tilgang, er:

  • at antage, at du er blevet brudt
  • de dårlige aktører allerede er i netværket med intern adgang
  • dybdegående forsvar er afgørende.

Organisationer installerer programmer overalt. De er afhængige af web- og mobilprogrammer for at få kunder og software til at køre en massiv ny bølge af IoT-enheder (Internet of Things). Men disse apps eksponerer firmaer for at øge risikoen; når du bliver spurgt, hvordan eksterne angribere udførte vellykkede angreb, globale netværkssti sikkerheds beslutningstagere, hvis virksomheder var blevet brudt i de foregående 12 måneder sagde de to øverste angreb metoder var direkte web-program angreb og drage fordel af sårbar software. Og firmaer vil kun tragt flere kunder og data gennem disse sårbare mål i en overskuelig fremtid. Forrester forudsiger, at de fleste virksomheder vil se 76% til 100% af deres samlede salg via digitale produkter og/eller produkter, der sælges online i 2022. Sikkerhedsprofferne skal derfor fokusere på at sikre programmer.

diagram viser resultaterne af state of application security, 2020, der viser, at programmer stadig er den mest almindelige angrebsvektor. 42% af eksterne angreb blev udført via softwaresårbarhed. 35% blev udført via webprogrammer. 27% blev udført ved brug af stjålne legitimationsoplysninger. 25% skyldtes udnyttelse af tabte eller stjålne aktiver, og 24% på grund af strategisk webkompromis. 24% blev distribueret Denial of Service-angreb. 22% skyldtes mobil malware. 21% var DNS-angreb. 18% skyldtes phishing. 15% var ransomware-angreb. 6% af angrebene blev begået gennem social engineering.

Billedkilde: Tilstanden for programsikkerhed, 2020, Forrester Research, Inc., 4. maj 2020

Hvad er kontinuert sikkerhed?

Sikkerhed er anvendelsen af teknologier, processer og kontrolelementer til beskyttelse af systemer, netværk, programmer, enheder og data mod uautoriseret adgang eller kriminel brug.

Sikkerhed sikrer fortrolighed, integritet og tilgængelighedssikkerhed mod forsætlige angreb og misbrug af værdifulde data og systemer.

Vigtigt!

Det er vigtigt at fremhæve, at sikkerheden ikke fokuserer på fejl, men på forsætlige angreb. Dette er vigtigt, fordi de ville kræve forskellige modforanstaltninger: for fejl, en simpel meddelelse eller anmodning om bekræftelse kan gøre, for ondsindede handlinger, absolut ikke.

Continuous Security er en praksis, der sikrer, at sikkerhed er en integreret del af softwareleveringslivscyklussen. Kontinuerlig sikkerhed i DevOps bør dække et holistisk syn på sikkerhed, herunder sikkerhedskultur, sikker softwarelevering og sikker infrastruktur.

Kontinuerlig sikkerhed kræver mindsetændring, uddannelse og automatisering.

Der er tre elementer til at etablere kontinuerlig sikkerhed:

  • Et stærkt sikkerhedsfokus i organisationens kultur
  • En infrastruktur implementeret og administreret ved at anvende de nyeste sikkerheds anbefalede fremgangsmåder
  • En softwareleveringsproces, der fokuserer på sikkerhed, f.eks. Microsoft Security Development Lifecycle (SDL)

De tre principper i DevOps, der skal tages i betragtning i alle funktioner, så også i kontinuerlig sikkerhed er:

Princip Beskrivelse
Ikon for skift til venstre
Skift til venstre
Skift venstre betyder at foregribe sikkerhedsaktiviteter og udføre dem tidligere i softwareleveringsprocessen i stedet for downstream fra processen. Undersøgelser har vist, at rettelse af fejl tidligere i udviklingscyklussen har en betydelig indvirkning på omkostninger og tab.
ikon for automatisering Automation- Automation- af gentagne handlinger er afgørende for at reducere risikoen for fejl. Denne fremgangsmåde gør det muligt at udføre opgaver og processer, der typisk er sjældne, f.eks. udrulning, oftere.
Ikon for løbende forbedring løbende forbedring Løbende forbedring opnås gennem analyse af aktuel adfærd og identifikation af muligheder for optimering.

diagram viser elementerne i kontinuerlig sikkerhed: skift til venstre, kontinuerlig forbedring og automatisering. Disse elementer kombineret med den sikre infrastruktur, sikkerhedskultur og sikker softwarelevering og repræsenterer en holistisk tilgang til sikkerhed.

Vigtigt!

Når de tre principper for flytning til venstre, automatisering og løbende forbedring kombineres med elementerne i kontinuerlig sikkerhed: kultur, softwarelevering og infrastruktur, repræsenterer de en holistisk tilgang til sikkerhed.