Udforsk fortløbende sikkerhed
Continuous Security er en af de otte funktioner i DevOps-taksonomien.
Find ud af, hvorfor kontinuerlig sikkerhed er nødvendig
Cyberkriminalitet er et uundgåeligt faktum i de digitale tider, vi lever i. Mange organisationer bliver angrebet dagligt af kriminelle gør det for at gøre skade eller af hackere gør det for sjov. Såvel som vores organisationer er vi som brugere af tredjepartstjenester også mulige mål for disse angreb.
Her er nogle eksempler fra det virkelige liv.
| Firma | Historier fra den virkelige verden |
|---|---|
|
|
I 2013 blev alle 3 milliarder Yahoo brugerkonti påvirket af datatyveri. Undersøgelsen viste, at de stjålne oplysninger ikke indeholdt adgangskoder i klartekst, kreditkortdata eller bankkontooplysninger. |
|
|
I 2016 fik hackere adgang til de personlige oplysninger om 57 millioner ryttere. På tidspunktet for bruddet betalte Uber hackere $ 100.000 for at ødelægge dataene. De fortalte ikke regulatorer eller brugere, at deres oplysninger blev stjålet. De afslørede bruddet et år senere. |
|
|
I 2017 påvirkede et Instagram-hack millioner af konti og resulterede i at afsløre brugernes telefonnumre. Tallene endte i en database, hvor folk kunne søge efter offerets kontaktoplysninger for $10 pr. søgning. |
|
|
I 2018 stjal hackere detaljerede personlige data fra 14 millioner Facebook-brugere. Stjålne data inkluderede søgeresultater, seneste placeringer og hjembyer. |
|
|
Den 6. marts 2017 annoncerede Apache Foundation en ny sårbarhed og tilgængelig programrettelse til dens Struts 2-struktur. Kort efter begyndte Equifax, et af de kreditrapporteringsbureauer, der vurderer mange forbrugeres økonomiske sundhed i USA, at underrette udvalgte kunder om, at det led et brud. I september 2017 annoncerede Equifax sit brud offentligt på verdensplan. Bruddet påvirkede 145,4 millioner forbrugere i USA og 8000 i Canada. I alt 15,2 millioner poster blev kompromitteret i Storbritannien, herunder følsomme data, der påvirker 700.000 forbrugere. I marts 2018 meddelte Equifax, at 2,4 millioner flere amerikanske forbrugere blev påvirket end oprindeligt offentliggjort. |
I dag er det råd givet af Michael Hayden (tidligere direktør for NSA og CIA) er at antage, at du er blevet brudt, og at forsvar-dybdegående på hvert niveau bør være central for en organisations sikkerhedsholdning. Ifølge Hayden er der to typer virksomheder: dem, der er blevet brudt, og dem, der ikke kender det endnu.
Microsofts produktgruppefilosofi, som inspirerer deres DevSecOps-tilgang, er:
- at antage, at du er blevet brudt
- de dårlige aktører allerede er i netværket med intern adgang
- dybdegående forsvar er afgørende.
Du er kun så sikker som dit svageste link
Organisationer installerer programmer overalt. De er afhængige af web- og mobilprogrammer for at få kunder og software til at køre en massiv ny bølge af IoT-enheder (Internet of Things). Men disse apps eksponerer firmaer for at øge risikoen; når du bliver spurgt, hvordan eksterne angribere udførte vellykkede angreb, globale netværkssti sikkerheds beslutningstagere, hvis virksomheder var blevet brudt i de foregående 12 måneder sagde de to øverste angreb metoder var direkte web-program angreb og drage fordel af sårbar software. Og firmaer vil kun tragt flere kunder og data gennem disse sårbare mål i en overskuelig fremtid. Forrester forudsiger, at de fleste virksomheder vil se 76% til 100% af deres samlede salg via digitale produkter og/eller produkter, der sælges online i 2022. Sikkerhedsprofferne skal derfor fokusere på at sikre programmer.
Billedkilde: Tilstanden for programsikkerhed, 2020, Forrester Research, Inc., 4. maj 2020
Hvad er kontinuert sikkerhed?
Sikkerhed er anvendelsen af teknologier, processer og kontrolelementer til beskyttelse af systemer, netværk, programmer, enheder og data mod uautoriseret adgang eller kriminel brug.
Sikkerhed sikrer fortrolighed, integritet og tilgængelighedssikkerhed mod forsætlige angreb og misbrug af værdifulde data og systemer.
Vigtigt!
Det er vigtigt at fremhæve, at sikkerheden ikke fokuserer på fejl, men på forsætlige angreb. Dette er vigtigt, fordi de ville kræve forskellige modforanstaltninger: for fejl, en simpel meddelelse eller anmodning om bekræftelse kan gøre, for ondsindede handlinger, absolut ikke.
Continuous Security er en praksis, der sikrer, at sikkerhed er en integreret del af softwareleveringslivscyklussen. Kontinuerlig sikkerhed i DevOps bør dække et holistisk syn på sikkerhed, herunder sikkerhedskultur, sikker softwarelevering og sikker infrastruktur.
Kontinuerlig sikkerhed kræver mindsetændring, uddannelse og automatisering.
Der er tre elementer til at etablere kontinuerlig sikkerhed:
- Et stærkt sikkerhedsfokus i organisationens kultur
- En infrastruktur implementeret og administreret ved at anvende de nyeste sikkerheds anbefalede fremgangsmåder
- En softwareleveringsproces, der fokuserer på sikkerhed, f.eks. Microsoft Security Development Lifecycle (SDL)
De tre principper i DevOps, der skal tages i betragtning i alle funktioner, så også i kontinuerlig sikkerhed er:
| Princip | Beskrivelse |
|---|---|
Skift til venstre |
Skift venstre betyder at foregribe sikkerhedsaktiviteter og udføre dem tidligere i softwareleveringsprocessen i stedet for downstream fra processen. Undersøgelser har vist, at rettelse af fejl tidligere i udviklingscyklussen har en betydelig indvirkning på omkostninger og tab. |
Automation- |
Automation- af gentagne handlinger er afgørende for at reducere risikoen for fejl. Denne fremgangsmåde gør det muligt at udføre opgaver og processer, der typisk er sjældne, f.eks. udrulning, oftere. |
løbende forbedring |
Løbende forbedring opnås gennem analyse af aktuel adfærd og identifikation af muligheder for optimering. |
Vigtigt!
Når de tre principper for flytning til venstre, automatisering og løbende forbedring kombineres med elementerne i kontinuerlig sikkerhed: kultur, softwarelevering og infrastruktur, repræsenterer de en holistisk tilgang til sikkerhed.
Automation-
løbende forbedring