Die Zukunft festigen: Die dynamische Landschaft der IT-Sicherheit

Ein Interview mit Charlton Trezevant, Berater für Anwendungssicherheit bei Xebia | Xpirit

F: Wie wichtig ist die Sicherheit?

A: Würden Sie sich bei der Auswahl eines Unternehmens, mit dem Sie zusammenarbeiten möchten, für ein Unternehmen entscheiden, das für regelmäßige Sicherheitsverletzungen bekannt ist? Richtig! Sicherheit ist ein grundlegender Aspekt jeder geschäftlichen Unternehmung. Doch selbst mit den besten Absichten können die Dinge aufgrund mangelnder Kenntnisse, Zeit oder Ressourcen schief gehen. Aus welchem Grund auch immer, Abkürzungen zu vermeiden und in die richtigen Tools und Prozesse zu investieren, ist das A und O, um die Sicherheit in Ihrem Entwicklungsprozess zu einem erstklassigen Thema zu machen.

Leider treffen wir oft auf Unternehmen, die nicht bereit oder willens sind, sich zu ändern. Jahr für Jahr zeigen unsere Tests die gleichen Probleme auf, und sie werden nie gelöst. Manchmal verwenden Unternehmen veraltete Software, die nur schwer zu aktualisieren ist. In anderen Fällen verlassen sie sich auf eine Lösung eines Drittanbieters. Wenn Sie jedoch von einem Sicherheitsrisiko wissen, fragen Sie sich...

... was ist teurer: die Beseitigung der Abhängigkeit oder die Bewältigung der potenziellen Auswirkungen wie Rufschädigung, Systemausfälle oder Ansprüche von Kunden?

F: Wie gehen die Unternehmen mit dem Thema Sicherheit um?

A: Stellen Sie sich vor, Sie bringen Ihr Auto zu einem Mechaniker, der Ihnen ein Blatt Papier und Ihre Schlüssel gibt und sagt: "Ich habe mir Ihren Motor angesehen. Das ist der Fehler. Viel Glück." Das ist nicht sehr hilfreich. Leider erleben wir, dass viele Unternehmen diesen Ansatz in Bezug auf die Sicherheit verfolgen - sie erkennen lediglich die Probleme, lösen sie aber nicht, und es ist an der Zeit, dies zu ändern.

Anstatt sich auf die Verhinderung von Verstößen und Angriffen zu konzentrieren, sollten Unternehmen die Sicherheit als Teil der Qualitätssicherung betrachten.

Stellen Sie sich vor, Sie haben einen erheblichen Rückstand an Sicherheitslücken, von denen viele mit Autorisierung und Authentifizierung zusammenhängen. Warum gehen Sie nicht etwas tiefer und schauen sich an, wie Sie Autorisierung und Authentifizierung in Ihrer Anwendung handhaben? Haben Sie das Tool selbst entwickelt? Verwenden Sie eine Lösung eines Drittanbieters? Warum haben Sie gerade in diesem Bereich so viele Probleme? Gibt es einen gemeinsamen Nenner? Sollten Sie bessere Anleitungen oder automatische Leitplanken in Ihren Pipelines anbieten? Bei der Beantwortung dieser Fragen nutzen Sie technisches Feedback, um einen effektiveren Prozess zu schaffen, der Ihr Produkt von Natur aus sicherer macht.

F: Es klingt, als ob Sicherheit und Entwicklung ein Team bilden sollten. Wie hat sich das in der Praxis bewährt?

A: Da ich lange Zeit in der Entwicklung tätig war und nun eine Erfolgsbilanz im Sicherheitsbereich vorweisen kann, habe ich festgestellt, dass diese beiden Welten in mehrfacher Hinsicht im Widerspruch zueinander stehen. Ohne Entwicklungshintergrund haben Sicherheitsprofis oft Schwierigkeiten, die Arbeitsabläufe der Entwickler zu verstehen. Das führt zu Prozessen, die nicht den Bedürfnissen der Entwickler entsprechen.

Als Pen-Tester zum Beispiel habe ich dem Unternehmen nach dem Testen einer Software einen Bericht mit den Ergebnissen vorgelegt, der schließlich beim Entwicklungsteam gelandet ist - mit einer Reihe von Aufgaben, die sie in ihr Backlog aufgenommen haben, lange nachdem sie die Arbeit an dem Produkt beendet hatten. Jetzt müssen sie all diese Informationen nehmen und herausfinden, wie sie diese Verbesserungen vornehmen können. Aber da es sich um Arbeit handelt, auf die sie sich nicht vorbereitet haben, können sie nicht einfach alles fallen lassen und loslegen. Das Ergebnis? Die Änderungen werden nicht oder erst sehr spät vorgenommen.

Die Sicherheit von Anwendungen kann nur dann effektiv sein, wenn Unternehmen den Entwicklern die Kontrolle über die Anwendung überlassen und sie zu einem fantastischen Erlebnis für sie machen. Und wie? Indem Sie extrem gut in Softwareentwicklung und DevOps werden. Wenn Sie Hilfe brauchen, arbeiten Sie mit einem Unternehmen wie uns zusammen!

F: Was sind die häufigsten Sicherheitsprobleme?

A: Erstens ist es bei so vielen großartigen Tools nicht schwer, Unternehmen davon zu überzeugen, sie einzusetzen. Aber in dem Moment, in dem die Tools anfangen, haufenweise Feedback auszuspucken, haben sie keine Ahnung, was sie mit diesen Daten anfangen sollen. Wie sehe ich mir diesen Rückstand an und setze Prioritäten? Wie kann ich die Auswirkungen messen (d.h., haben die Entwickler tatsächlich mit weniger Sicherheitslücken zu tun und beheben sie schneller)? Zweitens fällt es den Sicherheitsteams schwer, auf die Entwickler Rücksicht zu nehmen - sie erwarten oft, dass sie durch endlose Reifen springen, was ein großes Hindernis darstellt. Und schließlich müssen die Unternehmen den Übergang vollziehen. Als DevOps eingeführt wurde, waren sie ängstlich. Dasselbe gilt heute für die (Automatisierung und Integration von) Sicherheit. Es ist ein Bewusstseinswandel, der noch stattfinden muss.

F: Wie können wir die Sicherheit besser verwalten?

A: Eine verstärkte Automatisierung ist ein ausgezeichneter Ausgangspunkt. Wenn Ihre Code-Basis beispielsweise sensible Informationen verarbeitet, können Sie sie mit Berechtigungsprüfungen umgeben, so dass Sie die Sicherheitseigenschaften des Systems in einer Richtlinie zusammenfassen können, die automatisch durch Scanning-Tools durchgesetzt werden kann. Zweitens können wir das Schwachstellenmanagement im Allgemeinen verbessern. Stellen Sie sich vor, Sie haben verschiedene Arten von Scan-Tools im Einsatz. Dann werden bei einem Penetrationstest Probleme aufgedeckt, die diese Tools eigentlich aufspüren sollten. Und was machen Sie? Eine Möglichkeit ist, rückwärts zu arbeiten und eine lange Liste von Aufgaben an die Entwickler zu übergeben. Oder wenn, sagen wir, 10 % Ihrer gesamten Schwachstellen mit einem Element zusammenhängen, warum nehmen Sie sich dann nicht die Zeit, diese Komponenten umzugestalten, um eine ganze Reihe von Problemen aus dem Rückstand zu beseitigen und so ein zuverlässigeres und sichereres System zu schaffen?

F: Wie kann Xebia | Xpirit helfen?

A: Wir bei Xebia | Xpirit lieben es, neue Lösungen zu entwickeln und neuartige Ansätze zu verfolgen, die es Unternehmen ermöglichen, unabhängiger zu sein und effizienter zu arbeiten. Anstatt sich auf manuelle Arbeit und das Schreiben von Berichten zu konzentrieren, wollen wir reibungslose Prozesse und Infrastrukturen schaffen, die Autonomie unterstützen.

Unsere Vorgehensweise hängt von den Zielen des Kunden ab. Aber im Allgemeinen folgen wir diesen vier Schritten:

1. Automatisierung: Erstellen Sie verschiedene automatisierte Tools, setzen Sie die Automatisierung ein und formulieren Sie Richtlinien, um die Sicherheit automatisch zu überprüfen.
2. Integration: Integrieren Sie alle Tools in aktualisierte Schwachstellenmanagement-Prozesse und helfen Sie Ihnen, das Feedback zu verstehen, das sie erzeugen.
3. Modernisierung: Machen Sie automatisierte Tools zum Bestandteil Ihres Sicherheitsprozesses und aktualisieren Sie ältere Software, um die Sicherheit zu verbessern.
4. Reifegrad: Wir helfen Unternehmen dabei, durch fundierte Entscheidungsfindung, Chaos-Experimente und die Entwicklung moderner Sicherheitsprogramme Widerstandsfähigkeit zu erreichen und zu erhalten.

F: Was'als Nächstes in Sachen Sicherheit?

A: KI-gestützte Produkte werden die Sicherheitsbranche revolutionieren! Wenn sie auf umfangreiche Codebasen trainiert sind, können KI-Tools ganze Pen-Test-Berichte erstellen oder Pull-Requests mit tatsächlichen Korrekturen für diese Codebasis auf einer besser integrierten und abgerundeten Ebene als automatisierte Tools und Vorlagen öffnen. Das bedeutet zum Beispiel, dass sich Erkennungs- und Reaktionsteams auf KI verlassen können, um viele ihrer manuellen Aufgaben zu erledigen, insbesondere bei der Extraktion von Details aus Datensätzen wie Protokollen oder langen Textblöcken.