Von DevOps zu CloudOps Das Vier-Boxen-Modell als Security-Herausforderung

Autor / Redakteur: Richard Werner / Peter Schmitz

Sunburst und Kaseya haben gezeigt: Supply-Chain-Angriffe nehmen zu. Umso wichtiger wird es, Applikationen von der Entwicklung bis zum Betrieb durchgängig abzusichern. Das scheitert jedoch oft an kulturellen Gräben zwischen verschiedenen Teams. Wie lassen sie sich überwinden?

Firmen zum Thema

Um Applikationen von Grund auf sicher zu entwickeln und zu betreiben, müssen alle Beteiligten im Unternehmen zusammenarbeiten und Kommunikationsprobleme überwinden.
Um Applikationen von Grund auf sicher zu entwickeln und zu betreiben, müssen alle Beteiligten im Unternehmen zusammenarbeiten und Kommunikationsprobleme überwinden.
(© Pixel-Shot - stock.adobe.com)

In der Software-Entwicklung geht es um Geschwindigkeit. Unternehmen müssen neue Applikationen und Services so schnell wie möglich auf den Markt bringen. Denn Kundenerwartungen wachsen kontinuierlich und der Wettbewerb ist hart. Wer bestehen will, darf sich keine Trödelei erlauben.

Die meisten Unternehmen arbeiten heute mit DevOps-Methoden, um die Software-Entwicklung und -Bereitstellung zu optimieren und möglichst schnell am Markt zu sein. Außerdem setzen sie zunehmend Cloud-Services ein. Häufig werden Applikationen in der Cloud bereitgestellt oder bereits Cloud-nativ entwickelt.

Dabei kommen in der Regel verschiedene Cloud Services zum Einsatz, um die Vorteile mehrerer Cloud-Provider zu kombinieren. So entstehen komplexe Multi-Cloud-Umgebungen, die es zu managen gilt. Zusätzlich zum DevOps-Team haben viele Unternehmen daher auch ein CloudOps-Team, das sich um die Optimierung der Cloud-Infrastruktur kümmert.

Was bedeutet diese organisatorische Aufteilung für die Security? Aus dem traditionellen Zwei-Boxen-Modell ist ein Vier-Boxen-Modell geworden. Früher musste sich die Security-Abteilung bei der Absicherung von Applikationen mit den Entwicklern auseinandersetzen. Heute spielen auch noch DevOps und CloudOps mit.

Die Organisation in spezialisierte Teams hat den Vorteil, dass sich jeder auf das konzentriert, was er am besten kann. Wenn es um die lückenlose Sicherheit geht, müssen jedoch alle eng zusammenarbeiten. Und genau hier liegt die Herausforderung.

Verschiedene Prioritäten führen zu Konflikten

Security-Verantwortliche haben es heute mit drei verschiedenen Interessensgruppen zu tun, die alle ein unterschiedliches Verständnis von Sicherheit haben. Häufig verstehen die verschiedenen Teams einander einfach nicht. Sie sprechen unterschiedliche Sprachen und haben verschiedene Bedürfnisse.

Der Konflikt zwischen Security-Mitarbeitern und Entwicklern ist alt: Die einen wollen erst alles gründlich prüfen, bevor eine Applikation veröffentlicht wird. Den anderen kann es nicht schnell genug gehen. Sicherheit bedeutet für Entwickler in erster Linie, dafür zu sorgen, dass ihre Funktionen auch funktionieren. DevOps-Teams wünschen sich darüber hinaus einen problemlosen Betrieb. Sie denken jedoch ähnlich wie Entwickler und möchten sich nicht durch Security-Tools ausbremsen lassen.

Beide Gruppen bringen oft wenig Verständnis dafür auf, Compliance-Vorgaben zu integrieren. Nicht nur, weil ihnen die Thematik fremd ist. Viele Regularien sind auch schlichtweg veraltet und scheinen unsinnig oder widersprüchlich.

CloudOps-Verantwortliche wiederum beschäftigen sich zwar mit Sicherheit und Compliance, allerdings nur in Bezug auf die Cloud-Umgebung. Für sie spielt Cloud Security Posture Management eine wichtige Rolle, also das Vermeiden von Fehlkonfigurationen. Diese stellen das größte Sicherheitsrisiko in der Cloud dar und werden laut Gartner bis im Jahr 2025 die Ursache für 99 Prozent aller Sicherheitsvorfälle in der Cloud sein. Für klassische Security-Aufgaben interessieren sich CloudOps eher nicht.

Eine Security-Plattform kann Brücken bauen

Am Ende ist das Security-Team für die Sicherheit verantwortlich. Es steht vor der Herausforderung, dass es die Unterstützung aller benötigt und deren Interessen und Bedürfnisse berücksichtigen muss. Dafür sind neue Herangehensweisen und Tools gefragt.

Sicherheit darf nicht auf Kosten der Agilität und Geschwindigkeit gehen und muss auch Cloud-spezifische Risiken abdecken. Das gelingt mit einer Plattform-Lösung, auf der alle Security-Informationen zusammenlaufen. Sie stellt jeder Interessensgruppe die Daten und Funktionalitäten zur Verfügung, die sie benötigt.

Entwickler können dann zum Beispiel bereits Security-Kontrollen in die Qualitätssicherung integrieren und ihren Code nicht nur auf Funktionalität, sondern auch auf Schwachstellen prüfen. DevOps-Verantwortliche erhalten agile Sicherheitsservices, die sich automatisiert in die CI-/CD-Pipelines integrieren lassen. Und für CloudOps bietet die Plattform ein leistungsfähiges Cloud Security Posture Management (CSPM), das die gesamte Multi Cloud Umgebung automatisiert auf Fehlkonfigurationen scannt.

Eine solche Plattform-Lösung verbessert die Kommunikation zwischen den Parteien, spart Zeit und kann Konflikte vermeiden. Denn wichtige Informationen stehen sofort bereit und viele Aufgaben können automatisiert abgewickelt werden. Benötigt ein Security-Mitarbeiter zum Beispiel Logfiles für eine Analyse, muss er nicht erst einen Entwickler darum bitten, ihm die Daten zu schicken. Vielmehr kann er direkt darauf zugreifen. Der Entwickler muss sich nicht mit einer für ihn lästigen Aufgabe aufhalten, die ihm keinen Mehrwert bringt.

Auch zwischen CloudOps und Security optimiert die Plattform Prozesse: Entdeckt das CSPM eine Schwachstelle in der Konfiguration der Cloud-Umgebung, wird das Security-Team automatisch informiert. Es kann dann direkt über die Plattform mit dem CloudOps-Team kommunizieren, wer die Einstellung bis spätestens wann korrigiert. Das CSPM unterstützt zudem bei der Problemlösung mit einer leicht verständlichen Schritt-für-Schritt-Anleitung. Viele Konfigurationsfehler kann das System sogar automatisiert beheben.

Warum Transparenz so wichtig ist

Für die Security-Abteilung ist eine zentrale Plattform-Lösung vor allem wichtig, um einen ganzheitlichen Blick auf das Sicherheitsgeschehen zu gewinnen. Denn sie kann zwar nicht direkt in Entwicklungs- und DevOps-Prozesse eingreifen, muss aber in der Lage sein, Sicherheitsprobleme schnell zu erkennen und auf sie zu reagieren. Das wird umso schwerer, je raffinierter und professioneller Cyberkriminelle vorgehen.

Security und Angriffstechniken befinden sich in einem ständigen Wettlauf. Beide Seiten entwickeln sich kontinuierlich weiter und werden immer komplexer. Es kann daher immer einmal passieren, dass Hacker an Schutzmaßnahmen vorbeikommen. Um Angriffe zu erkennen, ist es wichtig, möglichst viele Informationen zu sammeln und auszuwerten.

Je mehr Daten zur Verfügung stehen, umso geringer ist die Wahrscheinlichkeit, etwas zu übersehen. Ein einzelner Alarm für sich ist oft zu ungenau. Gelingt es aber, den Alert mit anderen Meldungen in Verbindung zu setzen, wird klar, ob nur ein einzelnes Gerät oder das ganze Netzwerk betroffen ist. So können Mitarbeiter auch komplexe Angriffe erkennen und schnell Gegenmaßnahmen ergreifen.

In der geforderten Geschwindigkeit sind solche Analysen nur mit technischer Unterstützung möglich. Hier kommt XDR ins Spiel: Extended Detection and Response. Die Technologie sammelt die Security-Informationen aller angeschlossenen Systeme, stellt Zusammenhänge her und korreliert die Alerts zu wenigen verwertbaren Warnungen. Dadurch lassen sich Kommunikationswege und Infektionsketten nachvollziehen, Angriffe schnell aufspüren und stoppen.

Supply-Chain-Angriffe nehmen zu

Eine Security-Plattform mit XDR ermöglicht es, Applikationen von der Entwicklung bis zur Bereitstellung abzusichern. Wie wichtig das ist, hat der Kaseya-Hack gezeigt. Cyberkriminelle nutzten eine Schwachstelle in der VSA-Software des Service Providers aus und infiltrierten eine Malware. Kaseyas Kunden erhielten dann mit ihrem nächsten Software-Update eine Ransomware inklusive. 50 direkte Kunden von Kaseya waren von dem Vorfall betroffen, die als Service-Provider wiederum ihre Kunden infizierten.

Kaseya ist nach Sunburst der zweite Supply Chain Angriff innerhalb von wenigen Monaten über den weltweit berichtet wurde. Das Vorgehen ist ähnlich: Cyberkriminelle attackieren gezielt die Software eines IT-Dienstleister, um diese als Verbreitungsmedium für nachgelagerte Angriffe zu nutzen. Sie fokussieren dabei auf Applikationen, die direkt mit Kundengeräten kommunizieren, sei es über stehende oder aktivierbare IT-Verbindungen.

Sowohl bei Sunburst als auch Kaseya waren es Update-Mechanismen, die ausgenutzt wurden. Aber auch Auftragsverarbeitungen oder Fernwartungssysteme könnten Ziele sein. Es ist davon auszugehen, dass Supply-Chain-Angriffe künftig zunehmen werden. Umso wichtiger ist es, Security bereits in DevOps-Prozesse zu integrieren, um Cyberkriminellen so wenige Ansatzpunkte wie möglich zu bieten.

Fazit: Security darf nicht an kulturellen Gräben scheitern

Um Applikationen von Grund auf sicher zu entwickeln und zu betreiben, müssen alle Beteiligten zusammenarbeiten und Kommunikationsprobleme überwinden. Security muss zum gemeinschaftlichen Anliegen werden, zu dem jeder seinen Betrag leistet.

Für Unternehmen ist es durchaus sinnvoll, sich in spezialisierten Teams zu organisieren. Diese sollten jedoch nicht in isolierten Silos arbeiten. Eine ganzheitliche Security-Plattform hilft, Barrieren aufzubrechen. Indem sie wichtige Informationen zentral bereitstellt und Prozesse automatisiert, verbessert sie die Kommunikation, schafft Transparenz und erhöht die Reaktionsgeschwindigkeit. Sie fungiert als Bindeglied, überall wo Teams in getrennten Boxen arbeiten.

Das gilt nicht nur für die Applikations-Entwicklung und Bereitstellung, sondern auch für andere Unternehmensbereiche wie Produktion und IT. Nur wenn Unternehmen kulturelle Gräben überwinden und Silos aufbrechen, kann ganzheitliche Sicherheit gelingen.

* Richard Werner ist Business Consultant bei Trend Micro.

(ID:47809611)