Prozkoumání průběžného zabezpečení

  • 6 min

Průběžné zabezpečení je jednou z osmi funkcí v taxonomii DevOps.

Zjištění, proč je potřeba průběžné zabezpečení

Kybernetický zločin je nevyhnutelné skutečnosti digitální doby, ve které žijeme. Mnoho organizací je denně napadeno zločinci, kteří to dělají, aby to udělali škodu nebo hackeři to dělají pro zábavu. Stejně jako naše organizace jsme jako uživatelé služeb třetích stran také mohli cílit na tyto útoky.

Tady je několik příkladů skutečného života.

Společnost Skutečné příběhy z světa
Ikona problému ovlivňujícího YahooYahoo V roce 2013 byly všechny 3 miliardy uživatelských účtů Yahoo ovlivněny krádeží dat. Šetření ukázalo, že ukradené informace neobsahují hesla do prostého textu, dat platebních karet nebo podrobností o bankovním účtu.
Ikona problému ovlivňujícího UberUber V roce 2016 hackeři přistupovali k osobním údajům 57 milionů jezdců. V době porušení zabezpečení společnost Uber zaplatila hackerům 100 000 USD, aby zničila data. Neříkali regulačním orgánům ani uživatelům, že jejich informace byly odcizeny. O rok později zpřístupnili porušení zabezpečení.
Ikona problému ovlivňujícího InstagramInstagram V roce 2017 ovlivnil hacker Instagram miliony účtů a způsobil zveřejnění telefonních čísel uživatelů. Čísla skončila v datovém základu, kde lidé mohli hledat kontaktní údaje oběti za 10 USD za hledání.
Ikona problému ovlivňujícího FacebookFacebook V roce 2018 hackeři ukradli podrobné osobní údaje od 14 milionů uživatelů Facebooku. Ukradená data obsahovala výsledky hledání, nedávná umístění a města.
Ikona problému ovlivňujícího EquifaxEquifax 6. března 2017 oznámila Apache Foundation novou chybu zabezpečení a dostupnou opravu pro architekturu Struts 2. Brzy poté, co equifax, jeden z agentur, které vyhodnocují finanční zdraví mnoha spotřebitelů v USA, začaly informovat vybrané zákazníky, že došlo k porušení zabezpečení. V září 2017 oznámil Equifax své porušení veřejně po celém světě. Porušení zabezpečení ovlivnilo 145,4 milionu spotřebitelů v USA a 8000 v Kanadě. V Uk bylo ohroženo celkem 15,2 milionu záznamů, včetně citlivých dat ovlivňujících 700 000 spotřebitelů. V březnu 2018 společnost Equifax oznámila, že 2,4 milionu spotřebitelů v USA bylo ovlivněno, než bylo původně oznámeno.

V současné době je doporučení michaela Haydena (bývalého ředitele NSA a CIA) předpokládat, že jste byli porušeni, a že obrana na každé úrovni by měla být ústřední pro bezpečnostní postoj organizace. Podle Haydenu existují dva typy společností: ty, které byly porušeny, a ty, které to ještě neví.

Filozofie produktové skupiny Microsoftu, která inspiruje svůj přístup DevSecOps, je:

  • předpokládat, že jste byli porušeni.
  • chybní aktéři jsou již v síti s interním přístupem.
  • hloubková obrana je nezbytná.

Organizace instalují aplikace všude. Spoléhají na webové a mobilní aplikace, aby mohli zapojit zákazníky a software, aby mohli provozovat obrovskou novou vlnu zařízení Internetu věcí (IoT). Tyto aplikace však zveřejňují firmy na zvýšení rizika; Když se ptáte, jak externí útočníci prováděli úspěšné útoky, globální pracovníci s rozhodovací pravomocí v oblasti síťové cesty, jejichž společnosti byly v předchozích 12 měsících porušeny, uvedly, že hlavní dvě metody útoku jsou přímé útoky webových aplikací a využívají ohrožený software. A firmy budou prostřednictvím těchto ohrožených cílů v dohledné budoucnosti pouze trychtýřovat další zákazníky a data. Forrester předpovídá, že většina firem uvidí do roku 2022 76 % až 100 % celkového prodeje prostřednictvím digitálních produktů nebo produktů prodaných online. Proto se specialisté zabezpečení musí soustředit na zabezpečení aplikací.

Diagram znázorňuje výsledky zabezpečení aplikace 2020 znázorňující, že aplikace zůstávají nejběžnějším vektorem útoku. 42 % externích útoků bylo provedeno prostřednictvím ohrožení zabezpečení softwaru. 35 % bylo provedeno prostřednictvím webových aplikací. 27 % bylo provedeno pomocí odcizených přihlašovacích údajů. 25 % bylo způsobeno zneužitím ztraceného nebo odcizeného majetku a 24 % z důvodu strategického ohrožení webu. 24 % bylo distribuovaných útoků na odepření služeb. 22 % bylo způsobeno mobilním malwarem. 21 % útoků DNS. 18 % bylo způsobeno phishingem. 15 % útoků ransomwaru. 6 % útoků bylo potvrzeno prostřednictvím sociálního inženýrství.

Zdroj obrázku: Stav zabezpečení aplikace, 2020, Forrester Research, Inc., 4. května 2020

Co je průběžné zabezpečení?

Zabezpečení je aplikace technologií, procesů a ovládacích prvků pro ochranu systémů, sítí, programů, zařízení a dat před neoprávněným přístupem nebo zločinným použitím.

Zabezpečení poskytuje důvěrnost, integritu a záruky dostupnosti před úmyslnými útoky a zneužitím cenných dat a systémů.

Důležité

Je důležité zdůraznit, že zabezpečení se nezaměřuje na chyby, ale na úmyslné útoky. To je důležité, protože by vyžadovaly různá protiopatření: pro chyby může jednoduché oznámení nebo žádost o potvrzení udělat, pro škodlivé akce, rozhodně ne.

Průběžné zabezpečení je postup, který zajišťuje, že zabezpečení je nedílnou součástí životního cyklu doručování softwaru. Nepřetržité zabezpečení v DevOps by mělo zahrnovat ucelený pohled na zabezpečení, včetně kultury zabezpečení, zabezpečeného doručování softwaru a zabezpečené infrastruktury.

Nepřetržité zabezpečení vyžaduje změnu myšlení, vzdělávání a automatizaci.

Existují tři prvky pro vytvoření průběžného zabezpečení:

  • Silná bezpečnostní zaměření v rámci kultury organizace
  • Infrastruktura implementovaná a provozovaná přijetím nejnovějších doporučených postupů zabezpečení
  • Proces doručování softwaru, který se zaměřuje na zabezpečení, jako je například SDL (Microsoft Security Development Lifecycle)

Tři principy DevOps, které je potřeba vzít v úvahu ve všech funkcích, takže i v nepřetržitém zabezpečení jsou:

Princip Popis
Ikona pro posun doleva
Posunout doleva		 Posun doleva znamená předvídat aktivity zabezpečení a provádět je dříve v procesu doručování softwaru místo podřízeného procesu. Studie ukázaly, že oprava chyb dříve ve vývojovém cyklu má významný dopad na náklady a ztráty.
Ikona pro automatizaciAutomation Automatizace opakujících se akcí je klíčem k tomu, aby se snížila možnost chyb. Tento přístup umožňuje provádět úlohy a procesy, které jsou obvykle méně časté, například nasazení, častěji.
Ikona pro průběžné vylepšováníPrůběžné vylepšování Průběžné vylepšování se dosahuje prostřednictvím analýzy aktuálního chování a identifikace možností optimalizace.

Diagram znázorňuje prvky nepřetržitého zabezpečení: posun doleva, průběžné vylepšování a automatizace. Tyto prvky v kombinaci se zabezpečenou infrastrukturou, kulturou zabezpečení a zabezpečeným doručováním softwaru představují holistický přístup k zabezpečení.

Důležité

Když se tři principy posunu doleva, automatizace a průběžného zlepšování zkombinují s prvky nepřetržitého zabezpečení: kultura, doručování softwaru a infrastruktura, představují holistický přístup k zabezpečení.