Hallo, mein Name ist Tyler Welton. Ich bin Sicherheitsingenieur bei Planview AgilePlace und ich liebe es. Ich verbringe einen großen Teil meiner Zeit damit, sowohl defensive als auch offensive Sicherheitsaufgaben für unsere Webanwendungen, Infrastruktur und Sicherheitskultur zu erfüllen.
Informationssicherheit ist schwierig. Noch schwieriger ist es, für gute Sicherheit zu sorgen. Die agile Entwicklungsmethodik und die Praxis der Lean-Prinzipien haben es Branchenführern ermöglicht, Software schneller und häufiger als in den Jahrzehnten zuvor zu produzieren und einzusetzen. Natürlich muss sich auch unsere Sorgfalt beim Schutz dieser Software und unsere Art und Weise, dies zu tun, weiterentwickeln.
Sicherheit ist schon immer der Innovation der Technologie gefolgt, und das zu Recht, denn ohne Technologie gäbe es nichts zu schützen. Ich denke, es ist wahrscheinlich ziemlich offensichtlich, wenn man die aktuellen Ereignisse beobachtet, dass der Schutz von Kundendaten und die Verstärkung des Codes gegen Angriffe etwas ist, das bei der modernen Softwareentwicklung an erster Stelle stehen muss.
Leider scheint es in der Sicherheitsbranche immer eine Verzögerung zwischen den Veränderungen in der Softwareentwicklung und den Veränderungen bei der Sicherung dieser Software zu geben. Es gibt immer wieder Probleme, wenn man versucht, die Entwicklungsabläufe zu verbessern und einen sichtbaren Nutzen sowohl für den Nutzer der Software als auch für die Entwicklungsorganisation zu schaffen.
Die Sicherheit der alten Schule bietet sicherlich einen Mehrwert für die Abläufe der alten Schule, aber häufige, iterative Software-Releases können nicht durch Systeme und Methoden geschützt werden, die für den Schutz des Monolithen entwickelt wurden. Die Sicherheit hat Nachholbedarf.
Alte Schule: Außerhalb der Reichweite
Lassen Sie uns zunächst die Hindernisse ansprechen, die veraltete Methoden für den Fluss darstellen. In der IT- und DevOps-Welt gibt es einige Stereotypen, die Sie hören werden. Dazu gehören unter anderem: schmerzhafte Change Advisory Board (CAB) Meetings und komisch bürokratische Genehmigungshierarchien für technologische Veränderungen.
Obwohl diese Prozesse ursprünglich aus einem echten Sicherheitsbedürfnis heraus entstanden sind, haben sie in vielerlei Hinsicht ihrem Klischee entsprochen. Sie haben schnelle Patches, häufige Schwachstellenanalysen und integrierte Sicherheit ironischerweise erschwert und können sich auf lange Sicht negativ auf die Sicherheitslage eines Unternehmens auswirken.
Diese Einschränkungen bestehen nicht nur in der Infrastruktur, sondern auch im Lebenszyklus der Softwareentwicklung. Bei der Informationssicherheit der alten Schule arbeiten Entwickler oft monatelang an einer Software, bevor sie veröffentlicht wird. Oft ist die Sicherheit die letzte Station auf dem Weg. Wenn die Sicherheitsbehörden dann ein Problem mit dem Code finden, muss die Software möglicherweise umfassend umgeschrieben werden. In diesen Fällen ist die Sicherheit unbeteiligt, abgehoben und nicht so effektiv, wie sie eigentlich sein könnte.
Wert ist ein weiterer Lean-Gedanke, der sich von der traditionellen, kolossalen Sicherheit abhebt. Ein besserer Weg, dies zu sagen, wäre vielleicht der 'wahrgenommene Wert'. Erfolgreiche Sicherheit ist schwer zu quantifizieren, da ihre korrekte Umsetzung nur wenig zu Buche schlagen sollte (Verstöße, Zwischenfälle usw.).
Noch schlimmer ist, dass wirklich schlechte Sicherheitspraktiken aufgrund mangelnder Einsicht in die Bedrohungslandschaft scheinbar zu den gleichen quantifizierbaren Ergebnissen führen. Dies bringt die Sicherheitsingenieure, Anwendungssicherheitsspezialisten und Hacker in eine schwierige Lage, in der sie einen Weg finden müssen, das Risiko auszudrücken, das durch die von ihnen eingerichteten Systeme gemildert wurde.
Neue Schule: Kontinuierliche Bereitstellung als Sicherheitsmerkmal
Ich habe einen Konferenzvortrag von Zane Lackey, ehemals Etsy, gehört, der behauptete, dass die kontinuierliche Bereitstellung ihre wichtigste Sicherheitsfunktion sei. Das war auch bei Planview AgilePlace der Fall, und zwar in mehrfacher Hinsicht.
Erstens ermöglichen häufige Iterationen sowohl bei der Bereitstellung von Software als auch bei Änderungen der Infrastruktur eine gründlichere Sicherheits- und Schwachstellenanalyse. Wenn die Änderung klein genug ist, kann die Sicherheitsanalyse sehr gezielt durchgeführt werden. Wenn nur einige wenige Änderungen beleuchtet werden und alles innerhalb des bestehenden SDLC-Ablaufs geschieht, können mehr mögliche Wege der Nutzung untersucht werden.
Zweitens zwingt die kontinuierliche Bereitstellung die Sicherheit zu einer engeren Beziehung mit der Entwicklung. Wenn dies der Fall ist, hat die Sicherheit die Möglichkeit, Einblicke in die Sicherheit auf Code-Ebene zu erhalten. Diese Daten können dann ausgewertet werden, so dass sich eine echte Bedrohungslandschaft abzeichnet. Auf diese Weise lässt sich der Wert der Sicherheit in einer quantifizierbaren Weise darstellen. Anstelle einer "dysfunktionalen Familien"-Dynamik können Entwicklung und Sicherheit den Weg zu einer symbiotischen Beziehung einschlagen.
Erste Schritte mit Lean
Schlanke Praktiken eignen sich gut für eine fortschrittliche Informationssicherheit, aber wo fängt man auf diesem Weg an? Ist eine Entwicklerschulung erforderlich? Müssen erst Strategien entwickelt und eingeführt werden, bevor Veränderungen stattfinden können?
Darauf habe ich keine speziellen Antworten, denn die Lösungen sind von Unternehmen zu Unternehmen unterschiedlich. Aber ich kann sagen, dass es hilfreich ist, wenn den Entwicklern und den Mitgliedern des IT-Betriebsteams Ressourcen zur Verfügung stehen. Die meisten Mitarbeiter im Technologiebereich sind es gewohnt, neue Konzepte zu lernen und zu verinnerlichen, aber sie konzentrieren sich meist auf andere Dinge. Wenn ein einfacher Katalog von Ressourcen für den Konsum zur Verfügung gestellt werden kann, kann dies in hohem Maße zu einem kulturellen Wandel beitragen.
Wir sind hier bei Planview AgilePlace nicht perfekt, aber ich habe das Glück, mit einigen sehr sicherheitsbewussten Menschen zusammenzuarbeiten. Aber selbst wenn es in einem Unternehmen an Sicherheitsbewusstsein mangelt, kann ein Pool an entsprechenden Ressourcen viel bewirken. Wir sind ja schließlich ein Team.
Es gibt ein enormes Potenzial, den Wert der Sicherheit zu erhöhen und gleichzeitig moderne Arbeitsabläufe beizubehalten oder sogar zu verbessern. Das alles soll nicht heißen, dass es keine Probleme mit modernen Methoden gibt - aber agile Teams, die Lean-Prinzipien schätzen, haben zumindest den Rahmen, um sich schnell weiterzuentwickeln und diese Probleme zu lösen.
Final Thoughts
Bruce Schneier sagte: "Wenn Sie glauben, dass Technologie Ihre Sicherheitsprobleme lösen kann, dann verstehen Sie die Probleme nicht und Sie verstehen die Technologie nicht." Es ist der Prozess der Sicherheit, der wichtiger ist als die Lösungen, die es gibt. Sicherheit ist die Fähigkeit zu reagieren und sich anzupassen, um die Integrität der zu schützenden Daten und Ressourcen zu erhalten. Sicherheit ist auf Gedeih und Verderb von den Menschen abhängig. Und es sind die Menschen, die den Wandel schaffen müssen.