CISO-View Report
Empfehlungen zur Sicherung privilegierter Zugriffe in DevOps-Umgebungen
Forschungsbericht von CyberArk
CyberArk präsentiert den neuen Forschungsbericht „The CISO View: Protecting Privileged Access in DevOps and Cloud Environments“. Er basiert auf den Erfahrungswerten eines CISO-Panels aus Global-1000-Unternehmen und liefert fünf Empfehlungen für die Sicherung von DevOps-Prozessen. Security-Strategien müssen unternehmensweite Maßnahmen zum Schutz privilegierter Zugriffe und Zugangsdaten umfassen – gerade auch im DevOps-Umfeld, in dem etliche Service-Accounts, Encryption-, API- und SSH-Keys, Secrets von Containern oder eingebettete Passwörter in Programm-Code oft ungesichert sind. So hat auch der „Global Advanced Threat Landscape Report 2018“ von CyberArk ergeben, dass mehr als 70 Prozent der befragten Unternehmen noch keine „Privileged Access Security“-Strategie für DevOps-Umgebungen haben.
Der neue CISO-View-Report liefert nun für die Umsetzung einer solchen Strategie fünf zentrale Empfehlungen, die auf realen Erfahrungswerten der teilnehmenden Verantwortlichen für die Informationssicherheit basieren:
1. Einbindung der Security-Teams in DevOps-Prozesse
Förderung der Zusammenarbeit von Security- und DevOps-Teams sowie Integration von DevOps- und Security-Tools und Practices in die Standardvorgehensweisen.
2. Priorisierung der Sicherung von DevOps-Tools und Infrastrukturen
Konzeption und Umsetzung von Richtlinien für die Tool-Auswahl und -Konfiguration, die Kontrolle des Zugriffs auf DevOps-Tools, die Umsetzung von Least-Privileges-Konzepten sowie die Sicherung und Überwachung von Infrastrukturen.
3. Etablierung unternehmensweit gültiger Anforderungen für die Sicherung von Zugangsdaten und Secrets
Aufbau eines zentralen Zugangsdaten-Managements, Erweiterung von Audit- und Überwachungssystemen, Elimination von festen Zugangsdaten in Tools und Applikationen sowie Entwicklung wiederverwendbarer Code-Module.
4. Einführung von Prozessen für das Testen von Applikationen
Integration automatisierter Code-Tests, kontinuierliche Behebung von Sicherheitsproblemen im Entwicklungsprozess und eventuell Aufsetzen eines „Bug Bounty“-Programms.
5. Evaluierung der Resultate des DevOps-Sicherheitsprogramms
Regelmäßige Überprüfung der Secrets-Management -Lösung und Ermittlung von Optimierungspotenzialen.
„Nach wie vor wird in DevOps-Umgebungen oft die Sicherheit vernachlässigt – ein gravierender Fehler, denn gerade DevOps erweitert die Angriffsfläche für Cyber-Attacken erheblich“, erklärt Michael Kleist, Regional Director DACH bei CyberArk. „Der neue CISO View Report gibt Unternehmen nun fünf Empfehlungen an die Hand, wie sie DevOps-Workflows sichern können, ohne dabei die Entwicklerproduktivität zu beeinträchtigen oder die Bereitstellung neuer Services zu verzögern.“
Der neue Report ist Teil der CISO-View -Industrieinitiative, die von CyberArk gesponsert wird. Im Rahmen der Initiative werden Forschungen durchgeführt und Leitfäden entwickelt, die Sicherheitsteams bei der Konzeption und Umsetzung effizienter Cyber-Security-Programme unterstützen. Dem CISO View Panel gehören unter anderem CISOs folgender Unternehmen an: American Express Company, American Financial Group, Asian Development Bank, Carlson Wagonlit Travel, CIBC, GIC Private Limited, ING Bank, Lockheed Martin, NTT Communications, Orange Business Services, Pearson, Rockwell Automation und Starbucks.
