Die Anforderungen moderner Unternehmens-IT-Umgebungen können oft zu Reibereien zwischen Entwicklern und Sicherheitsteams führen, was die erfolgreiche Einführung von Cloud-Sicherheit behindern kann.
Entwickler wollen Funktionen so schnell wie möglich bereitstellen, und Sicherheitsteams wollen das Dinge so sicher wie möglich zu sein, daher gibt es einen ständigen Interessenkonflikt. Wir sprachen mit David Hendri, CTO und Mitbegründer des Cloud-Sicherheits-Startups Solvo, um herauszufinden, wie man das Vertrauen wieder aufbauen kann zwischen Entwicklern und Sicherheit durch Schaffung einer gemeinsamen Sprache.
BN: Welche spezifischen Hindernisse stehen einer gesunden Beziehung zwischen Entwicklern und Sicherheit im Weg?
DH: Trotz der Tatsache, dass beide Teams letztendlich das Beste für sich wollen Organisation sind die Leitsterne, denen Entwickler und Sicherheitsteams folgen, von Natur aus unterschiedlich. Entwickler konzentrieren sich darauf, neue Funktionen und Produkte so schnell wie möglich auf den Markt zu bringen, während sich Sicherheitsteams darauf konzentrieren, die sicherste Umgebung zu schaffen. Da Innovation und Sicherheit, obwohl sie gleichermaßen wichtig sind, manchmal kollidieren, stoßen diese Teams ständig auf Hindernisse, die sich letztendlich nachteilig auswirken könnten. Beispielsweise führt die Sicherheitsleitung häufig Anforderungen ein, um die neuesten Sicherheitsstandards einzuhalten, ohne zu überprüfen, wie sich diese Anforderungen auf den Entwicklungsprozess auswirken. Sie haben dies so oft getan, dass sich Sicherheitsteams leider das Label „Aufsichtsbehörde“ verdient haben, was den Fortschritt verlangsamt, auf den Entwickler hinarbeiten. Gleichzeitig können Entwickler die Sicherheit jedoch häufig als etwas abtun, mit dem sie sich nach der Produktion befassen müssen, anstatt sichere Standards früher in den Software Development Life Cycle (SDLC) zu integrieren.
BN: Welche Arten von Angriffsmethoden und Risiken sind Entwicklungsteams am anfälligsten? Wie hat sich dies gegenüber den Vorjahren verändert und was können wir im neuen Jahr erwarten?
DH: Angriffe auf die Software-Lieferkette ermöglichen es Angreifern, Störungen zu verursachen, bevor eine Anwendung es überhaupt schafft in die Produktion. Angriffe auf die Softwarelieferkette haben dramatisch zugenommen und zwingen daher Entwicklungsteams, diesen wechselnden Angriffsmethoden und-risiken immer einen Schritt voraus zu sein. Ein typisches Beispiel war die Log4j-Schwachstelle im Dezember 2021, bei der Millionen von Geräten durch die Unsicherheit einer Software-Lieferkette kompromittiert wurden. Ein weiteres Beispiel war im Jahr zuvor, im Jahr 2020, als das IT-Unternehmen SolarWinds Opfer von Malware wurde, die während eines regelmäßigen Software-Updates über die internen Server des Unternehmens übertragen wurde. Das vorliegende Problem besteht darin, dass unsicherer Code in einer Produktionsumgebung verbleibt, bis er behoben ist, und die Verantwortung häufig in den Händen der Entwickler liegt. Aus diesem Grund sind Cyberkriminelle unermüdlich auf der Suche nach Zero-Day-Schwachstellen und versuchen, sie aus unterschiedlichen Gründen auszunutzen, bevor Organisationen sie patchen können. Um dieses Risiko in diesem Jahr und darüber hinaus zu mindern, ist die Arbeit an der Verbesserung der Beziehungen zwischen Sicherheits-und Entwicklerteams von entscheidender Bedeutung. Wenn Unternehmen ihre Infrastrukturen weiter in die Cloud verlagern, müssen sie sich auch mit den verschiedenen Angriffsflächen befassen, die für Angreifer anfällig sind. Immer komplexere Compliance-Standards und-Vorschriften werden Unternehmen dazu veranlassen, nach Technologien und Strategien zu suchen, um dies zu vereinfachen und das damit verbundene Risiko zu mindern.
BN: Welche Schritte können CISOs unternehmen, um Reibungsverluste zu verringern die beiden Gruppen?
DH: CISOs können dies als Gelegenheit nutzen, den Erfolg des Entwicklungsteams so zu gestalten, dass er mit dem Unternehmenswachstum übereinstimmt. Beispielsweise sollten CISOs wiederholen, dass ein sicheres Produkt einen inhärenten Wert hinzufügt, insbesondere in einer Zeit, in der alles digital ist. Potenzielle Kunden suchen sehr oft nach Produkten, die Sicherheitsstandards einhalten, und dies ist ein entscheidendes Entscheidungskriterium für den Kauf. Sobald eine Kernkultur etabliert ist, sollten CISOs die beteiligten Prozesse untersuchen und Sicherheit taktisch in den Entwicklungslebenszyklus implementieren. Sie sollten sicherstellen, dass Sicherheitsexperten an der Erstellungs-und Planungsphase beteiligt sind, damit Entwickler verstehen können, was für sicheren Code erforderlich ist.
BN: Welche unmittelbaren Schritte können Leiter der Anwendungsentwicklung unternehmen? um Reibungen zu reduzieren?
DH: Um Reibungen auf der Entwicklungsseite zu reduzieren, sollten Leads sicherstellen, dass die Erkenntnisse und Ziele ihrer Teams gehört und den Sicherheitsteams und IT-Führungskräften klar erklärt werden. Auf diese Weise können Führungskräfte sowohl in Entwicklungs-als auch in Sicherheitsteams den Weg für eine möglichst nahtlose Integration in Workflows ebnen. Der technische Leiter sollte Sicherheit auch als Top-KPI für den Erfolg eines neuen Features oder Produkts implementieren, anstatt sich nur darauf zu konzentrieren, wie neu und innovativ eine Funktionalität ist. Schließlich sollten alle Entwickler eine formelle Schulung zu den grundlegenden Aspekten der Cloud-Sicherheit erhalten. Dies ist eine Investition, die sich langfristig auszahlen wird.
BN: Spielt die Unternehmensführung eine Rolle, und wenn ja, was kann sie tun?
DH: Das Ziel der Unternehmensführung ist es, die Ziele der Sicherheit und die Ziele der Technik zusammenzubringen, um eine gemeinsame Sprache zu schaffen. Oft braucht es einen kulturellen Wandel seitens des Führungsteams. Unternehmensleiter sollten es sich zum Ziel setzen, zu kommunizieren, dass ein sicheres Produkt ein Schlüsselelement eines wettbewerbsfähigen Angebots ist, und den Entwicklern vermitteln, dass Sicherheit ein Geschäftsförderer und kein Entwicklungsblocker ist. Die Etablierung einer Kultur, die beide Ziele vereint, ist keine leichte Aufgabe und erfordert eine Investition in Training, Ausbildung und ein Umdenken in Prozessen, um veraltete Arbeitsweisen aufzubrechen.
Bildnachweis: Iofoto/Shutterstock