Die überraschende Wahrheit über die digitale Transformation: Sicherheitsüberspringen

Dies ist der dritte Blog einer Reihe über die Herausforderungen, die sich aus der digitalen Transformation ergeben.

• Die überraschende Wahrheit über die digitale Transformation
• Die überraschende Wahrheit über die digitale Transformation: Wolkenchaos

Sicherheit wird übersprungen.

Für viele IT-Veteranen dürfte es keine Überraschung sein, dass bei Problemen mit der App-Leistung oft als erstes die Sicherheit außer Acht gelassen wird. Ihre Firewall bricht bei einem Angriff zusammen? Schalten Sie es aus. Dienstleistungen durch plötzliche Nachfrage überfordert? Schalten Sie sie aus.

Seit zwanzig Jahren schieben wir die Sicherheit systematisch beiseite, wenn die Anwendungsleistung problematisch wird.

Daher dürfte es nicht überraschen, dass die Sicherheit angesichts der Pipeline-Leistung oft vernachlässigt wird.

Neun von zehn Führungskräften geben zu, dass sie sich aufgrund der digitalen Transformation unter Druck gesetzt fühlen, Apps schneller und häufiger auf den Markt zu bringen .

Ob die Führungskräfte diesen Druck explizit oder implizit an die Verantwortlichen weitergeben, spielt keine Rolle. Entwickler und Betriebsabteilungen stehen oft unter Druck, wenn es darum geht, Apps in Rekordzeit auf den Markt zu bringen.

Und vielleicht geben sie deshalb zu, die Sicherheitskontrolle zu umgehen. Fast die Hälfte (44 %) der Befragten einer IBM/Arxan-Umfrage unter Entwicklern mobiler Geräte und des IoT war dieser Meinung, und es ist wahrscheinlich, dass Entwickler in anderen Branchen dies auch zugeben würden.

Sicherheit ist schließlich ein schwieriges Thema. Die Angriffsfläche ist groß – und keine Ebene bleibt unberührt. Vom Netzwerk über die Plattform bis hin zur Anwendung gibt es mehr Möglichkeiten, in Apps einzudringen und Daten zu exfiltrieren, als es Ebenen im Netzwerk gibt.

Doch wenn wir uns die größten Sicherheitsverletzungen der jüngsten Vergangenheit ansehen, erkennen wir ein Muster, das allen dabei helfen kann, ihre begrenzte Zeit auf die Bereiche mit dem größten Risiko zu konzentrieren.

Wir haben alle vom Equifax-Datenleck gehört. Wir kennen die schmutzigen Details und wie viele andere Organisationen waren sie von einer veröffentlichten Sicherheitslücke betroffen, die über eine Webplattform gegen ein ungepatchtes Framework eines Drittanbieters ausgeführt wurde. Die Entdeckung erfolgte wahrscheinlich, aber nicht verifiziert, über einen Bot/automatisierten Skript, der nach wahrscheinlichen Zielen suchte. Wahrscheinlich deshalb, weil es sich bei einem Großteil der Bot-Aktivitäten heutzutage nicht um Angriffsverkehr, sondern um Sondierungsmissionen handelt.

Wie sich herausstellt, ist es schon lange her, dass es jemandem gelungen ist, sich per SSH oder über eine Netzwerkschwachstelle einzuschleichen. Heutige Angreifer haben es auf Apps und Anmeldeinformationen abgesehen und nutzen Bots, um lukrative Schwachstellen zu finden – und den Angriff auszuführen.

Die drei größten Sicherheitsrisiken, vor denen Sie Apps schützen müssen, sind:

• Die Top Ten der OWASP. SQLi, XSS, Befehlsinjektion, No-SQLi-Injektion, Pfaddurchquerung und vorhersagbare Ressourcen
• CVEs. Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails und WordPress.
• Bots. Schwachstellenscanner, Web Scraper, DDoS-Tools und Forum-Spam-Tools.

Hier treffen die Standardisierung der Sicherheitsplattform und -richtlinie auf eine Architektur pro App, um eine Möglichkeit zur effektiven Beseitigung von Risiken zu bieten, bevor diese zu einer existenziellen Bedrohung werden. Die Standardisierung auf einer Plattform bedeutet die Möglichkeit zur Standardisierung der Richtlinien. Mithilfe dieser Kombination können Sicherheitsexperten eine standardmäßige grundlegende Sicherheitsrichtlinie erstellen, die dann automatisch auf alle Apps angewendet werden kann, um diese sofort vor den neuesten Bedrohungen zu schützen. Da es sich um eine anwendungsspezifische Lösung handelt, können anwendungsspezifische Schutzmechanismen hinzugefügt werden, um zusätzlichen Schutz zu bieten. Zumindest haben Sie jedoch mehr Sicherheit, da Sie wissen, dass die wahrscheinlichsten Angriffsmethoden abgedeckt sind.

Der andere Vorteil einer Pro-App-Architektur besteht darin, dass Apps, die normalerweise nicht durch etwas wie eine WAF geschützt sind (ja, ich weiß, warum sollte das so sein?), Aber glauben Sie mir, dies ist der Fall.) Sie können kurzfristig geschützt werden, indem Sie so lange wie nötig eine neue Instanz mit den entsprechenden Richtlinien in die App-Pipeline einfügen. Wenn dieser CVE also veröffentlicht wird – und das wird er –, können Sicherheitsexperten sofort eine Risikominderungsrichtlinie implementieren und diese in den Pfad jeder anfälligen Anwendung einfügen, bevor diese ausgenutzt werden kann.

Die Antwort auf Entwickler, die aufgrund des Leistungsdrucks durch die digitale Transformation die Sicherheit vernachlässigen, besteht in der Standardisierung. Standardisieren Sie auf einer gemeinsamen Anwendungssicherheitsplattform, damit Sie deren Fähigkeit zur Standardisierung von Richtlinien nutzen und diese wie ein Profi in die Pipeline einbringen können.

Seien Sie gespannt auf den nächsten Beitrag dieser Reihe, in dem wir uns damit befassen, wie Sie mit den Diseconomie of Scale umgehen können, die aus der Tendenz der digitalen Transformation resultieren, mehr Apps zu erstellen als Operationen durchzuführen.