Wichtigste Sicherheitsergebnisse im F5 State of Application Delivery Report

Wie regelmäßige Leser des F5-Blogs wissen, haben wir die dritte Ausgabe des State of Application Delivery (SOAD)-Berichts veröffentlicht. Der Bericht von 2017 stellt die Umfrageergebnisse unter fast 2.200 Führungskräften und IT-Experten dar und deckt alle Aspekte der Anwendungsbereitstellung ab, einschließlich vor Ort, in der Hybrid Cloud und in der Cloud. Mehrere Ergebnisse des Berichts berühren die Einstellung der Befragten zum Sicherheitsumfeld. Fast jeder Fünfte der Befragten verfügt über einen Titel im Sicherheitsbereich, und in diesem Beitrag konzentrieren wir uns auf einige der Punkte, die ihren Kollegen am wichtigsten sind.

Befund: Es besteht eine Lücke im Bereich Cloud- und Sicherheitskompetenz.

Überraschenderweise werden vier von fünf Befragten im Jahr 2017 Multi-Cloud -Strategien einführen. Und bei einem dieser fünf Unternehmen befindet sich die Hälfte oder mehr der Anwendungen bereits in der Cloud! Doch verfügen Unternehmen heute über genügend Cloud-Experten, um sich auch nur mit einer einzigen Cloud zu befassen? Ich kenne Leute, die AWS-Experten sind, aber nichts über Azure wissen und umgekehrt.

Es dürfte für die Leser meiner (oder der) Kolumne von Jon Oltsik keine Überraschung sein, dass jede dritte Organisation die Lücke bei den Sicherheitskompetenzen als erhebliche Sicherheitsherausforderung angibt. Wir bilden einfach nicht genügend Whitehats aus, um mit all den Blackhats mitzuhalten, die sich weltweit weiterbilden. Es besteht die Chance, dass die Lücke bei den Sicherheitskompetenzen durch eine magische Kombination aus maschinellem Lernen und Automatisierung geschlossen wird; die auf der DEF CON 24 angekündigte DARPA Cyber Grand Challenge weist bereits in diese Richtung. Doch bis es so weit ist, ein Hoch auf die Security-Glaubwürdigkeit.

Ein typisches Beispiel: Im SOAD-Bericht wurden die Teilnehmer gefragt, welche Anwendungsdienste sie in den nächsten zwölf Monaten einsetzen wollen. Die häufigste Antwort (40 %) ist Sicherheit.

Befund: Die Bereitstellung von Sicherheitsanwendungsdiensten wird immer ausgefeilter.

Im Bericht wurden die Umfrageteilnehmer nach ihren Strategien zur Abwehr neuer Bedrohungen sowie zur Absicherung ihrer Anwendungen und ihrer Daten gefragt. Die gute Nachricht für dieses Jahr ist, dass Unternehmen im Allgemeinen mehr Vertrauen in ihre Fähigkeit haben, ihre größten Sicherheitsherausforderungen zu bewältigen als im letzten Jahr.

Mit Ausnahme des Fachkräftemangels sind die Unternehmen in allen Problembereichen etwas weniger beunruhigt. Ich habe Lori MacVittie , eine der Autorinnen des Berichts, nach dem Grund dafür gefragt: 

„Wir glauben, es bedeutet, dass sie allgemein weniger Angst haben. Wir gehen davon aus, dass dies möglicherweise daran liegt, dass die Sicherheitsbudgets gestiegen sind und die Unternehmen daher in der Lage sind, die Lösungen zu implementieren, die sie zur Bewältigung ihrer Herausforderungen benötigen. Es steht zwar nicht im öffentlichen Bericht, aber die Sicherheitsherausforderung „Budget zu klein“ ist von 41 % im Jahr 2016 auf 30 % im Jahr 2017 gesunken, daher unsere Vermutung.“

Weltweit haben diejenigen Organisationen, die am meisten Vertrauen in ihre Fähigkeit haben, einem Angriff standzuhalten, ihre Sicherheit über einen einfachen Perimeterschutz hinaus erweitert. Viele planen, im nächsten Jahr DDoS-Mitigation (21 Prozent), DNSSEC-Schutz (25 Prozent) und eine Web Application Firewall (20 Prozent) einzusetzen.

Befund: Das Schlimmste, ohne das ich eine App bereitstellen könnte, ist …

Im Rahmen der SOAD-Umfrage werden die Teilnehmer jedes Jahr gefragt, was ihrer Meinung nach das Schlimmste ist, worauf sie bei der Bereitstellung einer Anwendung verzichten könnten. 

Das Thema Sicherheit steht mit noch größerem Abstand an erster Stelle als im Vorjahr. Im Jahr 2016 war die Verfügbarkeit wichtiger als die Sicherheit. Vielleicht wird den Organisationen endlich bewusst, dass eine Sicherheitsverletzung weitaus länger anhaltende negative Auswirkungen haben kann als ein Ausfall. Dieses Bewusstsein wird wahrscheinlich durch die ständige Meldung von Sicherheitsverletzungen verstärkt. Das ist eine gute Sache.

Die häufigste Antwort auf die Anwendungssicherheit ist natürlich die Web Application Firewall (WAF). Über die Hälfte aller Cloud-First-Befragten geben an, eine WAF im Einsatz zu haben. Das ist nicht allzu überraschend, obwohl man sich schon fragt, was die anderen 48 % machen …

 Bericht zum Stand der Anwendungsbereitstellung 2017

Interessierte finden den vollständigen Bericht „State of Application Delivery 2017“ hier .