Interview mit Bogdan Botezatu

Themenkomplex Security: „DevSecOps ist das, was die DSGVO in Sachen Sicherheit per Design fordert“

Dominik Mohilo

Bogdan Botezatu

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es quasi an jeder Ecke potentielle Schwachstellen. Kein Wunder also, dass „Security“ ein zentraler Bereich der Softwareentwicklung ist. Im Interview spricht Bogdan Botezatu, Director of Threat Research and Reporting bei Bitdefender, über die aktuelle Sicherheitslage in der IT.

JAXenter: Hallo Bogdan! Sicherheit ist in der Welt der IT schon immer ein Thema. Kannst du vielleicht kurz umreißen, wie sich die Sicherheitslage in den letzten Jahren verändert hat?

Bogdan Botezatu: Die Bedrohungslandschaft ändert sich sehr schnell und wirkt sich vertikal unterschiedlich aus. Ransomware ist beispielsweise zu einer der wichtigsten Bedrohungen in Windows- und Linux-Umgebungen geworden. Die Angriffe sind so profitabel geworden, dass Cyberkriminelle, die wissen, wie man sie schreibt und bedient, sie sogar als Dienstleistung für andere potentielle Drittpersonen zur Verfügung gestellt haben. Auch der Cyber-Krieg zwischen Staaten verschärft sich und es ist schwieriger geworden, Angriffe aufzudecken und einem Staat zuzuordnen. Zu guter Letzt sind auch IoT-Botnets zu größeren einer Sache geworden. Neue IoT-Botnetze sind im Entstehen, und Cyberkriminelle stehen im Wettbewerb, wer sich die meisten Geräte schnappt.

JAXenter: Im DevOps-Bereich gibt es viele Ansätze, Anwendungen und deren Deployment sicherer zu machen: Das Stichwort hier heißt „DevSecOps“. Kannst du uns zu dessen Definition vielleicht ein paar Worte sagen?

DevSecOps ist ein fortlaufendes Unterfangen, das von allen Seiten große Anstrengungen benötigt, um erfolgreich zu sein.

Bogdan Botezatu: Die Integration der Sicherheitskultur in DevOps oder der Weg zu DevSecOps ist ein fortlaufendes Unterfangen, das von allen Seiten große Anstrengungen benötigt, um erfolgreich zu sein. Das Einbringen von Sicherheit in DevOps erfordert dabei nicht nur die richtigen Tools, sondern genau wie in DevOps auch eine passende Kultur. Diese beginnt ganz oben im Management selbst und benötigt eine Änderung des individuellen Verhaltens und eine Änderung der Gesamtkultur.

Die eigentliche Idee von DevSecOps besteht im Prinzip darin, die Sicherheit in alle DevOps-Prozesse zu integrieren, so dass Software per Design, Entwicklung und Einsatz sicher ist. Dies ist ziemlich genau in Übereinstimmung mit dem, was die DSGVO in den Anforderungen für Datenschutz und Sicherheit per Design fordert.

DevSecOps basiert auf vorhandenen Sicherheitsprozessen und -kontrollen, die über die automatisierten Tests des Sicherheitscodes hinausgehen. Es berücksichtigt aber auch die Modellierung neuer Anwendungen, Dienste und Fähigkeiten im Hinblick auf Bedrohungen, während diese entworfen werden. Und es sucht nach Wegen zur Verbesserung der Sicherheit in allen Bereichen, wie z.B. gesicherte, gemeinsam nutzbare Bibliotheken sowie wiederverwendbare Komponenten, die entwickelt und den Teams zur Verfügung gestellt werden.

Unsere Artikel- und Interviewreihe zum Themenkomplex Security

Die moderne IT-Welt ist ein gefährliches Pflaster. Von der Entwicklung über das Deployment bis hin zur Nutzung fertiger Anwendungen gibt es quasi an jeder Ecke potentielle Schwachstellen. Kein Wunder also, dass „Security“ ein zentraler Bereich der Softwareentwicklung ist. In unserem Special zum Thema Sicherheit in der IT kommen Experten namhafter Unternehmen zu Wort, die über aktuelle Bedrohungen und Lösungen zu berichten wissen.

Tauchen Sie mit uns in den Themenkomplex Security ein!

JAXenter: Wie genau sichert man eine CI/CD-Pipeline am besten ab? Irgendwelche Best Practices?

Bogdan Botezatu: Die DevOps-Teams beginnen bereits damit, die Anwendungssicherheit in ihre CI/CD-Workflows zu integrieren, da der Druck zur Verbesserung der Softwarequalität, Compliance und Risikovermeidung zunimmt. CI/CD-Pipelines bestehen jedoch aus einer Vielzahl von Komponenten, wie Code- und Image-Repositories, Build-Servern, virtualisierten Instanzen oder Containern und einer Vielzahl anderer Tools von Drittanbietern. Je komplexer das Ökosystem, desto komplexer ist es, dieses zu sichern. Es ist jedoch wichtig, dass das DevOps-Team die Bedrohungssituation für ihre Branche einschätzt und die Angriffsfläche gründlich evaluiert.

Der erste Schritt zur Sicherung einer CI/CD-Pipeline besteht darin, Server abzusichern und den Zugang zu kontrollieren.

Der erste Schritt zur Sicherung einer solchen Pipeline besteht darin, Server abzusichern und den Zugang zu kontrollieren. Die DevOps-Teams sollten den Zugang zur CI/CD-Pipeline nach dem Grundsatz „Kenntnis nur, wenn nötig“ beschränken und die Identität und Authentifizierung über Zertifikate und SSH-Schlüssel validieren. Als Nächstes sollte die gesamte Pipeline auf Anomalien überwacht und Vorfälle auf SOC-Ebene protokolliert, abgebildet und im größeren Zusammenhang zusammengefasst werden. Insbesondere sollte die Protokollierung auf unveränderliche Weise durchgesetzt werden (d.h. die Protokolle sollten nicht zum Schreiben oder Löschen zur Verfügung stehen), so dass ein potenzieller Angreifer nach dem Eindringen nicht in der Lage sein wird, alles zu löschen.

Das CI/CD-Ökosystem basiert auf einem hohen Maß an Vertrauen zwischen beweglichen Teilen und dies ist eine der Schwachstellen, die ein Angreifer ausnutzen würde. Es ist wichtig, dass Repositories, Konfigurationsmanager und Build-Server keinen anonymen oder gemeinsamen Zugriff erlauben. Wenn sie die Möglichkeit dazu haben, nutzen Cyberkriminelle die Vertrauensbeziehung zwischen Code-Repositories und Servern aus, um Änderungen am Code vorzunehmen und sie an den Master zu übergeben – eine Technik, die in der Sicherheitswelt als Angriff auf die Lieferkette bezeichnet wird.

Apropos Tools von Drittanbietern, die im Bauprozess verwendet werden: Diese sollten einschließlich vorgefertigter Container-Images von Zeit zu Zeit überprüft werden, um sicherzustellen, dass sie wie erwartet funktionieren und dass ihre Funktionalität nicht durch Dritte beeinträchtigt wurde.

JAXenter: Die Cloud ist für viele Unternehmen ein Segen, müssen sie doch nicht mehr selbst Hand anlegen, was die Server und die Konfiguration angeht. Dennoch gibt es, da alles irgendwo halb-öffentlich in der Cloud lagert, ganz andere Sicherheitsprobleme. Wie sichert man Cloud-basierten Anwendungen richtig ab?

Für Unternehmen ist es wichtig, Konten zu kontrollieren und bei Bedarf zu sperren.

Bogdan Botezatu: Die Public Cloud ist bei CI/CD-Pipelines äußerst beliebt geworden, da sie zur Kostensenkung und zur nahtlosen Skalierung bei Bedarf beiträgt. Anstatt selbst zu hosten, setzen Unternehmen SaaS-Plattformen ein, die wiederum nach hinten losgehen können, wenn Sicherheitsrichtlinien oder Best Practices nicht befolgt werden. Eine SaaS-Plattform ist oft von außerhalb des Unternehmensnetzwerks verfügbar, was bedeutet, dass sie von Natur aus auch für Bösewichte zugänglich ist. Für Unternehmen ist es wichtig, Konten zu kontrollieren und bei Bedarf zu sperren.

Gekündigte Mitarbeiter oder böswillige Insider können ansonsten schlechten Code einschleusen oder das Repository beschädigen. Da Code oft als geistiges Eigentum angesehen wird, ist es auch wichtig, dass der Zugang auf ein Minimum beschränkt und durch eine Zwei-Faktor-Authentifizierung gesichert wird.

JAXenter: Auch das maschinelle Lernen oder Machine Learning ist in den letzten Jahren ordentlich vorangeschritten. Wie wirkt sich das auf die Sicherheit von Anwendungen aus? Immerhin können solche Technologien auch zum Knacken von Passwörtern und Firewalls genutzt werden.

Bogdan Botezatu: Generative Adversarial Networks sind algorithmische Architekturen, die zwei neuronale Netze verwenden, wobei eines gegen das andere ausgespielt wird. Ihr Nutzen bei der Durchführung von Angriffen ist jedoch noch relativ begrenzt. Es gibt aber schon mehrere Toolkits, die maschinelles Lernen nutzen, um die zugrunde liegende Infrastruktur zu entdecken und Angriffe entsprechend anzupassen. Ich würde also sagen, dass maschinelles Lernen eingesetzt werden kann, um proaktiv Schwachstellen in Anwendungen zu entdecken. Auf der Gegenseite wird Machine Learning aber auch bereits eingesetzt, um einen Angriff zu erkennen und abzuwehren, bevor er erfolgreich ist.
Letzteres ist eine Technik, die in modernen Cyber-Sicherheitslösungen weit verbreitet ist, um ein bisher unbekanntes Angriffsmuster zu erkennen und zu verhindern.

JAXenter: Was ist deine Sicherheitsprognose für die kommenden Monate und Jahre – welche Entwicklungen wird es in Sachen Anwendungssicherheit geben?

Bogdan Botezatu: Seit 2018 konzentriert sich die Forschungswelt auf die Identifizierung von Schwachstellen in handelsüblicher Hardware in Servern. Die Meltdown- und Spectre-Angriffe haben neue Formen von Cyber-Angriffen hervorgebracht, bei denen der Prozessor des Computers kompromittiert wird, um den Inhalt des Speichers offenzulegen oder den Anwendungsfluss vollständig zu verändern. Die Zahl solcher Angriffe hat in den letzten zwei Jahren stetig zugenommen und selbst wenn sie in realen Cyber-Angriffen nicht verwendet werden, erfordert ihre Existenz als „Proof of Concept“ neue Abwehrmechanismen.

JAXenter: Vielen Dank für das Gespräch!

Bob Botezatu ist leitender Analyst für digitale Bedrohungen bei Bitdefender mit starkem Security und Technologie Background. Als Director of Threat Research ist er langjähriges Mitglied im Bitdefender Expertenteam, berichtet über globale Trends und Entwicklungen in der Computersicherheit und schreibt über Malware-Ausbrüche und Sicherheitsvorfälle.
Geschrieben von
Dominik Mohilo
Dominik Mohilo
Dominik Mohilo studierte Germanistik und Soziologie an der Goethe-Universität in Frankfurt. Seit 2015 ist er Redakteur bei S&S-Media.
Kommentare

Hinterlasse einen Kommentar

avatar
4000
  Subscribe  
Benachrichtige mich zu: