8. November 2021 Chris Hughes* und Julia Krokoszinski

Wie Software Reliability zur Sicherheit beitragen kann

Die Einführung von Devsecops- und Site-Reliability-Engineering-Konzepten erhöht die Softwareverfügbarkeit und -sicherheit durch Verbesserung der Stabilität und Verkürzung der Zeit für die Implementierung von Korrekturen. [...]

(c) pixabay.com

Softwaresicherheit und Reliability werden schon seit einigen Jahren verglichen und gegenübergestellt, wobei der Hauptpunkt darin besteht, dass beide das Ziel haben, Kunden und Verbraucher zu schützen. Mit der fortschreitenden Einführung und Reifung der Devsecops– und Site Reliability Engineering (SRE)-Bewegung gibt es jedoch zunehmend Überschneidungen zwischen den beiden Themen. Wenn sie richtig durchgeführt werden, maximiert dies den Wert für die Beteiligten.

Jeder, der sich seit einiger Zeit mit Cybersicherheit beschäftigt, ist mit der CIA-Trias vertraut, die für Vertraulichkeit, Integrität und Verfügbarkeit steht. Metriken, die sich auf die Verfügbarkeit beziehen, sind ein wichtiger Bestandteil der Devops– (und in der Folge Devsecops-) Bewegung. Sie werden in Form von Devops Research and Assessments (DORA) bereitgestellt. Zu diesen Metriken gehören die Wiederherstellungszeit (MTTR) und die Änderungsausfallrate (CFR). Wenn vorgeschlagene Änderungen fehlschlagen und die Verfügbarkeit beeinträchtigen und die Wiederherstellung inakzeptabel lange dauert, sind sowohl die Sicherheit als auch die Zuverlässigkeit gefährdet.

Studien wie der State of Devops Report zeigen, dass leistungsstarke Unternehmen die Geschwindigkeit nicht der Stabilität (Verfügbarkeit) opfern. Immer mehr Unternehmen übernehmen SRE-Prinzipien mit dem Ziel, aus Ausfällen zu lernen und fragile Systeme in antifragile und zuverlässige Systeme zu verwandeln.

Kurze Vorlaufzeit für Änderungen erhöht die Sicherheit

Trotz des offensichtlichen Zusammenhangs zwischen MTTR und CFR hat eine andere DORA-Kennzahl ebenfalls einen starken potenziellen Einfluss auf die Sicherheit. Dabei handelt es sich um die Vorlaufzeit für Änderungen. Diese Kennzahl wird häufig mit der Zeit in Verbindung gebracht, die von der Übergabe des Codes bis zur erfolgreichen Ausführung in der Produktion vergeht. Sie wird im Allgemeinen im Zusammenhang mit der schnellen Bereitstellung von Mehrwert für Kunden oder Endbenutzer diskutiert.

Die Fähigkeit, sicherheitsrelevante Updates für Ihre Systeme schnell bereitzustellen, ist ebenfalls ein Beispiel für die Bereitstellung von Werten. Wenn Sie unsichere Komponenten oder Schwachstellen in Ihren Produktionssystemen identifizieren können, wie schnell können Sie diese Mängel beheben, ohne die Verfügbarkeit Ihres Systems zu gefährden? Wenn Sie die Verfügbarkeit des Systems beeinträchtigen müssen, um sicherheitsrelevante Updates bereitzustellen, haben Sie sowohl die Stabilität als auch die Sicherheit beeinträchtigt, indem Sie die Verfügbarkeit unterbrochen und das Zeitfenster vergrößert haben, in dem eine Schwachstelle von einem böswilligen Akteur ausgenutzt werden kann.

Software Reliability als Sicherheitsmaßstab

Im State of Devops Report 2021 wurde als Reaktion auf die Abkehr von der Verfügbarkeit auch die Zuverlässigkeit als Metrik hinzugefügt. Die Logik hinter dieser Verschiebung war, über die Verfügbarkeit hinauszugehen und Latenz, Leistung und Skalierbarkeit zu berücksichtigen. Dies erscheint logisch, da ein System, das zwar verfügbar oder erreichbar ist, aber eine so starke Leistungsverschlechterung oder Skalierbarkeit aufweist, dass es die Geschäftsanforderungen nicht erfüllen kann, im Verhältnis zu seinem tatsächlichen Bedarf nicht verfügbar ist.

Viele Sicherheitsexperten sind jedoch der Meinung, dass die Verfügbarkeit diese zusätzlichen Faktoren einschließt. Das NIST zum Beispiel definiert Verfügbarkeit als Daten oder Informationen, die bei Bedarf zugänglich und nutzbar sind.

Der Bericht weist auch darauf hin, dass Teams, die ihre Zuverlässigkeitsziele übertreffen, mit doppelt so hoher Wahrscheinlichkeit Sicherheit in ihren Systementwicklungs-Lebenszyklus (SDLC) integriert haben. Zuverlässigkeit wird oft als kritische Kennzahl angesehen, da sie für den Kunden wichtig ist und der Schlüssel zur Vermeidung von Marktanteils- und Umsatzverlusten. Die Integration der Sicherheit in den SDLC stellt sicher, dass Probleme früher erkannt und behoben werden, wenn sie sowohl billiger als auch einfacher zu beheben sind, ohne dass die Zuverlässigkeit im Rahmen des Berichts wesentlich beeinträchtigt wird.

Angesichts der Tatsache, dass Unternehmen mit hoher Zuverlässigkeit die niedrigsten Vorlaufzeiten, CFRs und MTTRs haben, bedeutet dies, dass sie auch am ehesten in der Lage sind, kritische Sicherheitsprobleme schnell zu beheben, ohne die Systemzuverlässigkeit zu beeinträchtigen. Dadurch verringert sich das Zeitfenster, in dem Angreifer das System ausnutzen können, und das allgemeine Sicherheitsrisiko für Systeme und Software.

Der Bericht „State of Devops“ aus dem Jahr 2021 ergab, dass die Elite der Unternehmen eine 6.570-mal schnellere Zeit für die Wiederherstellung nach Zwischenfällen hat. Wenn Zuverlässigkeit die wichtigste Kennzahl für Kunden ist und eng mit dem Erhalt von Marktanteilen und der Erzielung von Einnahmen verbunden ist, ist dies sehr beeindruckend. Aus Sicht der Verfügbarkeit ist es auch ein blaues Auge für Unternehmen, die bei der Häufigkeit der Codebereitstellung, den Vorlaufzeiten und der Fehlerquote bei Änderungen schlecht abschneiden. Dies erscheint einigermaßen intuitiv, denn je mehr man etwas übt, desto besser wird man darin.

Unternehmen, die auf Stabilität bedacht sind und Änderungen nur zögerlich vornehmen, sind in Wirklichkeit am anfälligsten, wenn es darum geht, sich von Zwischenfällen zu erholen, einschließlich solcher, die die Sicherheit betreffen. Dies ist wichtig, da Zwischenfälle unvermeidlich sind.

7 Wege: Wie DevSecOps zum Fail wird

Der Wert der Kombination von SRE- und Devsecops-Praktiken

Auch zwischen SRE und Devsecops gibt es Überschneidungen. SRE ist im Wesentlichen ein Ansatz, der darauf abzielt, Software für die Verwaltung von Systemen, die Bewältigung von Herausforderungen und die Automatisierung von Aufgaben einzusetzen. All dies geschieht in dem Bestreben, die Versprechen gegenüber den Anwendern einzuhalten, und ist oft an Messgrößen wie Service Level Indicators/Service Level Objectives (SLIs/SLOs) gebunden.

Unternehmen, die SRE-Praktiken mit Devopsops-Methoden kombinieren, erreichen auch viel eher ihre gemeinsamen Ziele und Schlüsselergebnisse (OKRs) und erfüllen die gewünschten Geschäftsergebnisse. Unternehmen, die sich auf die Verbesserung der Stabilität oder Zuverlässigkeit ihrer Software konzentrieren, verbringen auch viel weniger Zeit damit, Sicherheitsprobleme zu beheben. Das Argument für die Integration von SRE- und Devsecops-Praktiken wird von Branchenführern wie Adrian Cockcroft unterstützt, der dies zur Unterstützung des Konzepts der kontinuierlichen Resilienz vorschlägt.

Studien und Umfragen zeigen immer wieder, dass Unternehmen, die sich sowohl auf die Verbesserung der Zuverlässigkeit ihrer Software als auch auf die Implementierung von Devsecops-Praktiken konzentrieren, von einer verbesserten Zuverlässigkeit und Sicherheit profitieren. Dies macht Sinn, wenn man bedenkt, dass der Schwerpunkt auf der Verlagerung der Sicherheit nach links im SDLC, der Verringerung der technischen Sicherheitsschuld und der Automatisierung liegt, während gleichzeitig versucht wird, die Zuverlässigkeit und Kundenzufriedenheit zu maximieren.

Viele haben argumentiert, dass Zuverlässigkeit eine Voraussetzung für Softwaresicherheit ist. Ein unzuverlässiges System ist nicht sicher, aber ein System kann durchaus auch in einem unsicheren Zustand verfügbar sein. Weitere vergleichbare Überschneidungen ergeben sich aus der Tatsache, dass kein System gegen jede mögliche Bedrohung oder jedes mögliche Risiko völlig unverwundbar sein kann.

Bei der Sicherheit geht es im Wesentlichen um das Risikomanagement innerhalb einer bestimmten Risikotoleranz, die häufig von den Hauptbeteiligten festgelegt wird. In ähnlicher Weise kann keine Software und kein System als völlig immun gegen alle möglichen Probleme der Zuverlässigkeit und Verfügbarkeit angesehen werden. Dennoch können Software und Systeme zuverlässig sein, so wie es in den SLOs und SLIs definiert ist, wie bereits erwähnt.

Kombiniert man die gesteigerte Leistung der SRE– und Devops-Elite in Bezug auf CFR, MTTR und Zuverlässigkeit mit den neuesten Erkenntnissen über Datenschutzverletzungen aus dem IBM-Bericht „2021 Cost of a Data Breach“, werden die Auswirkungen deutlich. Die durchschnittlichen Gesamtkosten einer Datenschutzverletzung liegen jetzt bei 4,24 Millionen US-Dollar. Außerdem übersteigt die Gesamtzahl der Datenschutzverletzungen bis September 2021 die des gesamten Jahres 2020. Die Häufigkeit von Datenschutzverletzungen nimmt zu. Angesichts dieser zunehmenden Zahl von Angriffen und Risiken ist es für Unternehmen wichtiger denn je, Sicherheitsupdates schnell bereitzustellen, sich von Vorfällen zu erholen und die Zuverlässigkeit für Kunden zu gewährleisten.


Mehr Artikel

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

News

Jahrelanges Katz-und-Maus-Spiel zwischen Hackern und Verteidigern

1. November 2024

Sophos hat den umfangreichen Forschungsbericht „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten Cybercrime-Gruppierungen aus China beschreibt. Im Lauf der Auseinandersetzung entdeckte Sophos ein riesiges, gegnerisches Cybercrime-Ökosystem. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*