AppSec: Softwaresicherheit als Reaktion auf DevOps und digitale Transformation

Die 11. Version des »Building Security In Maturity Model« demonstriert, wie Unternehmen Softwaresicherheit anpassen können, um moderne Software-Entwicklungsparadigmen zu unterstützen.

 

Synopsys veröffentlichte BSIMM11, die aktuelle Version des Building Security In Maturity Model (BSIMM). BSIMM unterstützt Unternehmen bei der Planung, Ausführung, Analyse und Verbesserung ihrer Softwaresicherheitsinitiativen (SSIs). Die Studie spiegelt die Softwaresicherheitspraktiken von 130 Unternehmen aus unterschiedlichen Branchen wider, darunter Finanzdienstleister, FinTech-Unternehmen, unabhängige Softwareanbieter, Cloud-Anbieter, Unternehmen aus dem Gesundheitswesen, dem IoT sowie Versicherungen und Einzelhandel. BSIMM11 hebt die Arbeit von 8.457 Softwaresicherheitsexperten hervor, die mit ihrem Erfahrungswert über 490.000 Entwickler unterstützen.

BSIMM dient Firmen als Messlatte, um eigene Initiativen mit den Daten aus der breiteren BSIMM-Community abzugleichen. BSIMM11 zeigt, dass viele Betriebe ihr Software-Sicherheitskonzept in Bezug auf die digitale Transformation und moderne Software-Entwicklungsparadigmen wie DevOps anpassen.

Lesen Sie dazu den BSIMM11 Digest oder laden Sie die vollständige BSIMM11-Studie herunter [1].

Anzeige

»BSIMM ist eine ausgezeichnete Ressource für Führungskräfte im Sicherheitsbereich, die aus den kollektiven Erfahrungen ihrer Kollegen lernen wollen, insbesondere um neu aufkommende Herausforderungen zu bewältigen«, so Mike Newborn, CISO bei der Navy Federal Credit Union, einer Mitgliedsorganisation der BSIMM-Community. »Die größte Herausforderung für die meisten Unternehmen ist aktuell, ein wachsendes Portfolio an Anwendungen vor dem Hintergrund sich ständig weiterentwickelnder, beschleunigter Entwicklungspraktiken abzusichern. BSIMM11 zeigt, wie viele dieser Unternehmen ihre Softwaresicherheitsstrategien anpassen, um sich selbst und ihre Kunden zu schützen, und das, ohne Innovationen zu bremsen oder die Entwicklungsgeschwindigkeit zu beeinträchtigen.«

Trends in BSIMM11

  • Von Entwicklern geführte Softwaresicherheitsstrategien tragen erfolgreich zu DevOps-Wertströmen und Ausfallsicherheit bei. BSIMM11 zeigt, dass CI/CD-Instrumentierung und Betriebsorchestrierung zu Standardkomponenten der Softwaresicherheitsinitiativen vieler Unternehmen geworden sind und beeinflussen, wie diese organisiert, konzipiert und ausgeführt werden. Beispielsweise berichten immer mehr Softwaresicherheitsteams an ein AppSec-Team oder einen CTO (im Gegensatz zu einem IT-Sicherheitsteam oder CISO), und sie verändern die Art und Weise, Talente intern zu rekrutieren und zu organisieren.
  • Software-definierte Sicherheits-Governance ist nicht mehr nur ein Ideal. Unternehmen sind dabei, einige hochsensible Out-of-Band-Sicherheitsaktivitäten durch automatisierte Aktivitäten zu ersetzen, die durch Ereignisse bei der Ausführung der CI/CD-Pipeline ausgelöst werden. Die Umwandlung von manuellen Prozessen und menschlichen Entscheidungen in Algorithmen ist eine der Methoden, mit der Unternehmen Ressourcenbeschränkungen und Probleme beim Management angehen.
  • Aus »Shift left« ist »Shift everywhere« geworden. Die Umsetzung des »Shift-Left-Konzepts« begann einmal mit der wörtlichen Interpretation, einige Sicherheitstests zu einem früheren Zeitpunkt im Entwicklungszyklus durchzuführen und hat sich bis zur Implementierung von Sicherheitsaktivitäten unmittelbar mit der Verfügbarkeit der zu überprüfenden Artefakte entwickelt. Das könnte bedeuten, man hat sich von dort, wo in der Vergangenheit die Aktivitäten durchgeführt wurden, nach links bewegt, in der Praxis ist es aber oftmals auch nach rechts gegangen, z. B. in die Produktion.
  • Einführung der FinTech-Vertikale in den BSIMM-Datenpool. Nach sorgfältiger Prüfung des wachsenden Datenpools von Firmen in der Finanzvertikalen ist deutlich geworden, dass eine zusätzliche Vertikale für Firmen notwendig wurde, bei denen es sich effektiv um spezialisierte ISVs für Finanzdienstleistungssoftware handelt.

 

»Wie moderne Software gebaut und eingesetzt wird, hat sich in den letzten Jahren dramatisch verändert. Und damit haben sich natürlich auch die Maßnahmen geändert, die zur Sicherung dieser Software erforderlich sind«, so Michael Ware, BSIMM-Co-Autor und Senior Director of Technology bei Synopsys. »Unternehmen sind in hohem Maße von Software abhängig, und moderne Methoden haben die Geschwindigkeit der Entwicklung beschleunigt. Folglich gibt es überall mehr Software. Wir müssen uns aber auch noch um all die bereits existierenden Programme kümmern. BSIMM ist ein sich ständig weiterentwickelndes Modell, das die tatsächlichen Praktiken repräsentiert, die von Hunderten von Softwaresicherheitsgruppen auf der ganzen Welt verwendet werden. Darunter einige der fortschrittlichsten Teams der Welt. So bietet BSIMM praktisch Echtzeiteinblicke in die Umsetzung der Änderungen, mit denen wachsende Softwareportfolios geschützt werden.«

Anzeige

 

Neue Aktivitäten im BSIMM zeigen Verlagerung hin zu DevSecOps

Die drei zu BSIMM10 hinzugefügten Aktivitäten (SM3.4 Integration software-definierter Lebenszyklen-Governance, AM3.3 Überwachung der automatisierten Erstellung von Assets, CMVM3.5 Automatisierte Überprüfung der operativen Infrastruktursicherheit) haben im vergangenen Jahr ein außerordentliches Wachstum verzeichnet. Dies zeigt, dass einige Unternehmen aktiv gewährleisten wollen, dass Softwaresicherheit mit der Geschwindigkeit der Softwarebereitstellung Schritt hält. Die beiden neuen Aktivitäten in BSIMM11 (ST3.6 Einführung ereignisgesteuerter Sicherheitstests, CMVM3.6 Veröffentlichung von Risikodaten für einsetzbare Artefakte) sind ein klarer Nachweis, dass sich dieser Trend fortsetzt.

 

BSIMM in unterschiedlichen Branchen

BSIMM bietet einzigartige, datengestützte Einblicke in die Beschaffenheit und den Vergleich der relativen Stärken und Schwächen von Software-Sicherheitsinitiativen in einer Vielzahl von Branchen. Cloud, IoT und High-Tech-Unternehmen repräsentieren drei der ausgereiftesten Vertikalen im BSIMM11-Datenpool. BSIMM11 hebt auch die Unterschiede zwischen drei stark regulierten Branchen hervor: Finanzdienstleistungen, Gesundheitswesen und Versicherungen. In der Finanzdienstleistungsbranche, in der Softwaresicherheitsteams vor allen anderen Industriezweigen tätig waren, lassen sich im Vergleich zum Gesundheits- und Versicherungswesen ausgereiftere Praktiken feststellen. Zum ersten Mal präsentiert BSIMM Daten über die High-Tech-Vertikale, die sich nachweislich eng an die Finanzdienstleistungen anlehnt, wobei die primären Deltas (zugunsten von FinTech) bei der Schulung, den Sicherheitstests und den Code-Review-Praktiken auftreten.

 

[1] Lesen Sie nach Registrierung den BSIMM11 Digest oder laden Sie die vollständige BSIMM11-Studie herunter.
Für eine Live-Diskussion der wichtigsten Ergebnisse der BSIMM11-Studie melden Sie sich bitte zu unserem Webinar am 15. Oktober an.

 

Über BSIMM

Das 2008 initiierte Building Security In Maturity Model (BSIMM) ist ein Tool zur Erstellung, Analyse und Bewertung von Softwaresicherheitsinitiativen. BSIMM11 ist ein datengesteuertes Modell und Messwerkzeug, das aus der sorgfältigen Untersuchung und Analyse von über 200 Softwaresicherheitsinitiativen entstanden ist und aktuelle Informationen aus der realen Welt von 130 Unternehmen enthält. BSIMM ist ein offener Standard, der ein auf Softwaresicherheitspraktiken basierendes Rahmenwerk enthält, mit dessen Hilfe Unternehmen ihre eigenen Bemühungen im Bereich der Softwaresicherheit bewerten und reifen lassen können. Weitere Informationen finden Sie unter www.bsimm.com

 

142 Artikel zu „DevSecOps“

In 6 Schritten zu DevSecOps

Während DevOps schon weitverbreitet ist, erkennen nun immer mehr Unternehmen, dass es entscheidend ist, nicht nur Entwicklung und Betrieb enger zu verzahnen, sondern, dass man auch Sicherheit immer von Anfang an mitdenken sollte. Dem trägt der DevSecOps-Ansatz Rechnung. Doch ebenso wie DevOps, ist dieser Ansatz kein Produkt, das man kauft, oder eine Lösung, die man…

Cybersicherheit und Container – So funktioniert die Umstellung auf DevSecOps

Die schnelle Einführung von Containern im Unternehmen sind eine einzigartige Gelegenheit dar, die generelle Sicherheitsstrategie zu verändern. Container stellen eine gute Möglichkeit dar, die Kluft zwischen Entwicklungs- und Sicherheitsteams zu überbrücken. Ist es möglich, dass Container das Unternehmen einen Schritt näher an DevSecOps heranbringen? Palo Alto Networks nimmt das Thema unter die Lupe. Computing hat…

DevSecOps: Unternehmen müssen umdenken, um in der Softwareentwicklung erfolgreich zu sein

Hindernis für die Integration von Sicherheit in die gesamte Softwareentwicklung sei laut der weltweiten Studie die bestehende Unternehmenskultur.   Im Zentrum der weltweiten Studie »Integrating Security into the DNA of Your Software Lifecycle« von CA Technologies stand die Frage, wie sich die Kultur eines Unternehmens auf dessen Fähigkeit auswirkt, Sicherheit in den gesamten Software-Entwicklungsprozess einzubinden.…

DevSecOps: Wie sich Microservices auf die Anwendungssicherheit auswirken

Die Architektur von Software verändert sich grundlegend – Microservices sind auf dem Vormarsch. Drei zentrale Herausforderungen, die das für die Anwendungssicherheit mit sich bringt. Microservices sind im Software Development schon seit mehreren Jahren auf dem Vormarsch. Viele kleine Services anstatt einzelner monolithischer Applikationen zu entwickeln, bietet in der Tat zahlreiche Vorzüge. Eine kleine Auswahl der…

Future Organization Report 2020: Agil macht krisenfest

Agilität in Unternehmen steigt, Kundenorientierung bleibt aber ausbaufähig Agile Unternehmen können besser auf Veränderungen reagieren Agilität im Vergleich zum Vorjahr von 4,7 auf 5,5 gestiegen Über 70 Prozent der Mitarbeitenden haben ausgeprägtes agiles Mindset 70 Prozent der Befragten erlangen durch Wissen über den Kunden einen strategischen Wettbewerbsvorteil   Gerade in der Covid-19-Pandemie zahlt sich Agilität…

Mobile Prozesse in der Fertigungsindustrie flexibel und gleichzeitig sicher beschleunigen

Auch in der Fertigungsindustrie setzen sich mobile Prozesse mehr und mehr durch. Mit der zunehmenden Relevanz mobiler Endgeräte in der Produktionsbranche werden auch unternehmenseigene Apps immer wichtiger. Apps machen Produktionssteuerung, Lagerverwaltung und andere Abläufe mobil, damit Mitarbeiter effizienter und komfortabler arbeiten. Unternehmen wiederum erreichen ihre Geschäftsziele deutlich leichter und schneller und profitieren von einem klaren…

Fünf Hürden auf dem Weg zu einer erfolgreichen Data Governance

An einer umfassenden Data-Governance-Strategie führt heute kaum noch ein Weg vorbei – da sind sich die meisten modernen Unternehmen einig. Dass viele von ihnen aber noch weit von der tatsächlichen Umsetzung entfernt sind, belegt jetzt eine Dataversity-Studie aus dem Jahr 2020. Nur zwölf Prozent der befragten Unternehmen gaben hier an, eine entsprechende Strategie bereits vollständig…

Security-Risiko USB-Massenspeicher: Best Practices zum Schutz vor Datenverlust

USB-Massenspeicher bieten eine schnelle, einfache Möglichkeit, Daten zu transportieren und gemeinsam zu nutzen, wenn eine digitale Übertragung nicht möglich ist. Das hohe Risiko von Diebstahl und Verlust macht USB-Massenspeicher für die Unternehmenssicherheit jedoch zu einem Security-Alptraum. Die aktuell weitverbreitete Remote-Arbeit hat diese Probleme noch verschärft. Das Volumen der von Mitarbeitern auf USB-Massenspeicher heruntergeladenen Daten ist…

Mehr Sicherheit für Home Office und Außendienst: Auf diese Microsoft-365-Angriffsarten sollten Firmen verstärkt achten

Phishing, Legacy-Protokolle, Password Spraying, OAuth-Attacken und mehr: Sicherheitsexperten erklären häufige MS-365-Einfallstore für Cyberkriminelle und hilfreiche Abwehrtaktiken. Rund 200 Millionen aktive Nutzer im Monat zählt die Websuite Microsoft 365. Für die riesige Zahl an Anwendern besteht das Risiko, Opfer von Cyberkriminellen zu werden. So lassen sich 85 Prozent der Sicherheitsvorfälle, die von Kudelski Security 2019 registriert…

4 Schwerpunkte für datenschutzkonforme KI-Lösungen

Was sind die vier wichtigsten Herausforderungen bei Konzeption und Einsatz von KI-Anwendungen im Unternehmen?   Der Siegeszug künstlicher Intelligenz spielt beim jüngst ausgelösten Digitialisierungsschub eine herausragende Rolle, schließlich erobert KI ständig neue Anwendungsfelder und findet sich so immer häufiger im praktischen Einsatz. Die Security-Verantwortlichen in Unternehmen stellt diese Entwicklung jedoch vor komplexe, neue Herausforderungen, denn…

Home Office: Sicher auch ohne eigene IT-Abteilung

So können KMU ihr Home-Office-Setup schützen – Fünf Tipps vom Profi. Unternehmen in Deutschland und auf der ganzen Welt haben aufgrund der Corona-Virus-Pandemie Home-Office-Arrangements eingeführt – große globale Player wie Twitter erwägen sogar öffentlich, langfristig daran festzuhalten. Solche multinationalen Unternehmen verfügen über starke IT-Abteilungen, die sich um zusätzliche Sicherheitsanforderungen kümmern, die mit der Arbeit aus…

Enterprise Architecture Management – Übertriebener Formalismus oder nützliches Werkzeug?

Gibt es in Ihrem Unternehmen einen IT-Architekten oder gar ein Architektur-Team? Wenn Ihre Antwort »nein« heißt, steht Ihr Unternehmen damit nicht allein da. Und falls Sie einen Architekten haben: Wie wichtig ist er oder sie für den Erfolg der IT und des Unternehmens a) in seiner eigenen Wahrnehmung und b) in der Wahrnehmung des Unternehmens?

Studie zur Sicherheit in der modernen Anwendungsentwicklung

Durch DevSecOps ist das Thema Sicherheit in den Mittelpunkt der modernen Entwicklung gerückt. Sicherheits- und Entwicklungsteams werden jedoch von unterschiedlichen Metriken geleitet, und das kann die Ausrichtung auf ein gemeinsames Ziel erschweren. Die Problematik verschärft sich zusätzlich, weil es den meisten Sicherheitsteams an Wissen fehlt, wie moderne Anwendungsentwicklung tatsächlich abläuft. Microservices-gesteuerte Architekturen, Container und serverfreie…

Automatisiertes, KI-generiertes Spear Fishing in großem Stil – Wachsende Notwendigkeit gefälschte Texte zu erkennen

Obwohl sich Vectra AZ darauf konzentriert, KI zur Cyberabwehr einzusetzen, beobachtet das Unternehmen auch, wie KI-Fortschritte von Cyberangreifern genutzt werden könnten. »Ein Bereich, in dem in letzter Zeit einige überraschende Fortschritte erzielt wurden, ist die Generierung natürlicher Sprache. Insbesondere hat OpenAI einen Generator für natürliche Sprache geschaffen, der in der Lage ist, kohärente Antworten in…

Anwendungssicherheit: Kombination aus Mensch und Technik

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen. Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu…

Data Science für die IT-Sicherheit: KI-Human-Teams können Cyberangreifer stoppen

Trotz der erstaunlichen Fortschritte bei der Leistung der künstlichen Intelligenz in den letzten Jahren ist keine KI perfekt. Tatsächlich wird die Unvollkommenheit einer KI in der Regel durch die Messung der Genauigkeit des Modells an einem Testdatensatz deutlich gemacht. Perfekte Ergebnisse werden weder erwartet noch sind sie üblich.   Christopher Thissen, Data Scientist bei Vectra…

Agiles Arbeiten und der größte Fehler: die Angst vor dem Fehler

Der Unterschied zwischen agilen Modellen und agilem Arbeiten liegt in der Definition. Agile Modelle beschreiben die Struktur eines definierten Projektablaufs, wie beispielsweise SCRUM. Mit SCRUM werden Lösungen in iterativen und inkrementellen Abläufen erstellt. Das Ziel ist dabei nicht im Voraus exakt definiert, sondern manifestiert sich erst im Rahmen der Entwicklung. Während agile Modelle die Anwendungsformen…

Checkliste zur Applikationssicherheit: 11 Best Practices

Applikationssicherheit ist ein so umfangreiches wie komplexes Feld. Cyberbedrohungen nehmen weiter zu und ständig drängen neue AppSec-Anbieter auf den Markt. Das macht die Einschätzung, was man wann wie tun sollte oftmals schwierig. Wer seine Anwendungen vor Bedrohungen schützen will, muss sich durch einen wahren Dschungel an Produkten, Diensten und Lösungen kämpfen. Die vorliegende Checkliste zur…

Die Cloud als Chance für Cybersicherheit – fünf Gründe für Managed Security aus der Cloud

Konventionelle Sicherheitslösungen wurden nicht mit Blick auf die Cloud entwickelt, was Herausforderungen durch Komplexität, Verwaltungsaufwand und unvollständigem Schutz schafft. Dies ist nach Meinung von Palo Alto Networks nun aber geboten, denn: In der vernetzten Welt, in der sowohl Benutzer als auch Daten überall sind, muss auch Cybersicherheit überall verfügbar sein. Um dies zu erreichen, muss…

Google-Initiative soll Open-Source-Projekte schützen

Google hat jetzt seine Marktmacht in den Dienst einer Initiative zum Schutz der Integrität von Open-Source-Projekten gestellt. Die Entscheidung, die eingetragenen Warenzeichen von Open-Source-Projekten besser zu schützen, steht vor dem Hintergrund, dass eine Reihe von äußerst erfolgreichen Projekten stark dadurch beeinträchtigt wurden, dass Public Cloud Provider die Angebote mit eigenen Managed-Services-Angeboten unterboten hatten. Im vergangenen…