האם האבטחה שלך עומדת בקצב ה- DevOps ?

האם האבטחה שלך עומדת בקצב ה- DevOps ?

מאת: סלבה לוזקין

DevOps הפך לדרך עבודה נפוצה ומבוקשת בחברות רבות, אך לצד היתרונות הרצויים שיא מביאה עימה, היא גם מייצרת אתגרי אבטחת מידע משמעותיים

DevOps יצר ומייצר התלהבות רבה בקרב מובילי התעשייה, אשר נובעת בעיקר מהיכולת לבצע שיפור רציף בהנדסת התוכנה ומהגדלת ה-  ROI להשקת מוצרים ופיצ’רים חדשים לשוק, שבסופו של דבר מאפשרים להיות צעד לפני המתחרים. ה- DevOps גם מצמצם את הזמן המושקע בשמירה על היישומים הקיימים ושיפור האיכות והביצועים של אפליקציות הקיימות.

לכן לא מפתיע ש- 96% מהארגונים כבר קיימת תוכנית להטמעת תהליכי DevOps ובסופו של דבר כל החברות יאמצו אותם.

אך לצד היתרונות המשמעותיים, למובילי אבטחת המידע ה- DevOps מייצר דאגות. על פי דוח “מצב ה- DevOps” של Puppet and DORA, מנהלי IT המפעילים DevOps מפעילים קוד בתדירות הגבוהה פי 46 מאשר בסביבות IT וותיקות. במספר גולמי, מדובר ביותר מ- 1,400 הפעלות קוד בשנה לעומת 30 בשיטות עבודה מסורתיות.

הבעיה המרכזית היא שצוותי האבטחה מנותקים במידה רבה מדרך זו של אספקת תוכנה רציפה. רק %20 מהארגונים מציינים כי הם מבצעים בדיקות של מחזור חיי פיתוח מאובטח, ו- 17% מציינים כי אינם משתמשים כלל בטכנולוגיות כדי להגן על היישומים שלהם.

אם זה לא מספיק, אז צוותי האבטחה נמצאים בנחיתות מספרית של 1 אחד ל- 100 מפתחים, כך שכמעט אין להם סיכוי לעמוד בקצב ה- DevOps.

ההאקרים יודעים לנצל היטב את מצב הדברים, עם התקפות של תוכנות זדוניות לכריית מטבעות קריפטוגרפיים, דלתות אחוריות ל- Docker Hub , ניצול אפליקציות דרופל שאינן מעודכנות, וחשבונות Kebernetes פרוצים לחלוטין. גם אם רוב ההתקפות הן ממוקדות כיום ברתימת כוח מחשוב לצורך כריית מטבעות, לא צריך להיות מומחה אבטחה כדי לראות כיצד התקפות מופנות  כנגד נתונים רגישים בארגון או כנגד הלקוחות.

אנשי אבטחת מידע צריכים לחשוב מחדש על דרך ניהול הפגיעויות המסורתי בארגון, ולאמץ מתודולוגיות אבטחה חדשות כדי להבטיח תהליכים של DevOps .

אנו, במולטיפוינט, מאמינים שתפיסת האבטחה החדשה, הנקראת Cyber Exposure, נדרשת כדי לספק כיסוי את מישור ההתקפה המודרני (כגון, שירותי ענן, מכשירים ניידים, נכסי IoT / OT). תפיסה הגנתית זו תספק עומק חדש של תובנות לגבי הפגיעות, ואת היכולת לקבל החלטות. תפיסה זו כוללת מספר עקרונות DevOps לניהול טוב יותר של הסיכון בארגון:

  • גילוי רציף וסריקה. סריקות חודשיות או רבעוניות כבר אינן מספיקות בעולם ה- DevOps. אספקת תוכנה רציפה משמעותה שסביבת ה- IT משתנה כל הזמן. הדבר דורש גילוי מתמיד והערכה רציפה של סיכוני הסייבר. הדברים אמורים להתרחש על פני מחזור החיים של פיתוח תוכנה, מהפיתוח ועד להפעלה, כדי לספק ראות מלאה.
  • אינטגרציה של אבטחה אל תוך תהליכי ה – DevOps. בדיקות אבטחה ובקרה צריכות להפוך לחלק בלתי נפרד של מחזור החיים בפיתוח תוכנה, אשר מוטמעים לתוך תהליכי הפיתוח. יש להתייחס לפגיעויות, לתוכנות זדוניות ולתצורות שגויות, כמו לכל סוג אחר של שגיאות בתוכנה – וגם אותם יש לתקן מוקדם ככל הניתן במחזור החיים.
  • אוטומציה. כדי לתמוך בהיקפי ובמהירות העבודה של DevOps, פקדי אבטחה חייבים להיות זמינים באמצעות ממשקי API למערכות DevOps, כך שניתן נצל את האוטומציה לאורך מחזור החיים של פיתוח התוכנה. לדוגמה, במקום שצוותי אבטחה יבצעו אימג’ים בנקודות זמן מוגדרות מראש, ניתן יהיה להפעיל אותן עם כל Build חדש שנוצר.

Tenable מציעה מגוון רחב של פתרונות כדי לעזור לך במסע שלך בתחום DevOps. מוצר הענן Tenable.io עוקב באופן רציף אחר שינויים בנכס על מנתי להבטיח שכל עומסי העבודה של הענן ידועים ומוערכים עבור נקודות תורפה. Tenable.io לקונטיינרים כולל אינטגרציה רציפה לביצוע CI / CD במערכות,  כדי לבצע תחזור (remediate) של פגיעויות ותוכנות זדוניות במהלך הפיתוח. ה- API המתועד היטב של Tenable.io מאפשר לך להפוך לשלב את סריקות האבטחה ופקדים בתהליכי העבודה. מוקדם יותר החודש, הודיעה Tenable על שיפורים חדשים בפלטפורמת Tenable.io שיתמכו בפלטפורמות ענן הטרוגניות, ולאפשר להפוך את האבטחה לחלק בלתי נפרד ממחזור החיים של כל פיתוח תוכנה מבנייה לייצור.

כך הסביר זאת מיק קוהלר, מנהל אבטחת סייבר ב- Sysco: “התוסף Tenable.io AWS מהווה מפתח לאוטומציה של תהליך  ה- DevSecOps שלנו. הוא מאפשר לנו לקבל שקיפות בזמן אמת אל תוך סביבת הענן שלנו, ולעקוב אחר הנכסים כאשר הם מופעלים ומושבתים,  כלים אחרים שלנו ניתן לשלב את צינור באופן אוטומטי”.

 

רוצה ללמוד עוד על אבטחת DevOps? המשאבים הבאים יעזרו לך במסע שלך:

התנסה במערכת ל- 60 יום Tenable.io for free

סלבה לוזקין הוא מנהל Security Presales במולטפוינט, עם ניסיון של יותר מ- 10 שנים בניהול מערכות סייבר מתקדמות

שתף פוסט