CyberArk. The CISO View on DevOps: Νέα έκθεση επισημαίνει προσεγγίσεις για τη μείωση του κινδύνου στη κυβερνοασφάλεια

Η CyberArk, ο παγκόσμιος ηγέτης στην ασφάλεια προνομιακής πρόσβασης, εξέδωσε πρόσφατα μια νέα ερευνητική έκθεση, την «The CISO View: Προστατεύοντας την Προνομιακή Πρόσβαση σε DevOps και Cloud Περιβάλλοντα«. Βασισμένη στις απευθείας εμπειρίες μίας επιτροπής από Global 1000 CISOs (Chief Information Security Officers), η έκθεση παρέχει συμβουλές σε ομάδες ασφαλείας για την αποτελεσματική εκτίμηση των κινδύνων, την προώθηση της συνεργατικότητα μεταξύ των προγραμματιστών και την ιεράρχηση των βημάτων για την προστασία των διεργασιών DevOps διατηρώντας παράλληλα την ταχύτητα προγραμματισμού.

Η έκθεση αποτελεί μέρος της βιομηχανικής πρωτοβουλίας The CISO View με τη συμμετοχή και την συμβολή στελεχών σε κορυφαίους οργανισμούς που υιοθετούν μεθοδολογίες και εργαλεία DevOps, όπως η American Express Company, η American Financial Group, η Asian Development Bank, η Carlson Wagonlit Travel, η CIBC, η GIC Private Limited, η Τράπεζα ING, η Lockheed Martin, η NTT Communications, η Orange Business Services, η Pearson, η Rockwell Automation και η Starbucks. Με την χορηγία της CyberArk, η πρωτοβουλία συγκεντρώνει κορυφαίους CISOs για peer-to-peer ανταλλαγή πληροφοριών με στόχο να βοηθήσουν τις ομάδες ασφαλείας να δημιουργήσουν αποτελεσματικά προγράμματα κυβερνοασφαλείας.

Ενώ οι στρατηγικές ασφάλειας θα έπρεπε να αντιμετωπίζουν την προνομιακή πρόσβαση και τους κινδύνους για τα μη-προστατευμένα επιχειρηματικά μυστικά και διαπιστευτήρια, θα έπρεπε επίσης να ευθυγραμμίζονται και με την κουλτούρα και τις μεθόδους DevOps, ώστε να αποφεύγονται οι αρνητικές επιπτώσεις στην ταχύτητα των προγραμματιστών και να μην επιβραδύνεται το λανσάρισμα νέων υπηρεσιών. Παρόλα αυτά, το 73% των οργανισμών που ερωτήθηκαν σχετικά στην έκθεση CyberArk Global Advanced Threat Landscape του 2018 απάντησαν ότι δεν έχουν υιοθετήσει κάποια στρατηγική ασφάλειας προνομιακής πρόσβασης για DevOps.

Στην έκθεση επισημαίνονται πέντε βασικές συστάσεις που βασίζονται στις πραγματικές εμπειρίες των CISOs που συμμετείχαν:

  1. Μετατρέψτε την ομάδα ασφάλειας σε συνεργάτες DevOps – Εξασφαλίστε ότι όσοι ασχολούνται στον τομέα της ασφάλειας καθώς και οι προγραμματιστές έχουν τις κατάλληλες δεξιότητες, διευκολύνετε τους developers να πράττουν το σωστό, ενθαρρύνετε τη συνεργασία και υιοθετήστε ευέλικτες μεθόδους DevOps εντός της ασφάλειας.
  2. Δώστε προτεραιότητα στη διασφάλιση της υποδομής και των εργαλείων DevOps  – Ορίστε και επιβάλετε πολιτικές για την επιλογή εργαλείων και την διαμόρφωση, ελέγξτε τη πρόσβαση σε εργαλεία DevOps, διασφαλίστε  ότι ακολουθείτε την αρχή των ελάχιστων δυνατών προνομίων και προστατεύστε και παρακολουθήστε τις υποδομές σας.
  3. Εγκαθιδρύστε επιχειρησιακές απαιτήσεις για την εξασφάλιση των εμπορικών μυστικών του οργανισμού και των διαπιστευτηρίων – Διατάξτε την κεντρική διαχείριση των μυστικών, επεκτείνετε τον έλεγχο και την παρακολούθηση των δυνατοτήτων, εξαλείψτε τα διαπιστευτήρια από εργαλεία και εφαρμογές και αναπτύξτε επαναχρησιμοποιούμενα modules κώδικα.
  4. Προσαρμόστε τις διαδικασίες για δοκιμές εφαρμογών – Ενσωματώστε τον αυτοματοποιημένο έλεγχο κώδικα, αναγκάστε τους προγραμματιστές να διορθώσουν προβλήματα ασφαλείας χρησιμοποιώντας μια προσέγγιση «break the build» και να εξετάστε την περίπτωση ενός προγράμματος «bounty bug».
  5. Αξιολογήστε τα αποτελέσματα των προγραμμάτων ασφαλείας DevOps – Ελέγξτε την ανάπτυξη λύσεων διαχείρισης μυστικών, αξιολογήστε και προωθείστε τις βελτιώσεις και εκπαιδεύστε τους αξιολογητές.

«Αυτή η έκθεση CISO View καταγράφει τις εμπειρίες και τις συστάσεις των ανώτερων στελεχών που αγκαλιάζουν με ασφάλεια τις ροές εργασίας DevOps», δήλωσε η Marianne Budnik, CMO της CyberArk. «Για οργανισμούς που ξεκινούν πρωτοβουλίες ψηφιακού μετασχηματισμού, ποτέ δεν ήταν πιο σημαντικό να ευθυγραμμίσουν τις στάσεις ασφάλειας και κινδύνου τους κατά μήκος νέων εργαλείων και τεχνολογιών. Στην φάση της κατανόησης των οργανωτικών και επιχειρησιακών προκλήσεων, οι ομάδες ασφάλειας μπορούν αποτελεσματικότερα να οδηγήσουν παραγωγικές συζητήσεις μεταξύ της εκτελεστικής ομάδας, της ομάδας ασφαλείας και της ομάδας των προγραμματιστών» συμπλήρωσε η Marianne Budnik.

Αυτή η έκθεση είναι η τρίτη στη σειρά έκθεση «The CISO View», και πραγματοποιήθηκε σε συνεργασία με την ανεξάρτητη εταιρεία ερευνών Robinson Insight και βασίζεται στη γνώση και στη συμβολή της επιτροπής The CISO View της Global 1000 CISOs, που αποτελείται από μέλη της κοινότητας ασφάλειας και άλλους ειδικούς σε θέματα της βιομηχανίας.

Για να κατεβάσετε την έκθεση «The CISO View: Protecting Privileged Access in DevOps and Cloud Environments» καθώς και άλλες εκθέσεις και αναφορές, επισκεφτείτε τη διεύθυνση https://www.cyberark.com/cisoview/.