Організації переходять від монолітних додатків до мікросервісів, використовуючи переваги ідеально підходящої для цього архітектури контейнерів. У результаті зростає відповідальність за захист цих середовищ, оскільки компанії піддаються більшому набору ризиків безпеки і вразливостей.
Ми переживаємо переломний момент у розвитку культури відносин DevOps і CISO. Директори з інформаційної безпеки (CISO) повинні захищати організації будь-якою ціною, а для фахівців з розробки та експлуатації (DevOps) головне - це гнучкість, тому в питаннях безпеки вони схильні вибирати компромісне (good enough) рішення, а іноді категорично заперечують проти пропонованих заходів захисту.
Що це означає для бізнесу і кібербезпеки?
Компанія Radware провела дослідження серед представників спільноти DevOps і DevSecOps з метою дізнатися, наскільки поширена методологія DevOps і як сильно вона впливає на прийняття рішень у сфері інформаційної безпеки. Дослідники Radware опитали майже 300 фахівців з компаній різних розмірів по всьому світу. Нижче наводиться короткий огляд результатів.
Компанії впроваджують інноваційні технології та концепції
В цілому компанії добре розуміють, що впровадження нових стандартів і рішень при переході на цифрові технології вимагає об'єктивного ставлення (і великого бюджету), тому пробують і (або) купують додаткові засоби безпеки.
Наприклад, 67% опитаних компаній використовують мікросервіси/контейнери, а 53% вже впровадили технологію захисту контейнерів. 43% використовують спеціалізоване рішення для захисту безсерверних функцій під час виконання для виключення збоїв і витоку даних.
Все це виглядає багатообіцяючим, але створюється враження, що компанії діють методом проб і помилок і застосовують численні технології, не забезпечивши їх сумісність. Вони сподіваються, що наявність різноманітних технологій забезпечить ефективний захист.
Оскільки мікросервіси та управління контейнерами все ще відносяться до технологій, що розвиваються, необхідно, щоб компанії вивчали, які рішення і практики підійдуть для нової інфраструктури і потоків даних. Невиправдана надія на існуючі моделі захисту призводить до непередбачених пролом і в системі безпеки і, як наслідок, витоків даних.
Компанії застосовують обов'язкові заходи безпеки
Вони не тільки прагнуть впроваджувати нові технології захисту, а й широко застосовують усталені практики. Наприклад:
- 70% компаній забезпечують контроль трафіку «захід - схід»;
- більше половини перевіряють код поряд з тестуванням безпеки та застосуванням рішень WAF;
- 52% вважають головним критерієм вибору технології для захисту додатків якість забезпечення безпеки.
Це підтверджується і використанням засобів захисту API. На діаграмі нижче видно, що компанії знають про загрози безпеці, що виходять від API, і активно працюють над їх усуненням. Правильний підхід, враховуючи, що API в даний час пов'язують інструменти, програми, системи і середовища.
Застосування базових практик безпеки, наявність у компанії фахівців DevSecOps і впровадження технологій захисту додатків створюють відчуття впевненості. (Більше 90% організацій вже створили групи DevOps або DevSecOps, а 58% повідомили, що співвідношення між фахівцями по DevSecOps і розробці складає від 1: 6 до 1: 10.)
... І все ж програми зламуються
Хакери поки перемагають, і атаки на додатки як і раніше представляють загрозу. 88% респондентів повідомили Radware про інциденти атак протягом року, з них 90% постраждали від витоку даних. Респонденти щодня стикалися з порушеннями прав доступу, перехопленням сеансів, підробкою файлів cookie, впровадженням коду SQL, атаками типу «відмова в обслуговуванні», атаками на протокол, міжсайтовим скриптингом, підробкою міжсайтових запитів, маніпуляціями з API і так далі.
56% опитаних відзначили, що компаніям і постачальникам хмарних послуг складно розмежувати обов'язки по захисту. Багато організацій щотижня стикаються з різними видами атак на додатки.
Шлюзи API, схоже, не допомагають у вирішенні проблеми. Зазвичай їх використовують для перевірки справжності (37%), фільтрації IP (30%) і базового балансування навантаження (28%), але очевидно, що вони не можуть заблокувати всі спроби маніпуляції API.
Загалом рішення на основі статичних правил і жорстких евристичних процедур не забезпечують адекватного рівня захисту програм, що постійно змінюються. Половина респондентів зазначила, що їхні додатки постійно змінюються, іноді кілька разів на день. У подібних випадках людина просто не в змозі тримати все під контролем. Для цього потрібно виявити зміну, налаштувати політику, затвердити і виконати її, що неможливо здійснити без автоматизації.
Через швидкий темп змін повноваження переходять до інших людей, які відповідають за гнучку методологію розробки, надання додатків і мікросервісів, створюють середовища SLDC і вибирають інструменти. DevOps і DevSecOps починають чинити більший вплив при прийнятті рішень, пов'язаних з безпекою. Саме цю гіпотезу компанія Radware і хотіла перевірити.
Хто приймає рішення?
Тільки не фахівці з безпеки. Головним чином на вибір інструментів, визначення політики та впровадження захисту додатків впливає відділ ІТ. (ІТ-відділ контролює бюджет, проте 70% CISO не мають вирішального голосу).
Цифрова трансформація - не просто перехід на цифру
Дослідження Radware показало, що успішність атак пов'язана з тим, що підприємства не повністю враховують вплив переходу на цифрові технології.
У цьому процесі технології ініціюють зміни. Найпростіше - придбати і впровадити нові технології і платформи, проте технології не почнуть працювати самі по собі. Незважаючи на прагнення організацій дотримуватися правил безпеки, зловмисники як і раніше успішно атакують. Чому? Тому що компанії не роблять другий - нецифровий - крок цього переходу: отримання нових компетенцій, адаптацію бізнес-процесів, перерозподіл ролей і обов'язків.
Це слабке місце в захисті додатків. Якщо фахівці з безпеки зможуть виконувати свою роботу і зроблять захист визначальним фактором бізнесу, можливо, ми нарешті побачимо, як розвиток систем безпеки буде відповідати швидкості розвитку бізнесу.