Everything-as-Code – Anything Secure?

Video in TIB AV-Portal: Everything-as-Code – Anything Secure?

Formal Metadata

Title
Everything-as-Code – Anything Secure?
Title of Series
Author
License
CC Attribution 4.0 International:
You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor.
Identifiers
Publisher
Release Date
2019
Language
German

Content Metadata

Subject Area
Abstract
Die Softwareentwicklung befindet sich im Umbruch und erfährt nicht zuletzt durch agile Konzepte und DevOps einen enormen Bedeutungszuwachs. Der Trend scheint klar: „Everything is Code and code is law“. Gleichzeitig wächst damit die Verantwortung in Hinblick auf das Thema Security, dabei steigt die Anzahl von Cyber-Attacken und Sicherheitsvorfällen seit Jahren kontinuierlich. Es stellt sich die Frage, wie gut die Entwickler von heute in Bezug auf die Schaffung einer zukunftsfähigen, sicheren Infrastruktur im Kontext der Digitalisierung vorbereitet sind! Doch auch die Security Branche muss sich bewegen: Althergebrachte Konzepte einer reinen Perimetersicherheit und aufwendiger, zeitraubender Penetrationstests funktionieren in einer Welt kontinuierlicher Deployments und flexibel skalierender Microservices schlicht nicht mehr. Auch fehlt es an der dringend benötigten Transparenz über die tatsächliche Verwundbarkeit der eigenen Systemlandschaft. Gemeinsam wollen wir den Finger in die Wunde legen und Forderungen an Entwickler wie auch Security Verantwortliche formulieren. Dabei stehen konkrete Lösungsansätze im Vordergrund, wie sich die Herausforderung von morgen gemeinsam bewältigen lassen. So viel vorweg: Statische Code Analyse alleine ist weder innovativ noch zielführend…
Loading...
Mobile app Code Direction (geometry) Control flow Set (mathematics) Point cloud Non-standard analysis Atomic nucleus Absolute value Mainframe computer Authentication Enterprise architecture WEB Instanz <Informatik> Multiplication Process (computing) IMPACT <Programmierumgebung> Software developer Set (mathematics) Benchmark Web application Loop (music) Ecke Configuration space SQL CAST Reverse engineering
ja sch?n
mein name ist
ich bin
im bereich datenschutz datensicherheit
letzten jahre so ein bisschen
schwerpunktm??ig er im bereich
technische und it-security unterwegs und
ich w?rde euch heute gerne was zum thema
everything is cold and i think you
erz?hlen die agenda zu meinen vielleicht
kurzen vorstellung von unserem
unternehmen dass er so ein bisschen
einordnen k?nnt was wir machen mit
welchen themen wir uns besch?ftigen
welchen themenbezug wir auch zum
vortragsthema heute haben dann geht es
ein bisschen um die evolution der
entwicklungskonzept in den letzten
jahren was ich an der stelle getan hat
ich denke mal classics wasserfall modell
f?r software entwicklung ist nicht mehr
stand der dinge dass wir besser als ich
aber auch da h?lt die entwicklung nicht
an hier steht desktops in der agenda
aber nat?rlich ist auch das nicht das
ende der evolution sondern wir reden bei
uns auch ?ber desktops ?ber bis der sec
ob's was dann letztendlich so die
n?chsten schritte der weiterentwicklung
von entwicklungsmethoden sind nat?rlich
?ndert sich auch die die technik
landschaft in hinblick auf infrastruktur
und technologie
da haben wir den letzten jahren
deutliche paradigmenwechsel gesehen
teilweise auch das bedingt durch die
ge?nderten entwicklungsmethoden dass wir
heute agil entwickeln
?ber details reden bedingt nat?rlich
dass wir eine infrastruktur dieses tempo
mit geht und da auch entsprechend
flexibel ist daraus leitet sich so ein
bisschen die frage ab wenn wir jetzt in
den letzten jahren so viele
paradigmenwechsel erlebt haben und sich
die welt ver?ndert wie sicher sind wir
dann heute noch weil auch das thema
security wird immer komplexer es wandert
immer mehr verantwortung zu entwicklern
die mittlerweile halt code f?r
infrastruktur schreiben und definieren
die frage ist sind wir da auf dem
richtigen weg und wie hat sich die
situation aus der security brille also
ein bisschen aus meiner sicht in den
letzten jahren ver?ndert
nat?rlich ist auch security davon
betroffen also wir wollen nicht da die
ganze verantwortung entwicklern oder
betriebs verantwortlichen zu schieben
sondern auch die security branche muss
sich nat?rlich diesen ge?nderten
rahmenbedingungen anpassen und sowohl
technisch als auch prozess war darauf
reagieren dann vielleicht so ein kurzer
ausblick was gibt es denn eigentlich
schon
an tools weil auch da muss man nat?rlich
das rad neu erfinden es gibt f?r viele
dinge eine technische l?sung aber
inwieweit l?st das ?berhaupt die
probleme die wir haben als security
verantwortliche oder als entwickler oder
betrieb betriebs verantwortliche dann
noch ein kurzer ausblick wie wir das
ganze bei uns in der praxis wahrnehmen
wir sind ein beratungsunternehmen das
hei?t wir gucken uns die it-landschaft
von vielen unternehmen an
und auch da gibt es eine abweichung von
dem was vielleicht hier in so einer
forschungseinrichtung stand der dinge
ist und das was wir tats?chlich drau?en
im alltag sehen und dann zum schluss
noch mal ein kurzes web ab was fehlt
eigentlich noch damit wir insgesamt
tats?chlich sicherer werden in diesen
zeiten des wandels
dieses zitat von john chambers nutzen
wir ganz gern zum einstieg bei uns weil
es eigentlich ganz gut die realit?t
widerspiegelt die wir auch bei uns
t?glich in unseren projekten sehen
es gibt n?mlich mittlerweile tats?chlich
nur noch genau zwei arten von
unternehmen diejenigen die schon gehackt
wurden und die energie es noch nicht
wissen entweder weil schon jemand in
ihrem system drin ist und sie kriegen es
nicht mit oder weil sie vielleicht
irgendwo schon auf der der liste
potenziellen ziel ist zu stehen
von angreifern im einfachsten fall ist
das vielleicht ein script kiddie denn
rumprobiert und dann per zufall meine
infrastruktur zerschie?t aber auch da
ist die die branche der der
cyberkriminellen mittlerweile schon drei
schritte weiter ich denke so der fall
vom lukaskrankenhaus neues aus 2016
d?rfte den meisten bekannt sein der es
durch die medien gegangen
die haben sich die verschl?sselungs
trojaner eingefangen ist jetzt nur eines
der prominenten beispiele
da ist zum gl?ck gar nicht so viel
finanzieller schaden entstanden
aber nichtsdestotrotz wenn ich meinen
krankenhausbetrieb vom einen auf den
anderen tag stilllegen muss weil allem
eine op rechner verschl?sselt sind die
vielleicht noch windows xp laufen und
ich meine patienten auf der
intensivstation nicht mehr vern?nftig
versorgen kann war die krankenakte nicht
mehr zur verf?gung steht dann ist es
halt schon ein sehr ernsthafter impact
das dann vielleicht noch so einen fall
wo man sagen kann ok zumindest wei? ich
dass mich jemand gehackt hat was
mittlerweile aber auch bei diesen
verschl?sselungs trojanern passiert
gerade wenn es da um
um kriminelle aktivit?ten geht also wo
dann wirklich organisierte kriminalit?t
dahinter steckt die gehen nicht mehr hin
schieben ihr den verschluss drei jahren
darunter und verschl?sseln mail server
sondern die gehen erstmal mein system
m?ssten sich da ein nisten sich auch in
den backup sein und ein halbes jahr
sp?ter schl?gt der trojaner zu und auf
einmal sind auch meine backups wertlos
weil auch die sind verschl?sselt und das
ist dann genau dieser zweite fall der
company ist die vielleicht schon gehackt
wurden
und einfach gar nicht mitbekommen dass
sie da ja schon l?ngst unterlaufen
wurden
das ganze setzt ja nat?rlich fort
wirtschaftsspionage also auch da ist
gerade der deutsche mittelstand der
dabei ist sie sich zu digitalisieren
ganz stark im fokus von angreifern die
know how abziehen die konkurrenten
ausschalten oder schaden wollen
und das ist genau unser anspruch als
kamaz heck die mittelstandskunden da an
der stelle zu unterst?tzen wie sie
besser werden k?nnen
wir sind ein relativ junges unternehmen
letztes jahr gegr?ndet
ein st?ck weit aus der motivation heraus
uns nur um das thema security zu k?mmern
der cast manuela ist mein zweiter
gesch?ftspartner der vorne sitzt wir
sind schon seit einigen jahren zusammen
als als team unterwegs im bereich cyber
security beratung haben uns jetzt
entschieden noch mal neu zu gr?nden mit
reinem focus wirklich auf das thema
security und alles andere auch au?en vor
lassen weil dieses thema ist
mittlerweile so komplex
ja das ist dann wirklich spezialisten
und spezialisierte ans?tze braucht
unsere drei gesch?ftsbereiche auf die
wir fokussieren sind advisory consulting
& research
so ein bisschen zur abgrenzung advisory
ist tats?chlich klassische it security
strategie beratung und ein bisschen mehr
auf managementebene mittelstand
consulting da wird es dann schon
technischer das hei?t entwickeln wir
konkrete technische konzepte f?r kunden
wie sie ihre unternehmensarchitektur
aufsetzen sollten wie sie desktops zum
beispiel sauber implementieren sollten
und im bereich research dass es dann die
schnittstelle auch zu so einer
veranstaltung wie heute wo wir uns mit
neuen technologien ans?tzen
auseinandersetzen um auch das war
nachher in unsere praxis einflie?en zu
lassen genau was uns antreibt wir
brennen f?r das thema security das ist
das was den kern unseres unternehmens
bildet und wir wollen das thema security
in die breite tragen wir wollen alles
daf?r schaffen wir wollen vor allem dass
entwickler auch spa? an dem thema
bekommen weil das ist einfach
unausweichlich und wollen ja m?glichst
viele leute daf?r gewinnen genau
schwerpunktm??ig wie gesagt sind wir
sowohl technisch als auch auf dieser
konzeptionellen menschen und beratungs
ebene unterwegs haben ?ber 30 jahre
beratungserfahrung und im umfeld und
dieses know how wollen wir jetzt gerne
weitergeben auch an einen jungen
kollegen die interesse haben sich in dem
bereich zu bet?tigen
genau wie ihr portfolio vielleicht
bereits im detail darauf einzugehen hier
die mittlere zeile d?rfte wahrscheinlich
der der spannendste teil sein das ist
wahrscheinlich das was die meisten von
euch so als ber?hrungspunkt haben was
bei uns dann wie gesagt auch in dieser
sparte research l?uft wir besch?ftigen
uns damit wie sich security l?sungen
automatisieren lassen wie man das ganze
thema security agil gestalten kann und
mit dem thema desktop weil wir gleich
sehen werden sind das halt wirklich
welten die aufeinander prallen wo die
entwickler einfach schon drei schritte
lange weiter sind und security oft mit
den eigenen konzepten noch ein st?ck
weit hinterher h?ngt aber das muss
integriert werden damit am ende halt
eine neue runde schl?ssige theorie draus
wird
unsere mission security dann reiht das
bedeutet f?r uns dass wir das thema
security ganzheitlich ende-zu-ende
angehen dass wir es richtig angehen
ich habe es eben schon erw?hnt die
security welt ist mittlerweile
unglaublich komplex wir werden gleich
noch sehen wie viele tools es in dem
bereich gibt und das ist auch das ist
nur ein kleiner ausschnitt und wenn man
das richtig machen will muss man halt
eine sinnvolle auswahl treffen und diese
tools auch miteinander integrieren und
das ist im grunde unser anspruch den wir
wie gesagt den mittelstand insbesondere
n?her bringen wollen weil da sehen wir
gerade einfach wiesen l?cken
gro?konzerne sind h?ufig ein bisschen
besser ausgestellt die haben kapazit?ten
die haben aber gerade kleinere
unternehmen k?mpfen sehr stark damit
diesen anforderungen die man in der
modernen welt in hinblick auf security
braucht einfach gerecht zu werden
er wird ding ist code ist das ist so ein
bisschen der leitsatz dieses vortrags
auch wenn wir uns mal angucken was ich
in den letzten jahren eigentlich getan
hat in hinblick entwicklungskonzepte ich
glaube development brauchen wir nicht
dr?ber reden vielleicht sogar einen
schritt davor noch klassisch wasserfall
modell also dass ich meine software
plane dann vielleicht ?ber mehrere jahre
entwickler tester und irgendwann release
funktioniert heute einfach nicht mehr
damit arbeite ich an den anforderungen
seiner kunden vorbei weil im schlimmsten
fall stelle ich fest nach drei jahren
dass ich von falschen pr?missen
ausgegangen bin dass man ein produkt gar
nicht den bedarf der anwender erf?llt
oder dass es schlichtweg veraltet ist
deswegen n?chste stufe war dann
entscheiden will ob nennt also dass ich
halt in k?rzeren litera zion entwickle
dass die sprints habe wo ich dann immer
neue features dran schraube aber auch
nach jedem sprint eine vip habt ihr
funktioniert und eben nicht mehr ?ber
mehrere jahre ein produkt entwickeln mit
continuous integration kommt dann so ein
bisschen der faktor automatisierung ins
spiel der sich dann auch bei continuous
delivery und kontinenz deployment
letztendlich fortsetzt also diese drei
konzepte unterscheiden sich so aus
theoretischer sicht haupts?chlich
dadurch dass ich eine immer st?rkere
automatisierung habe continous
deployment ist etwas was wir in der
praxis noch nicht so sehen
ich glaube da gibt es einige
amerikanische unternehmen wieder
deutlich weiter sind auch deutlich
mutiger sind weil wenn ich jetzt
tats?chlich meinen code automatisiert
vielleicht sogar bis in mein system
schiebe und nicht nur ein testsystem da
muss ich mich nat?rlich darauf verlassen
dass der der code sauber ist und die
applikation funktioniert und zwar sowohl
in funktionaler als auch wenn nicht
funktionaler sprich security hinsicht
also insofern ist es vielleicht doch gar
nicht so schlecht das containment jetzt
noch nicht in der breiten masse
angekommen ist weil ich glaube dass die
meisten unternehmen zumindest wie wir es
wahrnehmen
doch gar nicht darauf vorbereitet sind
sie ist desto trotz gibt aktuellen
report von von gip
da kommen auch gleich noch ein paar
ausschnitte zu sie haben festgestellt
dass trotzdem schon staub 54 prozent der
unternehmen tats?chlich irgendwo in
ihrer organisation kontinents die
provence einsetzen
ich gehe davon aus dass er die place of
test systeme sind weil wie gesagt pott
traue ich den meisten kunden ganz
einfach nicht zu aber unternehmen wie
netflix machen es vor
die haben da keinen schmerz mit weil sie
wissen dass ihre pipeline so sauber ist
und die jagd so sauber ist dass die
tats?chlich in production die pl?ne der
n?chste schritt ist dann das thema des
ops und das ist eigentlich noch mal so
ein kleiner paradigmenwechsel zu dem was
wir vorher gesehen haben weil bei de
france kommt dann betrifft nicht mehr
nur die entwickler jetzt kommt
operations in spielen das wird dann ganz
gern dargestellt als so 1 infinite loop
weil es letztendlich auch ein
geschlossener prozess ist wo ich eben
die entwicklerseite und die betriebs
seite miteinander vereine das ganze dann
idealerweise auch in interdisziplin?ren
teams das hei?t ich habe meine mann
betriebs verantwortlichen auch schon im
entwicklungsprozess mit dabei ja und
letztendlich durch laufe ich diesen
diese schleife immer wieder wenn ich gut
mache ist auch das zu einem hohen teil
automatisiert und zwar nicht nur auf der
webseite dass ich da meine die pipeline
automatisiert habe sondern auch im
betrieb zum beispiel das monitoring oder
die generierung von infrastruktur also
sprich neue instanzen einer cloud
umgebung zum beispiel automatisiert habe
was an der stelle dennoch fehlt
offensichtlich ist nat?rlich das thema
security das ist dann das was was oft
als desktops bezeichnet w?rden eine
querschnittsfunktion die unten drunter
liegen sollte weil ich auch da in jeder
phase meines mannes zyklus das thema
einflie?en lassen muss also angefangen
in meiner plan phase wo ich vielleicht
user stories f?r meine software
erstellen wenn ich ist da vers?ume auch
nicht funktional user stories f?r
security themen zum beispiel einflie?en
zu lassen
dann werden die in der entwicklung nicht
ber?cksichtigt und sie k?nnen auch im
testing nicht ber?cksichtigt werden weil
wenn ich auf meine user
klar ist es gibt keine f?r security dann
habe ich unter umst?nden ?bersehen dass
gei?el weil gleich beim thema deployment
da kommen wir gleich noch ein bisschen
mehr auf die infrastruktur aber auch da
muss ich halt gucken wenn ich meine
infrastruktur als code beschreibe dass
ich das genauso wie bei normalem source
code auf schwachstellen checke auch im
betrieb dann das ganze da sie sehr
wichtig dass ich ein sauberes monitoring
habe und auch da einen r?ckkanal haben
schwachstellen auftreten und diese
schwachstellen m?ssen wir nat?rlich auch
wieder an meinen entwicklungsprozess
einflie?en weil wenn es die zeit
schwachstellen im kot sind und keine
misconfiguration in meinem kopf system
dann muss das nat?rlich auch dem
entwickler wieder zu getragen werden
damit er im n?chsten release was dagegen
tun kann
auch im bereich infrastruktur und
architektur ?ndert sich so einiges
ich kenne aus meiner zeit so im
konzernumfeld noch klassische multi
architektouren die oftmals sehr stark
und sehr granular sind wenn sie damals
gut gemacht waren
das hei?t ich habe meine frontend lea
ich habe meine application layer ich
habe meine datenbank das ganze ist hart
getrennt wissen noch unter physischen
firewall dazwischen
ich habe kommunikation nur von au?en
nach innen dh und darf nur mit
application l?den und application nur
mit database und da habe ich dann
irgendwie ein sehr starkes konstrukt was
mir gef?hlt sehr viel sicherheit bietet
was aber heutzutage einfach nicht mehr
funktioniert
heute haben wir micro services die neue
funktionen erf?llen und vielleicht gar
nicht so genau zu verorten sind ist das
jetzt in front end service oder ist das
ein bekenntnis oder nimmt er vielleicht
funktionen von beidem war ich habe auch
keine stammpl?tze mehr die einer
physischen firewall h?ngen wo ich dann
jedesmal gro?en config aufwand habe wenn
ich einen dienst in eine andere zone
umziehen m?chte sondern im grunde
steuerlich das ganze nur noch ?ber
access control es zwischen den micro
services die heute vorgeben wer mit wem
reden darf dann habe ich container die
ihr eigenes lauff?higes betriebssystem
mitbringen
auch da hatte ich vorher vielleicht mann
golden image was in stein gemei?elt war
und in der schublade lag und was ich f?r
jeden neuen host als basis genommen habe
bei containern sind wieder deutlich
agiler und flexibler und m?ssen trotzdem
sicherstellen dass die die konfiguration
dieser sehr kurzlebigen infrastruktur
sicher bleibt dann der ganz anderen der
andere ganz offensichtliche wandel ist
das meiste wandert in die cloud wobei
auch da ist unsere erfahrung dass die
wenigsten unternehmen tats?chlich
heutzutage cloud native denken sondern
was viele unternehmen machen ist eine
luftschiff migration ziehen erst mal
ihre althergebrachte architektur und
infrastruktur in die cloud und
verpassten dadurch aber auch ganz viele
vorteile mit zu nehmen die mir halt eine
echte cloud architektur wenn sie von
grund auf neu denken und diesen ganzen
alten ballast mal ?ber bord werfe den
bringen w?rde
das spiegelt sich dann auch weiter wie
diese cloud umgebungen verwaltet werden
in der regel also ich kenne sehr viele
unternehmen die tats?chlich dann noch
von hand ihre abs umgebung konfigurieren
von hand neue haus einrichten und
hochziehen
aber auch das ist nicht glaubte sondern
wenn ich das zu ende denke dann habe ich
eben zum beispiel eine terra form oder
sowas womit ich auch meine komplette
cloud umgebung und die einzelnen hauses
und microsys als quelltext beschreibe
das hat dann als security sicht
nat?rlich die implikation dass ich wie
im schon erw?hnt diesen quelltext
genauso behandeln muss f?r jeden anderen
quelltext das hei?t auch da sollte ich
tests auf dem quelltext haben
ich sollte den vern?nftig in einem
repository ablegen damit der aversion
ihr bar ist und ich bin aber erh?lt mich
auch immer wieder daraus bedienen kann
oder rolex machen kann wenn ich
feststelle meine konfiguration ist
irgendwo schwach oder fehlerhaft an der
stelle
das hei?t idealerweise gehe ich gar
nicht mehr ?ber die aws konsole und
konfigurieren den einzelnen host sondern
wenn wir den fehler auff?llt dann
schmei?t hinweg und lass mir mit terra
form zb einfach eine neue instanz
hochfahren
das bedingt nat?rlich dass entwickler an
der stelle viel mehr verantwortung
bekommen das ist das was im dvs kontext
h?ufig als schlecht bezeichnet wird
auf einmal sind die entwickler nicht nur
f?r ihren quelltext verantwortlich
sondern auch f?r den quelltext der
infrastruktur beschreibt wohn
vorhersagen konnte okay ich habe
vielleicht noch so ein admin der dann so
als zweiter instanz fungiert und selbst
wenn man applikationen die eine oder
andere schwachstelle hat idealerweise
habe ich dann ein admin der latte auf
andere weise ein st?ck hat wieder
abh?ngt aber dadurch dass das jetzt
mittlerweile alles integrierte teams
sind
man hat einfach viel mehr verantwortung
in richtung entwickler die eben halt
auch diese konfiguration skripte dann
jetzt mit beschreiben
die frage ist dann nat?rlich wie gut
sind die entwickler darauf eingestellt
weil das ist einfach eine ganz andere
rolle als das was man in den letzten
jahren vielleicht gelebt hat und bringt
einfach viel mehr verantwortung mit sich
da so ein relativ aktuelles beispiel
einfach mal so eine zahl innenraum
geworfen
ich wei? nicht wer von euch kennt schon
okay das ist schon so die h?lfte w?rde
ich sagen das ist im grunde eine
suchmaschine mit der ich gezielt nach
schwachen devices oder ungesicherten
ger?ten im internet suchen kann
das hei?t dies kennen ganz bewusst nach
typischen ports diese weltweit erreichen
k?nnen und gucken ob die f?r anf?llig
f?r f?r bekannte sicherheitsl?cken sind
oder ob da irgendwie default passw?rter
drauf sind und das ist so ein sch?nes
beispiel aus und es gibt halt ?ber schon
immer noch 1,7 millionen ger?te weltweit
die anf?llig sind f?r wolle kriwanek
verschl?sselungs trojaner der damals auf
basis von eternal blue also diesem nsa
hacker kit gebaut wurde ist 2017 im mai
so richtig losgetreten die die
mikrowelle obwohl es auch da schon seit
m?rz 2017 patch von microsoft gab das
hei?t da haben es offensichtlich
ziemlich viele leute verschaffte
verschlafen ihre systeme rechtzeitig zu
patchen aber selbst stand heute mai 2009
10 gibt es halt immer noch 17 millionen
ios ger?te um die sich offensichtlich
niemand k?mmert die wahrscheinlich nicht
mehr sofort werden
und wo sich auch weder hersteller noch
entwickler bei den herstellern oder
betriebs verantwortliche bei den
herstellern gem?se etwas daran zu ?ndern
und der situation
ein weiteres beispiel und das tut mir so
als security experten tats?chlich ein
bisschen weh die us top ten werken die
hier im raum zeitz namen glaube ich ein
paar mehr
aber allein dass es bezeichnet weil die
oberste potenten die sollte eigentlich
jeder der irgendetwas mit mit dem thema
software entwicklung oder it insgesamt
zu tun hat kennen
das ist eine non-profit-organisation die
ver?ffentlicht regelm??ig die ja die
h?ufigsten oder top ten
sicherheitsl?cken die in
web-applikationen gefunden werden
das sind so themen wie injection also zb
der sql injection oder auch generell
legt von code injection die ich meiner
publikation haben kann
das sind themen wie schwache
authentifizierung oder schwache session
management
das sind themen wie cross site scripting
das gibt es ja auch in zwei flavours als
dort und als reflektor cross site
scripting aber gratis dort cross site
scripting attacken
da verliere ich ratzfatz die admin
passw?rter f?r man bekennt das hei?t das
sind wirklich sehr ernstzunehmen l?cken
und im grunde sollte wirklich jeder
software entwickler diese themen kennen
dass es gibt von der obersten auch dazu
ganz gute ressourcen
es gibt secure coding policies und
guidelines die genau darauf abzielen
diese fehler nicht zu machen
es gibt skripte und tools von von oberst
um seinen eigenen code darauf zu testen
es gibt labs von omas wo man sich mit
dem thema besch?ftigen kann was
eigentlich die erschreckende botschaft
ist an der stelle wenn wir uns die top
ten von 2013 und von 2017 angucken
die werden so im vier jahres zyklus
ungef?hre liest dann sehen wir dass da
vier neue top ten items dazugekommen
sind beziehungsweise 1 ist eigentlich so
eine verschmelzung aus zwei anderen
themen aber wir reden auch vier jahre
sp?ter eigentlich noch ?ber die genau
die gleichen themen wir reden immer noch
?ber injection wir reden immer noch
cross site scripting wir haben immer
noch schwach session management oder
gebrochene authentifizierung und das ist
was was wirklich besorgniserregend ist
also auf der einen seite verschieben wir
wie gesagt sehr viel verantwortung in
richtung entwickler und werden da immer
agiler und immer schneller
auf der anderen seite schaffen wir jetzt
aber nicht diese basis nachzuschieben
dass die leute wirklich von beginn an
solche dinge schon im kopf haben und
ber?cksichtigen k?nnen
das hei?t da muss ein ganz gro?er
know-how-transfer stattfinden sonst wird
dieses delta zwischen theorie und
wirklichkeit wie es die security
aussehen sollte immer gr??er ja und dann
wird sich auch in den n?chsten jahren
nichts an dieser situation ?ndern
das ist wie gesagt dieser erw?hnte
developer report den gipfel k?rzlich
ver?ffentlicht habt da wurden 4000 leute
befragt weltweit also aus ganz
verschiedenen kontexten
es gibt so ein paar gute nachrichten
also zum einen dass das thema des ob es
zum beispiel f?r mehr transparenz in der
organisation sorgt da sagen sowohl die
security verantwortlichen jetzt auch die
dass die operations teams und die
entwickler dass sie durch durch solche
konzepte einen mehrwert haben und mehr
sehen was in der organisation passiert
wie gesagt 45 prozent der unternehmen
geben an dass sie auch tats?chlich
continues deployment schon praktizieren
wie gesagt w?rde ich ein bisschen mit
vorbehalt genie?en weil ich gehe mal
davon aus dass es daher um die provinzen
testsysteme geht und die frage war auch
ob irgendwo in der organisationen sowas
eingesetzt wird nicht ob das jetzt
fl?chendeckend der fall ist
am spannendsten ist f?r mich aber der
dritte punkt 50 prozent der unternehmen
glauben sie sagen in sachen security
schon ganz gut aufgestellt und stellen
schwachstellen im kot fest bevor sie
tats?chlich in die produktion gehen
die frage ist was mit den anderen 50
prozent also entweder hat ja keiner aus
der deckung gewagt oder die situation
ist tats?chlich so das sind 50 prozent
der unternehmen immer noch signifikant
stellen tats?chlich erst nach go live
gefunden werden und das ist das was wir
?ndern m?ssen
genau das spiegelt dann auch so ein
bisschen weit wieder nochmal im gleichen
report wenn es darum geht wie die
entwickler denn ihr eigenes security
wissen einsch?tzen da gibt es 30 prozent
die sich ganz gut aufgef?llt aufgestellt
f?hlen das sind auch diejenigen von
denen ich erwarten w?rde dass die themen
wie over scannen und verinnerlichen
weitere 25 prozent f?hlen sich ganz gut
aufgestellt
aber es gibt auch ein viertel der
befragten an dass sie tats?chlich sich
f?r das thema security nicht gut
vorbereitet f?hlen und auch das delta
wenn jetzt ?ber 55 prozent angeben sie
w?ren gut oder sehr gut aufgestellt in
dem bereich dann ist die frage warum
?ndert sich an den obersten nicht in den
letzten jahren also da scheint es
tats?chlich eine l?cke zu geben die noch
nicht ad?quat adressiert ist deswegen
aus meiner security brille so ein
kleiner appell an die entwickler baut
sicheren code baut besseren code damit
wir vielleicht in vier jahren ?ber
andere top ten items reden und es dann
in sich zum beispiel mehr ums thema
monitoren geht und eben nicht um
schwachstellen die nach wie vor im
sourcecode selber zu finden sind
genauso sollten entwickler ebensolche
relevanten kleines kennen also leben wo
was gibt es zum beispiel von der sis
noch ganz gute benchmarks das center of
internet security ist auch sondern
non-profit-organisationen aber quasi
auch einen de facto standard zumindest
in den security kreisen muss aber bei
den entwicklern genau so bekannt sein
dann haben wir das thema security
automation die entwicklungs tools sind
h?ufig schon gut durch automatisiert
h?ufig erst security am ende das problem
was dann so ein bisschen den
flaschenhals darstellt wenn ich mit
meiner code entwicklung fertig bin
aber auch da m?ssen security tools in
die cd pipeline von vornherein mit
integriert werden und nicht erst am ende
irgendwo eine statische code analyse das
reicht einfach nicht mehr an der stelle
und zu guter letzt wenn ihr keine nicht
funktionalen spricht auch security
anforderung zum beispiel bekommt von
ihren auftraggebern ihren projekten
fordert die einen weil ansonsten wir
leben nicht mehr in einer isolierten
welt wo jeder nur eins macht desktops
greift ineinander
und wenn wir da nicht von vornherein
hand in hand gehen und solche controls
auch als user stories einflie?en lassen
dann fallen seite am ende hinten runter
und wir stellen doch erst wieder nach go
live fest dass die schwachstellen
vorhanden sind
auch die security branche muss sich
nat?rlich ver?ndern das ganze ist keine
keine einbahnstra?e und funktioniert nur
wenn bin auf ihr unseren beitrag dazu
leisten
rheine perimeter security hatte ich am
anfang schon erw?hnt ist einfach nicht
mehr state of the art und funktioniert
nicht
auch da brauchen wir aus der security
welt neue konzepte die deutlich
flexibler agieren
es gibt da schon ein paar ans?tze die
aber zum teil noch nicht zu ende gedacht
sind
und leider kann auch ich viele security
experten die das thema immer noch so
sehen wir sind so dass anh?nger nach dem
entwicklungsprozess mache ich meinen
penetration tests nudeln woche lang rum
hat ein paar fein links geht wie dem
entwickler zur?ck der fixe die und dann
gehe ich erst live mit dem produkt aber
auch das funktioniert halt nicht mehr
wenn ich an die entwickler
das hei?t da m?ssen wir dazu hingehen
tats?chlich studiums code analyse
einzusetzen
das macht im ?brigen einen echten
manuellen penetration test nicht
?berfl?ssig weil auch da habe ich
einfach noch mehr logik die vielleicht
nur ein mensch mit an den tisch bringen
kann
um jetzt auch mal ein bisschen
ausgefallenere angriffsszenarien
auszudenken oder verschiedene
schwachstellen zu
zu kombinieren und daraus dann neue
angriffsvektoren abzuleiten das kriegen
die tools tats?chlich heute noch nicht
so gut hin
nichtsdestotrotz sollte ein pendler ist
heute eine unterst?tzende ma?nahme sein
der dann vielleicht noch ein zwei mal im
jahr auf den auf neun major releases
durchgef?hrt wird
aber ich kann eben nicht mehr jedes
einzelnen deployment durch den manuellen
pen testwagen und da wollen wir als
security auch edler werden an der stelle
und eben nicht derjenige sein der immer
hinten nur ausbremst und den leuten sagt
dass sie vorne falsch gemacht haben das
funktioniert nicht
genauso sind wir nat?rlich auch in der
verantwortung diese know how transfer zu
unterst?tzen also die entwickler auf zu
schauen und auch da gibt es leider immer
noch viel zu viel security experten die
sich selber als gesehen und so ein
bisschen expertenwissen horten
aber letztendlich muss das von beiden
seiten kommen entwicklungen betrieb
m?ssen know-how anfragen aber wir m?ssen
auch bereit sein
sowohl know how als auch verantwortung
abzugeben an der stelle weil das ist ein
teamsport
das hei?t wir haben gro?e
herausforderungen unsere prozesse unsere
vorgehensweisen wie wir in der
vergangenheit gearbeitet haben
anzupassen und eben in diese neue welt
zu transferieren
viele unternehmen denken jetzt das ist
prim?r ein technologisches problem das
ist leider so der der erste
schnellschuss die man h?ufig sieht in
der praxis wir uns noch mal angucken was
es zum beispiel in etlichen marketplace
gibt zum thema desktops oder desktops
dann ist das eine ganze menge
da sind die ganzen gro?en namen dabei
die man so kennt ich denke jeder von
euch findet dass seine tools wieder die
er in der sie die pipeline schon drin
hat dann haben wir auch so ein paar
security tools dabei so ein sommertag
zum beispiel der mich dann irgendwie
auch bei der der code analyse
unterst?tzt
aber letztendlich ich habe eine riesige
vielfalt viele von diesen tools tun
?hnliches oder tun das gleiche
und manchmal ist es gar nicht so leicht
da die richtige abgrenzung zu finden und
die richtige auswahl zu treffen wie mir
diese tools helfen in der praxis dann
gibt es auch von suns noch so eine
sch?ne folie zu dem thema die so klein
dass sie die wahrscheinlich gar nicht
lesen k?nnt das ist ja eigentlich auch
genau die message und zwar spiegelt
diese folie jetzt einfach nur so die
bekanntesten tools wieder die man im
security bereich einsetzen kann einem
des apz kontext habe ich meine phasen
wieder also trikot mit komik acceptance
production operations und in jedem
dieser bereiche habe ich eine vielzahl
von tools die alle meistens einen sehr
speziellen zweck erf?llen da hab ich
irgendwie pendler check
ich habe tools die irgendwie gezielt
nach meinem nach passw?rtern in meinem
sourcecode suchen zum beispiel ich habe
tools die eine statische code analyse
durchf?hren
aber was halt tats?chlich das problem
ist dass die schiere auswahl und die
kunden sind damit oft so ?berfordert
dass sie sich dann entscheiden entweder
gar nichts einzuf?hren oder
ausschnittsweise mal ein kleines tool an
der einen stelle in ihrem prozess
einflie?en zu lassen
aber das ganze halt eben nicht
vollumf?nglich integrieren und dann ist
ein tropfen auf dem hei?en stein wir
sind ein bisschen besser f?rdern als ein
bisschen besser dran als vorher aber es
ist halt keine vern?nftige saubere ende
zu ende l?sung
das spiegelt sich dann auch wieder so
ein bisschen wieder in dem was was gibt
in ihrer umfrage herausgefunden hat ich
gehe davon aus ehrlich gesagt dass das
hier vor allen dingen auch wieder die
amerikanischen unternehmen so ein
bisschen ?berrepr?sentiert sind also die
penaltys kenner haben sehr viele
unternehmen im einsatz das schon mal gut
weil das ist auch das was ich relativ
leicht implementieren l?sst dass ich
sowohl abh?ngigkeiten im kot transparent
mache als auch irgendwie eine party
module die vielleicht schon bekannt sind
das die schwachstellen haben dass der
einfach die transparenz habe die auch
rechtzeitig dann updaten oder abschalten
zu k?nnen wenn es nicht anders geht das
thema cloud security
w?rde ich auch so aus der eigenen
erfahrung nicht ganz unterschreiben dass
da 42 gut aufgestellt sind
ich meine es gibt relativ viel von den
gro?en cloud service providern ich muss
mir da gar nicht alles selber zurecht
konfigurieren sondern selbst wenn ich
einfach nur das standard toolset nutze
was ich da schon bekommen zum beispiel
f?r sich will konfigurationen oder f?r
monitoring bin ich eigentlich schon sehr
gut aufgestellt und habe so die die
ersten 60 prozent aus der kirche sich
schon mal abgehakt genau container
security auch da wenn ich vorgefertigte
container vor geh?rtete container nutzen
bin ich wahrscheinlich auch schon so
weit dass jetzt 40 prozent sagen w?rden
sie werden gut aufgestellt danach wird
es aber ein bisschen interessanter jetzt
werden kommen n?mlich die konzepte oder
applikationen dazu die ein bisschen mehr
know how erfordern um sie zu integrieren
dass sie zum beispiel das thema
statische analyse oder auch dynamische
code analyse was dann sogar noch ein
bisschen mehr als sophisticated ist ja
da geht es dann darum wo platziere ich
denn so ein sch?ner tag zum beispiel
meiner toolchain und vor allen dingen
aber auch was mache ich mit den fein
links fall allein davon dass ich so ein
tool habe was mir irgendwo allerdings
ausspuckt habe ich noch nichts gewonnen
ich muss auch in vern?nftigen prozess
haben wie ich das dann wiederum zur?ck
schiebe in meine entwicklungspipeline
und vorne wieder als anforderungen rein
kippe und auch da brauchen wir wieder
den know how transfer weil wenn die
entwickler alleine entscheiden welches
feature jetzt priorit?t hat dann fehlt
da unter umst?nden die gewichtung was
die risiken angeht wir damit ein handeln
das hei?t auch da muss man schauen wie
man gemeinsam einen rating hinbekommen
kann welche user stories jetzt welche
priorit?t haben soll
und auch da will ich jetzt security
features nicht zwangsl?ufig ?ber
funktionalen features gewichten aber es
muss halt in der balance sein
deswegen um das ganze zusammen zu fassen
wir haben eine vielzahl an tools die es
schon gibt
diese tools kommen aber meistens
entweder nur aus der entwickler ecke dh
der security-experte versteht sie nicht
oder sie kommen sehr aus der
security-experte der security ecke und
der entwickler versteht vielleicht gar
nicht was der mehrwert f?r ihn ist was
der mehrwert in hinblick auf mein
gesamtes profil ist wohl meine
applikationen als auch mal eine
unternehmung vielleicht und bei heben
k?nnen wir das ganze nur indem wir uns
gemeinsam an den tisch setzen und
?berlegen was sind denn die anforderung
von beiden seiten und k?nnen wie k?nnen
wir das zusammenbringen und mein
pers?nlicher appell ist auch an alle die
interesse am thema security haben bringt
euch gerne aktiv in die entwicklung
neuer security tools weil auch da wenn
da die security experten in ihrem
elfenbeinturm sitzen und ?berlegen was
aus ihrer sicht sinnvoll ist und die
entwickler nicht mit ihren anforderungen
mit am tisch sitzen kommen wir auch dazu
keinen guten ergebnis dann ist auch da
wieder die eine seite ?berrepr?sentiert
also es funktioniert letztendlich nur
indem wir gemeinsam ?berlegen was was
fehlt noch und wie bringen wir da die
verschiedenen anforderungen ?bereinander
genau das als kurzer ausblick
habt ihr fragen oder anmerkungen
ja
ja ja
ja ja ja
genau genau was du sagst also werde ich
will auch gar nicht den entwicklern den
schwarzen peter zuschieben sondern ich
glaube letztendlich haben da bisher
beide sehr in ihren silos gearbeitet und
man redet doch oft einander vorbei also
ich kenne sie auch umgekehrt dass der
entwickler mir was erkl?rt und ich merke
dass bei mir dann erstmal so die lampen
angehen oder security sicht aber
letztendlich muss man halt gucken was es
so dass die schnittmenge dass man ein
gesundes gesamtergebnis hat
richtig
ja absolut das eigentlich genau der
letzte punkt also auch bei der
entwicklung wirklich von von technischen
security l?sungen von security produkten
m?ssen die entwickler einfach tief mit
eingebunden seien und ihre denkmuster
und vorgehensweise mit einbringen weil
ansonsten funktioniert in der praxis
nicht und dann ist ja doch immer hinten
der flaschenhals und der verhinderer und
das wollen wir nicht sein
irgendwann
also auch da wir haben haben so einen
gewissen wildwuchs es gibt diverse tools
oder auch fix zb generierte haus aus dem
finding dass du aus deinem einer
kurzanalyse hast direkte ticket was
vorne wieder rein l?uft also man muss
vielleicht im einzelfall ein bisschen
gucken was f?hrt sie da genau im einsatz
hat
aber meine ganz generelle empfehlung ist
das muss automatisiert sein also wenn
dann h?ndisch irgendwelche listen
rausgucken kommen die ich dann per mail
irgendwie im chic oder auf den tisch
lege das funktioniert nicht weil auch
das h?lt mein entwicklungsprozess wieder
auf ja ja also wie gesagt man kann auch
so so dinge bauen dass das ticket dann
zum beispiel kein klassisches ticket ist
sondern direkt eine user story
vornherein flie?t die vielleicht
unterwegs irgendwie automatisch noch
gerettet wird gegen meinen meine
security controls die ich so als 1
-liste irgendwo pflege aber das ist
genauso eine der herausforderungen also
alle pipelines sind irgendwie ?hnlich
ich habe immer so die gleichen
prozessschritte und module und doch ist
es mittlerweile so kraut und r?ben dass
man selten
dass das konzept funktioniert 100
prozent auf die andere pipeline
?bertragen kann sondern oft sind
irgendwie 80 prozent mit gewissen
anpassungen aber wie geh?rt gerade das
thema automation ist halt so ein
bisschen der dreh und angelpunkt um das
fl?ssig hinzubekommen und dann auch die
akzeptanz ja auch wieder von den
entwicklern zu haben dass das ein
mehrwert ist an der stelle
ja
ja
ja
die
und daf?r erst mal das
die
es steht wieder
ja
explizit nicht
ja
ja
auch nicht
also eigentlich
ja
ja
ja genauso zum einen flex ihrer ersten
h?lfte ich glaube ganz vieles einfach
der punkt dass wir mehr aufeinander
h?ren m?ssen und besseres verst?ndnis
daf?r auch bekommen m?ssen wir die
andere seite eigentlich arbeitet weil es
eben keine andere seite ist sondern es
ist ein team das in der vergangenheit
sehr isoliert gearbeitet hat aber jetzt
einfach mehr und mehr zusammenw?chst und
ich habe auch viele laptops teams
gesehen wo zumindest dieser teil schon
ganz gut funktioniert zwischen
entwicklern und betrieb und dieses team
muss man es halt eben noch erweitern um
die security experten und der zweite
punkt ja es ist ganz viel in bewegung
es ist sehr viel dynamik drin und das
ist aber habe ich genau die aufgabe
jetzt von von beratern eben in diesem
dschungel sowohl der ver?nderten konzept
als auch der ver?nderten tools zumindest
irgendwie eine sinnvolle set zusammen zu
stellen
also ich glaube es kann auch nicht sinn
der sache sein dass wir dann alle tools
wird hierbei besser ans gesehen haben
zusammen integrieren und sagen dann sind
wir 150 prozent sicher sondern es geht
darum die sinnvolle auswahl zu treffen
und auch das wird sich im laufe der zeit
ver?ndern also was ja
nee also dass jetzt tats?chlich nicht
wenn ich meinen bereits ein sehr
spezielles feld ist also wir w?rden dann
eher tats?chlich fokussieren davos
software entwickelt wird also wo wir
auch den n?chten quelltextes zur
verf?gung haben bei reverse engineering
bringt halt nie das gleiche als wenn ich
ja eben vor dem compiler in den echten
quelltext reingucken klar in manchen
bereichen habe ich keine andere
m?glichkeit gerade wenn es irgendwie
?ffentlicher dienstes ich nehme an da
geht es wahrscheinlich auch ein bisschen
um chips und so weiter wo man hat
vielleicht tats?chlich nicht nicht alles
zu sehen bekommt aber das ist es
eigentlich aus meiner sicht mehr so ein
spezialfall und die breite masse der der
unternehmen gerade so mittelstand die
entwickelte software selber oder geben
es ganz rauskaufen irgendwas von der
stange ein
aber auch da wird niemand den aufwand
betreiben das komplette reverse
engineering also da muss ich glaube ich
so ein bisschen die verh?ltnism??igkeit
wahren das risiko vielleicht sauber
transferieren
aber sonst werde ich halt auch nie
fertig an der stelle aber klar es gibt
diese diese anwendungsfelder
und richtete den sommer ein also in die
sagen dass gepflegt zus?tzlich gibt es
aber ein problem hier und jeder
entwickler da eben selbst
das hat seinen preis anerkannt
[Musik]
so hat man finde ich
ja es auch ein super einstieg also
gerade so nah cube ist meistens so dass
die unternehmen soll als erstes
einf?hren wenn sie sich ?berhaupt mit
dem thema besch?ftigen dann vielleicht
wie gesagt noch erg?nzt um die pendler
check
das ist zwar immer noch nicht der
ende-zu-ende prozess aber es ist ein
schritt in die richtige richtung und
besser als wenn ich mich erst mal ein
jahr lang einschlie?lich mir das
gesamtkonzept ?berlege und bis dahin hat
sich meine tolle landschaft vielleicht
schon komplett ver?ndert also gerade so
nah cube ja kann ich auch jedem ans herz
legen es gibt es noch weitere fragen ja
diverse genau k?nnen wir gleichzeitig
mal gucken hat den konkreten
anwendungsfall also welche plattformen
geht das f?r eine umgebung java was f?r
einem kontext irgendwie cloud oder
jogger oder ganz allgemein
ja also wie sagte w?rde ich bei was
tats?chlich noch mal schauen da gibt es
ein paar ganz ganz coole ressourcen und
tools die den nutzen kannst
dann bieten auch die repositories
mittlerweile sehr viele features die man
so aktivieren kann
was hast du f?r ein repository dahinter
geht ja genau also dann w?rde ich da mal
reingucken weil die sind auch gerade
ganz massiv dabei ihre features diese
quasi als standard anbieten auszubauen
und da kann man auch schon einiges
erreichen mit konfiguration
gut dann vielen dank f?r die
aufmerksamkeit
[Applaus]
Loading...
Feedback

Timings

  571 ms - page object

Version

AV-Portal 3.20.2 (36f6df173ce4850b467c9cb7af359cf1cdaed247)
hidden