Samenwerking tussen DevOps- en security-teams ontbreekt vaak

samenwerken-team-pixabay-Free-Photos

DevOps wordt gemeengoed in het ontwikkelen en leveren van apps en diensten, maar de flexibiliteit gaat ten koste van de security. Terwijl DevOps-teams steeds meer privileged accounts en secrets aanmaken en delen via allerlei platformen, komt de druk bij security-teams te liggen om dit allemaal in veilige banen te leiden. Er blijkt nauwelijks samenwerking te zijn.

Dit blijkt uit het jaarlijkse Threat Landscape Report 2018 van CyberArk onder meer dan 1000 IT-security specialisten in verschillende landen in EMEA, aangevuld met complementair lokaal onderzoek in diverse landen waaronder Nederland. Driekwart van de security-professionals geeft in het EMEA-onderzoek aan dat er geen security-strategie is voor privileged accounts in DevOps workflows. Een beheeroplossing voor secrets (zoals accountgegevens, SSH keys, API keys en andere gevoelige informatie) en privileged accounts ontbreekt. Slechts een derde stelt dat DevOps- en security-teams nauw samenwerken. Dit wereldwijde gemiddelde komt overeen met het beeld in Nederland. Hier werkt zo’n 28 procent nauw samen, terwijl een kwart aangeeft nauwelijks samen te werken, hooguit aan het einde van een workflow of pipeline.

Management van privileged accounts

Ook zorgwekkend is dat ontwikkelaars en security-specialisten niet goed weten waar privileged accounts en secrets zich precies bevinden in de organisatie. Vrijwel niemand heeft een compleet overzicht. Dit is ook terug te vinden in de Nederlandse cijfers: een goede 41 procent gebruikt een beheertool voor privileged accounts, maar op de vraag hoe credentials worden opgeslagen heeft 10 procent geen idee, antwoordt een kwart dat het op papier wordt bewaard of simpelweg in het hoofd van een beheerder en staan er bij 16 procent wachtwoorden in een document ergens centraal op een server of op een USB-stick, dan wel externe schijf.

Hoewel veel DevOps-teams onderschatten hoeveel secrets er in de IT-infrastructuur aanwezig zijn, beseffen ze wel dat beveiliging beter moet. Meer dan een derde (37 procent) geeft aan dat gecompromitteerde DevOps-tools en omgevingen een ernstige kwetsbaarheid vormen in de organisatie, maar het lukt hen niet om de gaten te dichten.

‘Combinatie met security-strategie en beheertools’

“Er komen twee zorgwekkende vindingen voort uit het onderzoek: DevOps en security werken nauwelijks samen, en het zicht op secrets en privileged accounts ontbreekt”, aldus Bart Bruijnesteijn van CyberArk. “Volgens Gartner gebruikt inmiddels meer dan helft van de bedrijven DevOps, maar het lijkt er sterk op dat we iets hebben omarmd zonder alle risico’s in te kaart te brengen. DevOps biedt volop voordelen, maar moet samengaan met een security-strategie en beheertools om de ontwikkeling en levering van apps en diensten veilig te houden. Pas dan pluk je echt de vruchten ervan en kun je een veilig, schaalbaar platform bouwen dat toekomstbestendig is.”

Meer over
Lees ook
IGEL stelt organisaties in staat om het IGEL OS op laptops van LG en Lenovo uit te proberen

IGEL stelt organisaties in staat om het IGEL OS op laptops van LG en Lenovo uit te proberen

IGEL, de aanbieder van een beheerd besturingssysteem voor endpoints dat veilige toegang biedt tot elke digitale werkplek, gaat vandaag van start met zijn nieuwe wereldwijde promotionele campagne “Why Compromise.” In het kader hiervan biedt IGEL gekwalificeerde deelnemers een laptop (een LG Gram of Lenovo ThinkPad L14) aan waarop het IGEL OS kant-en-klaar...

Barracuda verbetert Web Application and API Protection (WAAP) oplossing

Barracuda verbetert Web Application and API Protection (WAAP) oplossing

Barracuda Networks komt met uitbreidingen voor Barracuda Cloud Application Protection, het platform voor Web Application and API Protection (WAAP). Deze nieuwe release voegt krachtige nieuwe mogelijkheden toe voor geautomatiseerde API Discovery- en GraphQL-security, versterkt de bescherming tegen het overnemen van accounts (Account Takeover Protection)...

Chaos biedt cybercriminelen ook in 2022 volop kansen

Chaos biedt cybercriminelen ook in 2022 volop kansen

Cyberaanvallen hebben tijdens de coronacrisis een enorme vlucht genomen. En alles lijkt erop te wijzen dat deze groei zal aanhouden. Dat komt omdat het massale thuiswerken cybercriminelen meer kansen biedt. Zij zullen misbruik blijven maken van menselijke en technologische zwakke schakels en profiteren van de groeiende IT-complexiteit die hybride werken...