Майкл Лэндл, старший директор по безопасности Dynatrace, рассказывает о том, как облачные сервисы и современные методы разработки разрушили существующие подходы к безопасности приложений, и подчеркивает, почему необходим новый подход:
Как облачные архитектуры изменили существующие подходы к безопасности приложений?
По мере того, как все больше компаний внедряют облачные архитектуры приложений, основанные на микросервисах, контейнерах и платформах, таких как Kubernetes, становится все труднее выявлять уязвимости и обеспечивать безопасность. надежные приложения. На самом деле, эти среды очень динамичны, и единственной константой являются изменения. Наше исследование показало, что 61% компаний утверждают, что их среда меняется раз в минуту или реже, а почти треть говорят, что она меняется как минимум раз в секунду. Это подвергает организации тысячам уязвимостей, которых они никогда не видят, поскольку они никогда не находятся в одном и том же состоянии достаточно долго. Традиционные подходы к управлению уязвимостями предлагают только статическое представление в любой момент времени, что делает их неэффективными в динамических средах. Организации должны иметь возможность обнаруживать уязвимости сразу же после их появления; В противном случае они рискуют быть разоблаченными.Как вы определяете «динамическую среду»?
Динамическая среда — это простой способ описать, как создаются и работают современные приложения. Среды приложений становятся гораздо более динамичными и все чаще развиваются по мере увеличения использования архитектур на основе API, Kubernetes, микросервисов и бессерверных вычислений в мультиоблачных экосистемах. Эти архитектуры определяются тем, что находятся в состоянии постоянного движения, где изменения происходят за секунды или даже миллисекунды, а не за часы или дни. Вместо того, чтобы постоянно использовать приложения и ИТ-инфраструктуру, мы переходим к средам, где микросервисы постоянно вращаются вверх и вниз, и появляется инфраструктура для их поддержки в режиме реального времени, когда клиенты и сотрудники используют цифровые услуги. Это гораздо более эффективный способ запуска приложений в облаке, отсюда и популярность этих подходов, но также гораздо сложнее отслеживать и управлять уязвимостями безопасности, а также защищать взаимодействие с пользователем.Какое влияние современные методы разработки оказывают на то, как организации выявляют уязвимости безопасности?
Помимо использования более динамичных архитектур приложений и инфраструктуры, организации также перешли к более динамичным подходам к доставке и оркестрации программного обеспечения. Гибкие методологии, такие как DevSecOps и процессы непрерывной доставки, привели к выпуску новых функций приложений и обновлений программного обеспечения в виде быстрых спринтов, которые выполняются за дни или даже минуты, а не за недели или месяцы. Однако эти современные процессы переложили ответственность на разработчиков за обеспечение отсутствия уязвимостей в коде до его запуска. Несмотря на инвестиции в несколько инструментов безопасности, это часто приводит к увеличению количества «слепых зон» и пробелов, поскольку у разработчиков не хватает времени, и они не могут тратить циклы на поиск уязвимостей вручную. Кроме того, при предварительном сканировании иногда бывает сложно воспроизвести условия в реальных производственных средах. Таким образом, даже самые распространенные и хорошо документированные уязвимости могут остаться незамеченными и переместиться из предпроизводственных сред в действующие производственные среды, где они открыты для хакеров.Можете ли вы привести примеры уязвимостей или инцидентов, произошедших из-за этого?
IDC прогнозирует, что к 2022 году 90% новых корпоративных приложений будут реализованы как облачные с использованием гибких методологий и архитектур, поэтому эта проблема огромна и в будущем будет только расти. Есть два ярких примера уязвимостей или инцидентов, на которые повлияло использование динамических облачных сред. Первым из них является взлом Equifax в 2017 году, в результате которого были украдены личные данные сотен миллионов людей. Злоумышленники смогли получить доступ к системам Equifax через веб-портал жалоб потребителей, используя широко известную уязвимость в библиотеке Apache Struts. Эта уязвимость все еще существует в бесчисленных веб-приложениях по всему миру, но по мере того, как все больше компаний переходят на облачную архитектуру, ее становится все труднее обнаружить, что делает ее все более серьезной проблемой. . Еще одним ярким примером является уязвимость Ghostcat, которая затронула все активные версии Apache Tomcat. Являясь одним из самых популярных серверов веб-приложений Java, Tomcat широко представлен в облачных средах, работает на более чем миллионе серверов и используется для общедоступных и внутренних приложений. Уязвимость Ghostcat дает злоумышленникам возможность прочитать любой файл, хранящийся на веб-сервере, и, в худшем случае, позволяет им удаленно выполнить код, чтобы получить контроль над сервером, создавая угрозу. важный.Как должна реагировать отрасль? Что следует сделать по-другому?
Несмотря на то, что на протяжении многих лет мы инвестировали в большее количество инструментов, продолжающаяся зависимость от ручных процессов и разового сканирования уязвимостей означает, что многие команды DevSecOps постоянно завалены предупреждениями, многие из которых имеют низкий приоритет. или ложные срабатывания. Без полного контекста воздействия конкретной уязвимости на весь стек приложений, а также на системы и данные, которым она подвергает риску, командам DevSecOps очень сложно эффективно расставить приоритеты в своих действиях для ускорения и обеспечения безопасности циклов выпуска. Вот почему необходим новый подход к безопасности приложений, который совместно использует искусственный интеллект, автоматизацию и наблюдаемость для выявления, устранения и предотвращения уязвимостей во время выполнения в производственных и предпроизводственных средах. -производство. Такой подход позволяет командам DevSecOps непрерывно сканировать всю свою облачную среду, включая приложения, библиотеки и код, для выявления изменений, определения приоритетности предупреждений и устранения ложных срабатываний. С помощью искусственного интеллекта они могут понять точный источник, природу и серьезность любой уязвимости во время выполнения и определить векторы атак после развертывания, что позволяет им более эффективно справляться с такими ситуациями.- Майкл Лэндл, старший директор по безопасности Dynatrace.