De cyberaanval op SolarWinds, ontdekt in december 2020, trof talloze overheidsinstanties en particuliere bedrijven wereldwijd. Het incident leidde tot zorgen over de beveiliging van softwaretoeleveringsketens. Om te bepalen waar beveiliging moet worden toegepast, is het belangrijk om InfoSec (informatiebeveiliging) en DevOps (ontwikkelingsactiviteiten) te begrijpen.
De SolarWinds-aanval was gericht op het compromitteren van de netwerkbeheersoftware van SolarWinds, wat naar schatting 18,000 klanten trof, waaronder grote overheidsinstellingen. Het was een aanval op de toeleveringsketen, wat de noodzaak onderstreept om softwaretoeleveringsketens te beveiligen.
InfoSec en DevOps: wat zijn het?
Voordat we dieper ingaan op de SolarWinds-aanval en de rol van beveiliging, is het belangrijk om te begrijpen wat InfoSec en DevOps zijn.
InfoSec omvat het beschermen van informatiesystemen, netwerken en data tegen ongeautoriseerde toegang, gebruik, openbaarmaking, verstoring, wijziging of vernietiging. InfoSec-teams identificeren kwetsbaarheden, ontwikkelen beveiligingsbeleid en informeren gebruikers over best practices.
DevOps is een aanpak voor softwareontwikkeling die de nadruk legt op samenwerking en communicatie tussen ontwikkel- en operationele teams. Het doel is om het ontwikkelingsproces te stroomlijnen door taken te automatiseren, code continu te testen en workflows te integreren voor snellere, betrouwbare softwarereleases.
De SolarWinds-aanval
In december 2020 ontdekten cybersecurityexperts dat aanvallers SolarWinds, een leverancier van netwerkbeheersoftware aan talloze overheidsinstanties en particuliere bedrijven wereldwijd, hadden gecompromitteerd. De aanvallers hadden een backdoor in de SolarWinds Orion-software geplaatst, waardoor ze toegang kregen tot gevoelige gegevens en systemen. De aanval trof naar schatting 18,000 SolarWinds-klanten, waaronder grote overheidsinstanties zoals het Amerikaanse ministerie van Binnenlandse Veiligheid en het ministerie van Financiën.
De SolarWinds-aanval was een supply chain-aanval, wat betekent dat de aanvallers zich richtten op een externe softwareleverancier in plaats van op de organisaties zelf. Deze aanval komt steeds vaker voor en onderstreept het belang van softwarebeveiliging. supply chains.
Waar moet beveiliging worden ondergebracht: InfoSec of DevOps?
Het SolarWinds-aanval roept de vraag op of beveiliging onder InfoSec of DevOps zou moeten vallen. Sommigen beweren dat beveiliging de verantwoordelijkheid van InfoSec-teams zou moeten zijn, terwijl anderen beweren dat beveiliging geïntegreerd zou moeten zijn in het DevOps-proces.
Argumenten voor InfoSec
-
Focus op risicomanagement
InfoSec-teams zijn getraind om zich te richten op risicomanagement en het beperken van bedreigingen. Ze hebben een diepgaand inzicht in de potentiële kwetsbaarheden en bedreigingen waarmee een organisatie te maken kan krijgen en zijn toegerust om beleid en procedures te ontwikkelen en te implementeren om zich tegen deze bedreigingen te beschermen.
-
Onafhankelijkheid
InfoSec-teams zijn onafhankelijk van het ontwikkelingsproces, waardoor ze een onbevooroordeeld perspectief op beveiligingskwesties kunnen bieden. Ze staan niet onder druk om ontwikkelingsdeadlines te halen en kunnen beveiligingsproblemen prioriteren zonder het ontwikkelingsproces in gevaar te brengen.
Argumenten voor DevOps
-
Beveiliging als code
DevOps-teams zijn verantwoordelijk voor het creëren en implementeren van code en zijn daarom het meest geschikt om beveiliging te integreren in het ontwikkelingsproces. Door beveiliging in de code te integreren, kunnen DevOps-teams ervoor zorgen dat beveiliging vanaf het begin in de software is ingebouwd in plaats van dat het er achteraf aan wordt toegevoegd.
-
Snellere reactietijden
DevOps-teams zijn verantwoordelijk voor het snel en efficiënt implementeren van code. Door beveiliging te integreren in het ontwikkelingsproces, kunnen DevOps-teams sneller reageren op beveiligingsproblemen en kwetsbaarheden, waardoor het risico op een succesvolle aanval wordt geminimaliseerd.
Hier zijn enkele factoren waarmee u rekening moet houden bij het bepalen waar de beveiliging moet worden ondergebracht
-
Organisatiecultuur
Afhankelijk van de vraag of de organisatie prioriteit geeft aan beveiliging en naleving of aan innovatie en flexibiliteit, is InfoSec of DevOps mogelijk geschikter.
-
Ontwikkelingsmethodologie
Bij een watervalontwikkelingsmethodologie is een apart InfoSec-team wellicht geschikter. Bij Agile- of DevOps-methodologieën is het echter wellicht haalbaarder om beveiligingsmaatregelen in het ontwikkelingsproces te integreren.
-
Naleving van de regelgeving
Als de organisatie zich aan strenge wettelijke vereisten moet houden, kan een apart InfoSec-team nodig zijn om de naleving te waarborgen. Als de organisatie echter niet aan dergelijke regelgeving hoeft te voldoen, kan een DevOps-aanpak een haalbare optie zijn.
-
Vaardigheden en middelen
Het benutten van de kennis van een groot, ervaren InfoSec-team is wellicht de beste aanpak. Als het InfoSec-team daarentegen klein is of als de beveiligingsbehoeften voortdurend veranderen, is een DevOps-aanpak wellicht praktischer.
Conclusie
De vraag waar beveiliging thuishoort – in InfoSec of DevOps – is niet eenvoudig. Beide benaderingen hebben hun voordelen en de beste aanpak hangt af van de organisatie en haar specifieke behoeften. Uiteindelijk zal de meest effectieve aanpak waarschijnlijk een combinatie van InfoSec en DevOps zijn. InfoSec-teams zouden verantwoordelijk moeten zijn voor het vaststellen van beveiligingsbeleid.
