Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Säkerhetsnyheter

SolarWinds: Bör säkerhet finnas i InfoSec eller DevOps

Postat avYogesh Giri 4 minuter
SolarWinds_-Should-Security-Live-in-InfoSec-or-DevOps
Innehållsförteckning

Cyberattacken SolarWinds, som upptäcktes i december 2020, drabbade ett flertal myndigheter och privata företag världen över. Händelsen väckte oro kring säkerheten i programvaruleveranskedjor. För att avgöra var säkerheten bör ligga är det viktigt att förstå InfoSec (informationssäkerhet) och DevOps (utvecklingsverksamhet).

SolarWinds-attacken innebar att SolarWinds programvara för nätverkshantering komprometterades, vilket påverkade uppskattningsvis 18 000 kunder, inklusive stora myndigheter. Det var en leveranskedjeattack, vilket belyste behovet av att säkra leveranskedjor för programvara.

InfoSec och DevOps: Vad är det?

Innan vi dyker in i SolarWinds-attacken och säkerhetsrollen är det viktigt att förstå vad InfoSec och DevOps är.

InfoSec innebär att skydda informationssystem, nätverk och data från obehörig åtkomst, användning, avslöjande, störningar, modifiering eller förstörelse. InfoSec-team identifierar sårbarheter, utvecklar säkerhetspolicyer och utbildar användare om bästa praxis.

DevOps är en metod för mjukvaruutveckling som betonar samarbete och kommunikation mellan utvecklings- och driftteam. Den syftar till att effektivisera utvecklingsprocessen genom att automatisera uppgifter, kontinuerligt testa kod och integrera arbetsflöden för snabbare och mer tillförlitliga mjukvarusläpp.

SolarWinds-attacken

I december 2020 upptäckte cybersäkerhetsexperter att angripare hade komprometterat SolarWinds, som tillhandahåller programvara för nätverkshantering till ett flertal myndigheter och privata företag världen över. Angriparna hade infogat en bakdörr i SolarWinds Orion-programvara, vilket gjorde det möjligt för dem att komma åt känsliga data och system. Attacken drabbade uppskattningsvis 18 000 SolarWinds-kunder, inklusive stora myndigheter som det amerikanska inrikesdepartementet och finansdepartementet.

SolarWinds-attacken var en försörjningskedjan attack, vilket innebär att angriparna riktade in sig på en tredjepartsleverantör av programvara snarare än organisationerna själva. Denna attack blir allt vanligare och belyser vikten av att säkra programvara leveranskedjor.

Var ska säkerheten finnas: InfoSec eller DevOps?

Ocuco-landskapet Solarwinds attack väcker frågan om säkerheten bör finnas i InfoSec eller DevOps. Vissa menar att säkerheten bör vara InfoSec-teamens ansvar, medan andra menar att säkerheten bör integreras i DevOps-processen.

Skräddarsydda krypteringstjänster

Vi utvärderar, strategiserar och implementerar krypteringsstrategier och lösningar.

Läs mer

Argument för informationssäkerhet

  • Fokus på riskhantering

    InfoSec-team är utbildade för att fokusera på riskhantering och hotreducering. De har en djup förståelse för de potentiella sårbarheter och hot som en organisation kan möta, och de är utrustade för att utveckla och implementera policyer och rutiner för att skydda mot dessa hot.

  • Oberoende

    InfoSec-team är oberoende av utvecklingsprocessen, vilket gör att de kan ge ett opartiskt perspektiv på säkerhetsfrågor. De är inte utsatta för pressen att möta utvecklingsdeadlines och kan prioritera säkerhetsproblem utan att kompromissa med utvecklingsprocessen.

Argument för DevOps

  • Säkerhet som kod

    DevOps-team ansvarar för att skapa och driftsätta kod, så de är bäst positionerade för att integrera säkerhet i utvecklingsprocessen. Genom att integrera säkerhet i koden kan DevOps-team säkerställa att säkerhet är inbyggd i programvaran från början snarare än att läggas till som en eftertanke.

  • Snabbare svarstider

    DevOps-team ansvarar för att distribuera kod snabbt och effektivt. Genom att integrera säkerhet i utvecklingsprocessen kan DevOps-team reagera snabbare på säkerhetsproblem och sårbarheter, vilket minimerar risken för en lyckad attack.

Här är några faktorer att beakta när du bestämmer var säkerheten ska placeras

  • Organisationskultur

    Beroende på om organisationen prioriterar säkerhet och efterlevnad eller innovation och flexibilitet, kan antingen InfoSec eller DevOps vara bättre lämpade.

  • Utvecklingsmetodik

    Vid en vattenfallsutvecklingsmetodik kan ett separat InfoSec-team vara mer lämpligt. Med agila eller DevOps-metoder kan det dock vara mer genomförbart att integrera säkerhetsåtgärder i utvecklingsprocessen.

  • Regelefterlevnad

    Om organisationen måste följa strikta regelkrav kan ett separat InfoSec-team vara nödvändigt för att säkerställa efterlevnad. Men om organisationen inte är skyldig att uppfylla sådana regler kan en DevOps-metod vara ett gångbart alternativ.

  • Kompetens och resurser

    Att utnyttja kunskapen hos ett stort, erfaret InfoSec-team kan vara det bästa tillvägagångssättet. Omvänt, om InfoSec-teamet är litet eller om säkerhetsbehoven ständigt förändras, kan en DevOps-metod vara mer praktisk.

Slutsats

Frågan om var säkerheten ska finnas – i InfoSec eller DevOps – är inte enkel. Båda metoderna har sina fördelar, och den bästa metoden beror på organisationen och dess specifika behov. I slutändan kommer den mest effektiva metoden sannolikt att innebära en kombination av InfoSec och DevOps. InfoSec-team bör ansvara för att fastställa säkerhetspolicyer.

Upptäck vår

Relaterade bloggar

Den slutliga nedräkningen för Windows 10:s slut på livscykel

Den slutliga nedräkningen för Windows 10:s slut på livscykel

September 16, 2025

Trådar-bara-ännu-en-social-medieplattform-eller-en-hackerdröm

Trådar, bara ytterligare en social medieplattform eller en hackers dröm? 

July 27, 2023

Förstå RaaS och förebygga ransomware-attacker

Förstå RaaS och förebygga ransomware-attacker

July 5, 2023

Utforska

Fler ämnen