Deutsch 
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Wie CISOs von der Anwendungssicherheit zur Produktsicherheit übergehen können
Produktsicherheitsteams erfreuen sich im Vergleich zu Appsec-Teams zunehmender Beliebtheit aufgrund ihres tiefgreifenden Sicherheitsansatzes. Aber es geht noch um mehr: Dazu gehört auch die Schaffung einer sicherheitsbewussten Kultur.
Unabhängig davon, ob man es „Shift-Left-Sicherheit“, „eingebaute Sicherheit“ oder „Security-by-Design“ nennt, wissen zukunftsorientierte Unternehmen heute, dass sie die Sicherheit über den gesamten Lebenszyklus nicht nur einzelner Anwendungen, sondern des von ihnen genutzten Geschäftsprodukts berücksichtigen müssen Unterstützung. Zu diesem Zweck nutzen immer mehr Unternehmen Produktsicherheitsteams und Produktsicherheitsbeauftragte, um diese Änderung herbeizuführen.
Produktsicherheit erweitert den Umfang der herkömmlichen Anwendungssicherheit weit über das Testen hinaus und erstreckt sich auf die Bereiche Interessenvertretung, Zusammenarbeit zwischen Unternehmensgruppen, Design Thinking, Bedrohungsmodellierung, Architekturplanung und echtes Risikomanagement. „Durch die aktive Teilnahme an jeder Phase des Entwicklungsprozesses trägt das Produktsicherheitsteam dazu bei, Sicherheitsüberlegungen in das Design, die Architektur, die Codierung, das Testen und die Produktionsfreigabe der Software einzubetten“, sagt Chris Roeckl, Chief Product Officer von Appdome. „Dieser proaktive Ansatz ist ein positiver Kreislauf, der das Risiko von Schwachstellen minimiert und sicherstellt, dass Sicherheit ein integraler Aspekt des Endprodukts ist.“
Wenn es richtig gemacht wird, wird Produktsicherheit zu einem wichtigen Hebel, um die Versprechen einzulösen, die DevSecOps-Befürworter seit Jahren machen.
Während Anwendungssicherheit und Produktsicherheit ein gemeinsames Ziel haben – nämlich einem Unternehmen bei der Veröffentlichung und Wartung sicherer Software zu helfen – ist die Rolle, die jede Funktion bei der Erreichung dieses Ziels spielt, unterschiedlich. „Appsec konzentriert sich wirklich auf das Testen, die Validierung und die Toolchain, während die Produktsicherheit die Geschäftsregeln des gesamten SDLC umfasst, einschließlich der schwierigen menschlichen Teile der Softwareentwicklung“, erklärt Michele Chubirka, Mitarbeiter für Cloud-Sicherheit bei Google.
Während sich das Anwendungssicherheitsteam außerdem eingehend mit jeder einzelnen Anwendung befasst, die es absichern soll, befasst sich die Produktsicherheit mit einem Gesamtbild und einem End-to-End-Blick auf die Sicherheit des gesamten Stacks, der zur Bereitstellung eines bestimmten Produkts beiträgt. „Produktsicherheit ist eine Erweiterung der Anwendungssicherheit. Anwendungssicherheit konzentriert sich auf die Sicherung des Codes und der Funktionalität einer einzelnen Softwareanwendung“, sagt David Lindner, CISO bei Contrast Security. „Produktsicherheit betrachtet das gesamte Technologieprodukt ganzheitlich und berücksichtigt dabei die breitere Umgebung und potenzielle Angriffsvektoren, die sich aus der Kommunikation zwischen verschiedenen Komponenten ergeben können.“
Diese breitere Umgebung könnte zahlreiche Anwendungen gleichzeitig, Hardwarekomponenten und zugehörige Dienste umfassen. Die Produktsicherheit berücksichtigt ihren Sicherheitsstatus, wenn sie gemeinsam bereitgestellt werden.
Für einige Unternehmen konzentriert sich die Produktsicherheit möglicherweise ausschließlich auf externe Kunden, andere betrachten jedoch sogar interne Projekte wie kritische Back-End-Finanz- oder HR-Systeme als Teil dieses Produktsicherheitsschirms. In jedem Fall ist die Aussicht auf Produktsicherheit umfassender, erklärt Sam Rehman, CISO bei EPAM Systems, einem globalen Softwareentwicklungsunternehmen. „Dabei geht es um einen breiteren Bereich, der betriebliche und technische Kontrollen, die Gesamtumgebung, Kundenidentitäten sowie Mechanismen zur Erkennung und Reaktion auf potenzielle Probleme im Service umfasst“, sagt er.
„Eine Möglichkeit, sich den Unterschied vorzustellen, besteht darin, sich Anwendungen als Kuchen vorzustellen“, sagt Christine Gadsby, Vizepräsidentin für Produktsicherheit bei BlackBerry. Bei der Anwendungssicherheit geht es darum, einen einzelnen Kuchen zu untersuchen, um sicherzustellen, dass er sicher aussieht und frei von Verunreinigungen ist, bevor er jemandem serviert wird. Mittlerweile ist Produktsicherheit der Prozess der Verbesserung der Art und Weise, wie die Bäckerei ihre Kuchen herstellt, und der Werkzeuge, die sie verwendet, um sicherzustellen, dass jeder Kuchen sicher ist und gut schmeckt. „Bei der Produktsicherheit geht es eher um einen ‚Big Picture‘-Ansatz – den gesamten Backprozess von Anfang bis Ende und die Sicherstellung, dass Sie bei jedem Schritt die richtigen Maßnahmen und Prozesse einbauen, um sicherzustellen, dass der Kuchen genau die richtige Zusammensetzung hat, den empfindlichen Anforderungen Ihrer Kunden entspricht und.“ „Die Palette ist möglicherweise empfindlich und bleibt während ihrer gesamten Lebensdauer ‚frisch‘“, sagt sie. „Als Organisation muss ein Produktsicherheitsteam die Sicherheit einer gesamten Liste von Produkten oder Systemen und der Art und Weise, wie Kunden sie verwenden, berücksichtigen, was mehrere „Zutaten“ oder mehrere Kuchen umfassen kann.“
Die Tatsache, dass die Produktsicherheit Einzug in die Organigramme von Unternehmen gehalten hat, ist keine Absage an traditionelle Anwendungssicherheitstests, sondern lediglich eine Anerkennung dafür, dass die moderne Softwarebereitstellung andere Augen erfordert als diejenigen, die auf dem Mikroskop des Appsec-Testens geschult sind. Da Technologieführer erkannt haben, dass Anwendungen nicht im luftleeren Raum funktionieren, ist die Produktsicherheit zum Team der Wahl geworden, das dabei hilft, die Lücken zwischen einzelnen Apps zu überwachen. Mitglieder dieses Teams fungieren auch als Sicherheitsbefürworter, die dabei helfen können, Sicherheitsgrundlagen in die wiederholbaren Entwicklungsprozesse und die „Softwarefabrik“, die den gesamten Code produziert, zu integrieren.
Das Aufkommen der Produktsicherheit sei analog zur Hinzufügung von Site Reliability Engineering zu Beginn der DevOps-Bewegung, sagt Scott Gerlach, Mitbegründer und CSO des API-Sicherheitstestunternehmens StackHawk. „Da Software schneller bereitgestellt wurde, musste die Zuverlässigkeit von der Konzeption bis zur Auslieferung in das Produkt integriert werden. Heutzutage haben Sicherheitsteams während der Entwicklung normalerweise nur minimale Interaktionen mit Software. Produktteams hingegen engagieren sich über den gesamten Lebenszyklus hinweg“, sagt er. „Die Integration von Sicherheit in ihre Kompetenzen und deren Integration von der Produktentwicklung bis zur Veröffentlichung führt zu einem schnelleren und sichereren Produktlieferzyklus. Es geht darum, die Sicherheit frühzeitig näher an die Produkte zu bringen.“
Gleichzeitig ersetzt die Produktsicherheit in der Regel nicht die traditionelle Anwendungssicherheit. Anwendungssicherheit spielt weiterhin eine wichtige Rolle bei der Sicherung von Software, idealerweise innerhalb eines gut koordinierten Produktsicherheitsrahmens. „Es ist wichtig zu beachten, dass die Produktsicherheit auf Appsec-Praktiken beruht, um Schwachstellen innerhalb der Anwendung zu begrenzen und zu reduzieren“, erklärt Rehman von EPAM. „Ohne die Behebung von Schwachstellen auf Anwendungsebene können keine zusätzlichen Sicherheitsmaßnahmen rund um das Produkt einen hohen Standard gewährleisten.“
Bei der Umsetzung der Security-by-Design-Prinzipien spielt die Produktsicherheit eine zentrale Rolle. Laut Rehman ist es integraler Bestandteil der Entwurfsphase eines Produkts oder einer Dienstleistung. „Diese Beteiligung erstreckt sich auf die Definition robuster Produktrichtlinien und -kontrollen, die eng in die Architektur und Funktionalität des Produkts eingebunden sind.“
Die Definition von Produktrichtlinien ist nur der Anfang, denn Produktsicherheit dient als praktischer Vermittler für die Zusammenarbeit zwischen Technik und Entwicklung, Geschäftsinteressenten und Sicherheitsführern. Unternehmen nutzen dieses Team häufig als Change Agent, um die immer schwer fassbare Sicherheitskultur voranzutreiben, für die sich so viele Software-Sicherheitsgurus seit langem einsetzen.
„Produktsicherheitsteams können dazu beitragen, eine sicherheitsbewusste Kultur zu schaffen, in der jeder die Sicherheit in seiner täglichen Arbeit versteht und Priorität einräumt, indem sie regelmäßig Sicherheitsupdates, Erfolge und Herausforderungen kommunizieren“, sagt Gadsby. „[Sie] entwickeln klare Richtlinien und Standards, stellen Ressourcen bereit, um Mitarbeiter über Best Practices aufzuklären, und arbeiten mit Entwicklungsteams zusammen, um Sicherheit in den Softwareentwicklungslebenszyklus zu integrieren.“
Während die Produktsicherheit eine Menge Interessenvertretung und Richtlinienarbeit leistet, laden die besten Produktsicherheitsteams nicht nur belastende Sicherheitsanforderungen auf die Schultern anderer, ohne sie zu unterstützen. Sie sollten da sein, um Reibungsverluste zu reduzieren, sagt Jamie Boote, Associate Principal Security Consultant bei der Synopsys Integrity Group.
„Eine besondere Art von Reibung, die die Sicherheit in einer Organisation behindern kann, ist kognitive Reibung – die mentale Anstrengung, die erforderlich ist, um ein Sicherheitsproblem zu verstehen und zu lösen“, erklärt Boote. „Prodsec kann kognitive Reibungen reduzieren, denen Entwickler, Architekten, Ingenieure und andere Stakeholder ausgesetzt sind, indem es Schulungen, klare Anforderungen, wiederverwendbare Lösungen und Secure-by-Design-Komponenten bereitstellt, die Teams mit minimalem Aufwand anpassen und nutzen können.“
Laut Rehman ist es eine Schlüsselkomponente in der Rolle der Produktsicherheit als Agenten für den Wandel der Sicherheitskultur, die Führung zu übernehmen, indem sie die Ausbildung und Schulung aller Personen leiten, die an der Gestaltung und Codierung relevanter Aspekte des Produkts beteiligt sind. „Nicht-Sicherheitsexperten fehlt oft der inhärente Instinkt, defensiv zu denken oder die Perspektive potenzieller Angreifer zu antizipieren – ein Konzept, das ich als „Überprüfe jede Ecke“-Mentalität bezeichne“, sagt er. „Das Teilen plausibler Szenarien, nicht mit der Absicht, Angst zu schüren, sondern um die potenziellen Aktionen von Angreifern zu veranschaulichen, ist für die Förderung einer Sicherheitskultur innerhalb der Organisation von entscheidender Bedeutung. Wenn Einzelpersonen die möglichen Szenarien und die gefährdeten Vermögenswerte verstehen, ist es wahrscheinlicher, dass sie die richtige Denkweise annehmen.“
Alle diese Pflichten und Ziele der Produktsicherheit sind rein erstrebenswert, wenn ein Unternehmen nicht die richtigen Leute in das Prodsec-Team einsetzt und eine befähigende Berichtsstruktur einrichtet, damit diese erfolgreich Veränderungen bewirken können. Die besten Produktsicherheitsexperten müssen über eine gute Mischung aus technischen Kenntnissen und Soft Skills verfügen, die ihnen bei der Förderung der Zusammenarbeit helfen. Dies ist nicht der richtige Ort für diese Rockstar-Technikfreaks, die nicht gerne mit Menschen reden. Ebenso benötigen sie ein Gespür für Sicherheit sowie für die geschäftlichen und technischen Aspekte der Bereitstellung profitabler Produkte. „Um eine effektive Produktsicherheit voranzutreiben, ist es unerlässlich, eine Person mit einer soliden Mischung aus Produktkenntnissen und profunder Sicherheitsexpertise zu ernennen“, sagt Rehman, der darauf hinweist, dass sie in der Lage sein wird, in vier wichtigen Stakeholder-Bereichen effektiv zu kommunizieren: IT, Büro des CISO, der Entwicklungs-/DevOps-Teams sowie Governance, Risiko und Compliance.
Die Berichtsstrukturen variieren stark je nach den Bedürfnissen und der Kultur der Organisation. „Einige Prodsec-Teams sind möglicherweise in die Entwicklungs- oder Produktorganisationen eingebettet, wenn ihre größeren Organisationen auf Produkte ausgerichtet sind. Darüber hinaus berichten einige Teams je nach behördlicher oder rechtlicher Gefährdung möglicherweise an die Rechts- oder Compliance-Abteilung“, sagt Boote. „Aber einige berichten normalerweise immer noch an jemanden im CIO/CTO, CISO oder VP oder Sicherheitsdirektor.“
Laut Rehman sind die häufigsten direkten Berichtslinien typischerweise CISO, CTO und CIO. „In Fällen, in denen die Sicherheitsorganisation technisch versiert und robust ist, bevorzuge ich die Berichterstattung an den CISO“, sagt er. „Alternativ kann die Berichterstattung an den CTO, der die Technologiestrategien überwacht, auch eine wirksame Grundlage für eine Produktsicherheitsrolle bieten. Die Wahl hängt letztlich von der spezifischen Dynamik und den Zielen der Organisation ab.“
Als Vizepräsidentin für Produktsicherheit bei BlackBerry berichtet Gadsby ihrerseits direkt an den CISO. „Dadurch wird sichergestellt, dass die Produktsicherheitsbemühungen mit unserer Unternehmenssicherheitsstrategie in Einklang stehen und dass wir Sicherheitsmaßnahmen bei allen Produkten und Dienstleistungen konsequent umsetzen.“
Unabhängig davon, ob die Produktsicherheit direkt dem CISO unterstellt ist oder nur eine gepunktete Beziehung besteht, sind sich alle Experten einig, dass CISOs die strategische Vision für die Produktsicherheit festlegen sollten, die das Team umsetzt. „CISOs formen und leiten Produktsicherheitsteams, indem sie die strategische Richtung für Produktsicherheitsinitiativen festlegen. Sie überlegen, wie Sicherheit in den Produktentwicklungslebenszyklus integriert werden soll, und richten sie an den Gesamtzielen des Unternehmens aus“, sagt Gadsby. „CISOs stellen außerdem sicher, dass die Produktsicherheitsteams aus qualifizierten Fachleuten bestehen, die einige der komplexen Herausforderungen im Zusammenhang mit der Produktentwicklung bewältigen können. Es gibt eine intensive Zusammenarbeit mit anderen Abteilungen, um sicherzustellen, dass Sicherheitsmaßnahmen nahtlos integriert werden, und sie arbeiten an der Festlegung von Sicherheitsrichtlinien, -standards und -richtlinien.“