Znamená to, že firemné IT tímy nemusia dostatočne vidieť do neustále sa meniacej infraštruktúry tzv. DevOps (tím zastrešujúci celý hodnotový reťazec od vývoja cez spustenie až po prevádzku služby/softvéru), zatiaľ čo štandardné kyberbezpečnostné riešenia sa na DevOps nevzťahujú. Produkt Kaspersky Hybrid Cloud Security poskytuje bezpečné nástroje, ktoré najlepšie pokrývajú potreby DevOps prostredia. Toto riešenie neovplyvňuje rýchlosť vývoja a ani neobmedzuje DevOps tímy vo využívaní nástrojov, ktoré potrebujú na vykonávanie svojej činnosti. Namiesto toho im umožňuje hladké pridanie ochrany do svojich rutinných úloh, no zároveň si nevyžaduje žiadnu špecifickú údržbu
Konkrétne príklady útokov
Napríklad v prípade útoku ShadowPad odhalila spoločnosť Kaspersky v časti legitímneho softvéru na správu serverov vyvíjaného firmou NetSarang tzv. zadné vrátka. Neexistuje žiadna konkrétna odpoveď na to, ako sa škodlivý kód dostal do softvéru NetSarang, no útočníci mohli mať na zabudovaných serveroch buď modifikované zdrojové kódy, alebo softvérové záplaty.
Ďalším príkladom podobného útoku v dodávateľskom reťazci je ShadowHammer, keď kyberútočníci zacielili na program ASUS Live Update Utility ako počiatočný zdroj infekcie. Útočníci pomocou ukradnutých digitálnych certifikátov, ktoré používa spoločnosť ASUS na podpisovanie legitímnych binárnych súborov, narušili staršie verzie softvéru ASUS, do ktorých vložili škodlivý kód.
Nedávno boli odhalené viaceré útoky, ktoré špecificky cielili na úložiská s otvorenými zdrojovými kódmi, z ktorých balíčky s kódmi využívajú vývojári pre svoje potreby. Jeden z posledných útokov sa týkal napríklad úložiska RubyGems, v ktorom sa nachádzalo 725 škodlivých balíčkov.
Úloha DevOps a IT ochrana
Zavádzanie procesov DevOps vo firmách narastá a zameriava sa na obchodné potreby, čas uvedenia služby na trh, rýchlosť, flexibilitu a úplnú automatizáciu. Nanešťastie, dôraz na bezpečnosť má tendenciu negatívne ovplyvňovať jednu či viac z týchto metrík. DevOps verí, že jediným spôsobom, ako uspokojiť stanovené ciele (KPIs), je minimalizovať alebo úplne obísť bezpečnosť, zatiaľ čo IT sa snaží identifikovať dynamicky rastúce tieňové IT a dostať ho pod kontrolu a ochranu korporátneho zabezpečenia.
Tento rozdiel ešte zväčšujú obavy oboch strán. A situácii samozrejme nepomáha, že hovoria dvomi jazykmi a majú rôzne ciele.
„Napriek tomu, že pre DevOps je potrebná osobitná ochrana, pre organizácie môže byť výzvou zaviesť tie správne postupy. Aby sa minimalizovala doba uvedenia aplikácie na trh, softvérový vývoj vyžaduje flexibilný prístup k IT, schopnosť rýchlo škálovať pracovné zaťaženie cloudu nahor aj nadol a použitie rôznych nástrojov pre otvorené zdrojové kódy. Vytvára zhluk tieňového IT, ktoré môže byť mimo korporátnych bezpečnostných IT postupov“, konkretizuje Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.
Podľa definície spoločnosti Deloitte predstavuje DevSecOps „transformačný posun, ktorý zahŕňa bezpečnú kultúru, postupy a nástroje pre zviditeľnenie, spoluprácu a pružnosť zabezpečenia do každej fázy reťazca DevOps“. Riešenie Kaspersky Hybrid Cloud Security poskytuje bezpečnostné nástroje, ktoré najlepšie zodpovedajú prostrediu DevOps. Toto riešenie neovplyvňuje rýchlosť vývoja a neobmedzuje DevOps vo využívaní nástrojov pri vykonávaní potrebných činností. Namiesto toho im umožňuje hladké pridanie ochrany do svojich rutinných úloh, no zároveň si nevyžaduje žiadnu špecifickú údržbu.
Kaspersky Hybrid Cloud Security
Riešenie Kaspersky Hybrid Cloud Security umožňuje prístup DevSecOps, pričom poskytuje ochranu vývojovej infraštruktúry v režime run-time, ako aj službu „bezpečnosť ako kód“ pre integráciu CI/CD reťazca. Prekonáva rozdiely medzi špecialistami na vývoj a špecialistami na informačnú bezpečnosť vďaka výkonnej riadiacej konzole, širokej podpore platforiem, integračným rozhraniam a ideálnemu pomeru efektívnosti a výkonu. Zabezpečuje platformu Docker, aby zabránila útočníkom používať škodlivé vrstvy kontajnerov ako vstupné brány do infraštruktúry organizácie a poskytuje pracovníkom IT ako aj administrátorom IT bezpečnosti nástroje na kontrolu zabezpečenia, viditeľnosť a riadenie rizík, zatiaľ čo automatizácia a budovanie reťazcov pomáhajú DevOps tímu spúšťať on-demand bezpečnostné kontroly, udržiavať korporátne úložiská čisté a „dezinfikovať“ balíčky stiahnuté z verejných úložísk.
Riešenie Kapersky Hybrid Cloud Security umožňuje bezpečnejší vývoj ako aj vydávanie aplikácií, pričom poskytuje:
• Viacvrstvovú ochranu novej generácie proti všetkým typom kybernetických hrozieb na najširšej škále linuxových platforiem vrátane zabezpečenia integrity, sledovania správania, ochrany pred sieťovými a webovými hrozbami
• Zabezpečenie kontajnerov medzi agentmi a hostiteľmi (Agent-over-host-OS), vrátane schopnosti skenovať hostiteľskú pamäť a detegovať zneužitie, eskalácie privilégií a pokusov o únik kontajnerov, útokov medzi kontajnermi a ďalších s bohatou a flexibilnou riadiacou konzolou, manažmentom založenom na nastavení pravidiel ako aj systémom reportovania.
• On-Access a On-Demand skenovanie entít DevOps, vrátane kontajnerov, obrázkov a úložísk s podporou menných priestorov (tzv. namespaces).
• Prístup „Bezpečnosť ako kód“ prostredníctvom rozhrania CLI a Open API, ktoré umožňuje skriptovanú integráciu do pracovných postupov DevOps vrátane reťazca CI/CD.
• Granulárna kontrola rovnováhy bezpečnostnej úrovne vs. výkonu prostredníctvom optimalizácie hĺbky skenovania a manuálneho vylúčenia objektov.
