DevOps wordt gemeengoed in ontwikkeling en levering van apps en diensten. Deze flexibiliteit gaat wel ten koste van de security, zo blijkt uit onderzoek.
DevOps-teams maken vaak privileged accounts en secrets aan en delen via allerlei platformen. Dit legt grote druk bij security-teams om dit allemaal in veilige banen te leiden. Daarbij is er nauwelijks samenwerking. Dit blijkt uit het jaarlijkse Threat Landscape Report 2018 van CyberArk.
Driekwart van de security-professionals geeft in het EMEA-onderzoek aan dat er geen security-strategie is voor privileged accounts in DevOps workflows. Een beheeroplossing voor secrets (zoals accountgegevens, SSH keys, API keys en andere gevoelige informatie) en privileged accounts ontbreekt.
Slechts een derde stelt dat DevOps- en security-teams nauw samenwerken. Dit wereldwijde gemiddelde komt overeen met het beeld in Nederland. Hier werkt zo’n 28 procent nauw samen, terwijl een kwart aangeeft nauwelijks samen te werken. Hooguit gebeurt dit aan het einde van een workflow of pipeline.
Management privileged accounts
Een andere zorg uit het rapport is dat ontwikkelaars en security-specialisten niet goed weten waar privileged accounts en secrets zich precies bevinden. Vrijwel niemand heeft een compleet overzicht.
Dit is ook terug te vinden in de Nederlandse cijfers. Een goede 41 procent gebruikt een beheertool voor privileged accounts. Op de vraag hoe credentials worden opgeslagen heeft 10 procent echter geen idee. Een kwart antwoordt dat het op papier wordt bewaard of simpelweg in het hoofd van een beheerder. Bij 16 procent staan de wachtwoorden in een documentje ergens centraal op een server of op een USB-stick. Soms staan ze op een externe schijf.
Onderschatten
Hoewel veel DevOps-teams onderschatten hoeveel secrets er in de IT-infrastructuur aanwezig zijn, beseffen ze wel dat beveiliging beter moet. Meer dan een derde (37 procent) geeft aan dat gecompromitteerde DevOps-tools en omgevingen een ernstige kwetsbaarheid vormen in de organisatie. Het lukt hen echter niet om de gaten te dichten.
Het onderzoek voor het Threat Landscape Report is uitgevoerd onder meer dan 1000 IT-security specialisten in verschillende landen in EMEA, aangevuld met complementair lokaal onderzoek in diverse landen waaronder Nederland.
