NIST-Entwurf umsetzen zum Schutz der Software-Lieferkette

NIST-Entwurf umsetzen zum Schutz der Software-Lieferkette

Beitrag teilen

Software-Entwicklung und DevSecOps-Pipelines sind beliebte Ziele von Hackern. Mithilfe der NIST-Rahmenwerke lassen sie sich besser schützen.

“Die Art und Weise, wie Software entwickelt wird, ist im ständigen Wandel, wobei neue Methoden die Effizienz des Entwicklungsprozesses steigern. Auch die Softwarearchitektur entwickelt sich weiter, so dass ein Großteil der Software aus wiederverwendbaren Standardkomponenten aufgebaut werden kann,” so Tom Molden, CIO Global Executive Engagement bei Tanium.

Kontrollsysteme für Software anpassen

“Man muss sich das wie beim Bau eines Fertighauses vorstellen, bei dem die Standardteile mit weitaus größerer Effizienz und Qualität in einer Fabrik gebaut werden können, während die wirklich wertvollen und individuell gestalteten Teile des Hauses dem Erbauer oder Handwerker vor Ort überlassen werden. Da sich die Welt der Softwareentwicklung rasant verändert, vervielfachen sich auch die Möglichkeiten für Sicherheitsrisiken, so dass die Kontrollsysteme, die Unternehmen beim Schutz der von ihnen entwickelten und bereitgestellten Software unterstützen sollen, ebenfalls anpassen werden müssen.

Constant Integration und Constant Deployment (die neuen Prozesse, die in die Cloud Native-Entwicklung eingeführt wurden) heben den Fortschritt auf ein Niveau an, bei dem der Mensch nicht mehr mithalten kann. Selbst der beste Ingenieur für Anwendungssicherheit könnte nicht mit etwas Schritt halten, das sich ständig verändert.

NIST – gleicher Schutz für alle Beteiligten

So langatmig sie auch sind, die NIST-Rahmenwerke sind insofern nützlich, als sie einen sehr umfassenden Ansatz für Sicherheitskontrollen verfolgen – sie durchdenken die Dinge gründlich und präsentieren eine Menge detaillierter Informationen. Man kann es auch so sehen, dass sie die Arbeit für Sie erledigt haben – quasi ein geschenkter Gaul. Ein Referenzrahmen wie NIST, der weltweit so häufig verwendet wird, bedeutet, dass alle am Schutz der Umwelt beteiligten Akteure das gleiche Notenblatt lesen.

Alle Arten von Sicherheitskontrollen beinhalten in der Regel eine gewisse manuelle Komponente. Ein Cyber-Analyst oder -Operator muss sich irgendwann etwas ansehen und ein Urteil fällen. Die Implikation von CI/CD ist ein höherer Automatisierungsgrad im Softwareentwicklungsprozess, und die Herausforderung besteht in der Regel darin, wie diejenigen Schritte in der Automatisierung abgedeckt werden können, die normalerweise von einem Menschen ausgeführt werden.

Verschiedene NIST-Frameworks

Es dürfte sehr schwierig werden, sowohl Cloud-native als auch Legacy-Softwareentwicklung auch zukünftig noch zu unterstützen. Die Entwicklung der Cloud hat Standardisierungen erzwungen und Effizienzsteigerungen ermöglicht, die es in der Welt der Legacy-Entwicklung normalerweise nicht gibt. Die Entwicklung von Legacy-Software findet in so vielen verschiedenen Umgebungen und auf so vielfältige Weise statt, dass es schwer vorstellbar ist, sie umzurüsten. Wenn ich einen Euro zur Verfügung hätte, würde ich ihn in eine schnellere Entwicklung in Richtung Cloud und Devsecops investieren, anstatt zu versuchen, etwas rückwirkend zu reparieren.

Es gibt viele verschiedene Arten von NIST-Frameworks, und es ist hilfreich zu verstehen, wie sie sich im Zusammenspiel verhalten. Ich denke, dass eine Präsentation der wichtigsten Erkenntnisse des NIST-Kontrollumfelds auf Führungsebene nützlich wäre – um zu zeigen, wie dieses neue Framework mit anderen zusammenhängt.”

Mehr bei Tanium.com

 


Über Tanium

Tanium, der branchenweit einzige Anbieter von Converged Endpoint Management (XEM), führt den Paradigmenwechsel bei herkömmlichen Ansätzen zur Verwaltung komplexer Sicherheits- und Technologieumgebungen an. Nur Tanium schützt jedes Team, jeden Endpunkt und jeden Arbeitsablauf vor Cyber-Bedrohungen, indem es IT, Compliance, Sicherheit und Risiko in eine einzige Plattform integriert. Die Tanium Plattform bietet umfassende Transparenz über alle Geräte hinweg, eine einheitliche Reihe von Kontrollen und eine gemeinsame Taxonomie.


Passende Artikel zum Thema

Risikomanagement App für Microsoft 365

Die Risikomanagement App Cockpit ist eine fertige Plug & Play-Lösung, die über Desktop oder Smartphone bedient werden kann. Sie identifiziert, ➡ Weiterlesen

1 Mill. Euro Preisgelder für 58 Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Proaktiv: Investitionen in IT-Sicherheit als Geschäftsstrategie

IT-Sicherheit ist nicht nur eine Investition, die den Schutz der Unternehmenswerte gewährleistet. Sie schafft auch einen erheblichen Mehrwert für Kunden ➡ Weiterlesen

Höchste Verschlüsselung mit Quantencomputer geknackt?

Die aktuell höchste Verschlüsselung ist der RSA-2048-Schlüssel. Diesen will nun der Forscher Ed Gerck Ph.D, Physiker und Mathematiker, mit einem ➡ Weiterlesen

Passende Datensicherheit in der Industrie

Datensicherheit und Backups für Unternehmen sind theoretisch einfach zu gewährleisten, aber wie funktioniert das in Wirklichkeit? Die aktuelle Fallstudie zeigt ➡ Weiterlesen

Cyber-Resilienz: Trotz Angst vor Angriffen ungenügend vorbereitet

In einer Studie haben sich Führungskräfte aus den Bereichen Sicherheit und IT-Betrieb zur Cyber-Resilienz in ihrem Unternehmen geäußert. Die Mehrzahl ➡ Weiterlesen

Hacken lernen, um Angriffe zu verhindern

"Ethische Hacker" hacken sich in Unternehmensnetzwerke, um Sicherheitslücken zu identifizieren bevor Angreifer sie finden. In einem Kurs lässt sich das ➡ Weiterlesen