Dit eBook is de derde in onze serie over Moderne App Ontwikkeling en Enterprise DevOps.
Het speelveld is uitgebreid, dreiging gedurende hele cyclus
De interesse van hackers is door verscheidende redenen, onder andere door een betere beveiliging van productie-omgevingen, verplaatst naar DevOps teams. Als reactie daarop moeten we de beveiligingshorizon verbreden. Kwaadwillende en creatieve hackers zijn begonnen met het compromitteren van ontwikkelaarsomgevingen, het infecteren van release CI/CD pipelines met schadelijke scripts en het verkrijgen van toegang tot productiegegevens via test- en andere niet productieomgevingen. De dreiging is nu aanwezig gedurende de hele levenscyclus van systemen, vanaf de ontwikkeling tot en met het onderhoud van applicaties.
Sommige mensen zullen zeggen dat hackers al tientallen jaren productieomgevingen aanvallen, dus wat is er nieuw? Dat klopt en over het algemeen zijn er voldoende beveiligingsmethoden om hackers tegen te houden. De werkomgeving is echter aanzienlijk vergroot en omvat nu ook alle technische hulpmiddelen en softwarecomponenten die bedrijven in hun systeem opnemen en gebruiken voor de relatie hiervan. Eén inbreuk bij software van een derde partij kan nu leiden tot een wereldwijd cyber security incident.
Drie omgevingen om te beschermen
Het is duidelijk dat het niet langer volstaat om de beveiliging alleen te richten op het bouwen en onderhouden van veilige applicaties. Toch blijft dit een veel voorkomende valkuil. In plaats daarvan moet de beveiliging zich nu ook richten op:
- De ontwikkelomgeving
- De DevOps-platformomgevingen
- De applicatie-omgevingen
Best practices en echte hacks
Met ons nieuwe eBook willen we chief security officers (CSO's), IT-directeuren en DevOps-teamleiders helpen hun onderneming voor te bereiden op de volgende generatie bedreigingen van ‘shift-left’-hackers in alle drie de omgevingen. We beschrijven de best practices en platformmogelijkheden die je nodig hebt om de beveiliging van je onderneming te verbeteren. We geven ook voorbeelden van echte hacks, waarbij we onderzoeken hoe de hacks hebben plaatsgevonden en hoe elke aanval had kunnen worden gestopt. Wat zou je bijvoorbeeld hebben gedaan met een diefstal van 55 miljoen nadat de account van een ontwikkelaar was gehackt met een phishingmail?