Kwetsbaarheden open source managen met automatisering en AI
Organisaties moeten steeds sneller nieuwe innovatieve services leveren. Om bij te kunnen blijven, gebruiken DevOps- en securityteams in toenemende mate open source code. Open source bibliotheken bieden inzicht in de codebase, waardoor ontwikkelaars kunnen voortbouwen op bestaande software bij het ontwikkelen van nieuwe applicaties en digitale mogelijkheden. Uit een recent onderzoek van Red Hat blijkt dat 90% van alle ondervraagde organisaties open source gebruikt, terwijl 54% het toepast voor de ontwikkeling van applicaties. De enorme groei van open source gebaseerde technologieën, platforms en codebibliotheken resulteert echter ook in nieuwe uitdagingen op het gebied van security, omdat er meer externe medewerkers, repositories en webdiensten bij het ontwikkelingsproces betrokken zijn.
GitHub heeft ruim 56 miljoen ontwikkelaars die het ontwikkelplatform gebruiken en alleen al in 2020 zijn er meer dan 1,9 miljard open source bijdragen bijgekomen. Door de snelle adoptie van cloud-native architecturen en dynamische orkestratieplatformen zoals Kubernetes, is het duidelijk dat technologiestacks complexer zijn geworden dan ooit tevoren. Vanuit securityoogpunt is de uitdaging dat meer complexiteit meer kwetsbaarheden met zich meebrengt. Vaak moeten overbelaste DevOps- en securityteams kiezen tussen snelheid en security, omdat een steeds groter deel van hun tijd opgaat aan het bestrijden van waarschuwingen voor potentiële kwetsbaarheden. Tegelijkertijd wordt het voor die teams moeilijker om te begrijpen wat de meest kritieke kwetsbaarheden zijn die prioriteit moeten krijgen, wat de ‘time-to-market’ van innovaties vertraagt.
Deur openen naar nieuwe uitdagingen
De grootste uitdaging met open source code komt voort uit de belangrijkste aantrekkingskracht ervan: het vrij toegankelijke publieke karakter. Iedereen heeft toegang tot die code, dus ook kwaadwillende aanvallers. Traditioneel patcht de ontwikkelaarsgemeenschap ontdekte kwetsbaarheden en uploadt deze naar forums of de National Vulnerability Database, waarmee anderen toepassingen die de code gebruiken zijn bij te werken. Het toenemende gebruik van dynamische cloud- en Kubernetes-omgevingen heeft webapplicaties echter zeer gedistribueerd en complex gemaakt, waardoor het steeds moeilijker wordt om open source code te lokaliseren en te bepalen hoe actueel deze is. DevOps- en securityteams hebben niet genoeg tijd om code door te spitten en elke potentiële kwetsbaarheid te patchen, waardoor organisaties kwetsbaarder worden voor aanvallen.
De enorme hoeveelheid open source code die wereldwijd in gebruik is leidt er tevens toe dat DevOps- en securityteams een continu spervuur van waarschuwingen van beveiligingsoplossingen te verwerken krijgen. Uit onderzoek van Dynatrace blijkt dat organisaties gemiddeld op 2.169 potentiële kwetsbaarheden per maand moeten reageren. Wat het probleem nog verergert, is dat traditionele methoden voor het managen van alle kwetsbaarheden gebaseerd zijn op handmatige processen, waar DevOps-teams simpelweg geen tijd voor hebben. Zij moeten zich vooral concentreren op het zo snel mogelijk leveren van nieuwe services. Deze focus
heeft ertoe geleid dat ruim tweederde (71%) van de CISO's toegeeft dat ze er niet altijd volledig van overtuigd zijn dat hun code vrij is van kwetsbaarheden voordat deze in productie wordt genomen.
Kies je gevechten om de oorlog te winnen
Organisaties die open source code gebruiken moeten niet alleen analyseren waar mogelijke kwetsbaarheden zitten, maar ook prioriteiten stellen met betrekking tot welke problemen het eerst moeten worden opgelost. Een goede manier vinden om dit te doen is moeilijk, omdat de ernst van kwetsbaarheden aanzienlijk verschilt van de ene omgeving tot de andere. Een fout in een codebibliotheek die in de ene organisatie met catastrofale gevolgen kan worden uitgebuit, is in een andere organisatie misschien helemaal niet aan de orde. De context is van cruciaal belang om te begrijpen welke kwetsbaarheden de grootste potentiële impact op een organisatie hebben en dus direct moeten worden aangepakt. Zelfs als een kwetsbaarheid in een kritieke applicatie wordt ontdekt, kan het zijn dat deze geen toegang heeft tot gevoelige data en er dus geen dringende actie nodig is. Een kwetsbaarheid in een ogenschijnlijk minder belangrijke applicatie die als achterdeur kan worden misbruikt naar een database met zeer gevoelige persoonsgegevens, moet daarentegen onmiddellijk worden aangepakt.
Met zoveel waarschuwingen en te weinig tijd hebben DevOps- en securityteams automatisering en AI nodig om alle kwetsbaarheden aan te pakken. Om deze technologieën effectief in te zetten, moeten organisaties ervoor zorgen dat AI kan putten uit één centrale databron die in realtime waarneembaarheid biedt voor hun gehele cloudomgeving, inclusief alle applicaties en infrastructuur en een database met alle kwetsbaarheden. Zo’n centrale databron geeft AI-gestuurde waarschuwingen de noodzakelijke context om de juiste prioriteit te geven aan kwetsbaarheden in open source bibliotheken en code, door te identificeren waar ze zich bevinden en wat hun potentiële impact is. Met AI kunnen DevOps- en securityteams ook de exacte antwoorden krijgen die nodig zijn om deze kwetsbaarheden op te lossen. Dit bespaart veel tijd die teams nu nog besteden aan handmatige inspanningen en maakt waardevolle tijd vrij voor innovatie.
Veilig blijven acceleren met DevSecOps-aanpak
Het innovatietempo blijft de komende jaren toenemen en daarom speelt open source software een sleutelrol voor alle teams die nieuwe services ontwikkelen en leveren. Om te voorkomen dat potentieel catastrofale kwetsbaarheden door de mazen van het net glippen, moeten organisaties een geautomatiseerde aanpak voor het managen daarvan omarmen. Dit stelt DevOps en securityteams in staat om niet alleen bedreigingen te identificeren, maar ook beter samen te werken bij het begrijpen van hun context, potentiële impact en prioriteit. Met een DevSecOps-aanpak hoeven teams hun security niet langer op te offeren om de ontwikkelsnelheid te verhogen en kunnen ze erop vertrouwen dat kritieke kwetsbaarheden worden aangepakt voordat deze impact hebben. Deze aanpak reduceert securityrisico's terwijl ontwikkelteams sneller kunnen innoveren en leveren.
Ben Todd is Senior Director Security, EMEA, Dynatrace