Wilt u een datalek ontwijken? Doe DevOps en laat ontwikkelaars thuis werken, zegt Google

DevOps, dat snellere software-updates brengt, zou de lawine van records die bij datalekken worden blootgelegd kunnen helpen voorkomen, maar uit het onderzoek van Google blijkt dat bestaande praktijken niet voldoen aan de taak die voorhanden is.   

Google heeft 33,000 technische professionals ondervraagd om te onderzoeken hoe DevOps - wat in grote lijnen betekent dat softwareontwikkeling wordt afgestemd op IT-activiteiten - van invloed is op cyberbeveiliging als onderdeel van zijn jaarlijkse Versnel State of DevOps-rapport. Zoals het opmerkt, meer dan 22 miljard records werden in 2021 aan het licht gebracht via 4,145 publiekelijk bekende inbreuken.

Het rapport komt op het moment dat de Australische telco Optus de gevolgen afhandelt van een enorme inbreuk die de persoonlijk identificeerbare informatie (PII) van bijna 10 miljoen inwoners blootlegde nadat een hacker op internet door een Application Programming Interface (API) op een in de cloud gehost eindpunt waarvoor geen wachtwoord nodig was om toegang te krijgen. 

Het onderzoek van Google was gericht op de beveiliging van de toeleveringsketen van software - een beveiligingsgebied dat veel meer aandacht kreeg na de SolarWinds-aanval in 2020 en de open-source Log4Shell-fout dit jaar. Deze twee gevallen hebben de manier veranderd waarop de technische industrie softwareontwikkelingsprocessen beheert en componenten gebruikt, zoals bibliotheken en taalpakketten binnen andere producten en diensten.   

DevOps heeft als doel softwarereleases te versnellen met behoud van kwaliteit en richt zich steeds meer op beveiligingsupdates. Maar hoeveel is er veranderd sinds de SolarWinds-inbreuk en Log4Shell?

Om dit te schatten, gebruikte Google zijn kijk op het Software Bill of Materials (SBOM)-concept, dat het Witte Huis Amerikaanse federale agentschappen opdroeg om in 2021 te implementeren, genaamd Toeleveringsketenniveaus voor veilige artefacten (SLSA).

Een van de belangrijkste ideeën van Google is dat voor grote open-sourceprojecten twee ontwikkelaars wijzigingen in de broncode cryptografisch moeten ondertekenen. Deze praktijk zou door de staat gesponsorde aanvallers ervan hebben weerhouden om het software-buildsysteem van SolarWinds te compromitteren door een implantaat te installeren dat een achterdeur injecteerde tijdens elke nieuwe build. Google gebruikte ook de NIST's Veilig Software Development Framework (SSDF) als baseline in het onderzoek. 

Google ontdekte dat 63% van de respondenten beveiligingsscans op applicatieniveau gebruikte als onderdeel van systemen voor continue integratie/continuous delivery (CI/CD) voor productiereleases. Het ontdekte ook dat de meeste ontwikkelaars de codegeschiedenis bewaarden en buildscripts gebruikten.

Dat is een geruststellende trend, hoewel minder dan 50% tweepersoonsreviews van codewijzigingen oefende en slechts 43% metadata ondertekende.

"Software supply chain-beveiligingspraktijken belichaamd in SLSA en SSDF zien al een bescheiden acceptatie, maar er is voldoende ruimte voor meer", het rapport concludeert.

Door het personeel tevreden te houden, kunnen ook de beveiligingsresultaten veranderen. Google ontdekte dat werkgevers die hun personeel de mogelijkheid gaven om hybride te werken, beter presteerden en minder burn-out hadden.

“Bevindingen toonden aan dat organisaties met een hogere mate van flexibiliteit van werknemers betere organisatorische prestaties hebben in vergelijking met organisaties met meer rigide werkregelingen. Deze bevindingen leveren het bewijs dat het geven van de vrijheid aan werknemers om hun werkregelingen naar behoefte aan te passen tastbare en directe voordelen heeft voor een organisatie”, merkt Google op.   

Google begaf zich in een duister gebied door respondenten te vragen te voorspellen hoe werkstijlen toekomstige bugs zouden beïnvloeden door hen te vragen de waarschijnlijkheid te voorspellen dat een inbreuk op de beveiliging of een volledige storing zou optreden in de komende 12 maanden. 

Mensen die bij "goed presterende organisaties" werken, verwachtten minder snel dat er een grote fout zou optreden", aldus Google.