Man mano che si estende l’adozione di DevOps in tutti i settori e in tutte le aree geografiche, si assiste a una costante evoluzione e accelerazione della distribuzione di applicazioni e servizi per le aziende. Parallelamente, tuttavia, aumenta anche il numero di credenziali di account privilegiati e di segreti e, di conseguenza, incrementano i rischi correlati e si espande la superficie di attacco. I team DevOps e Security, dunque, devono essere in grado di implementare strategie e strumenti adeguati per far fronte alle nuove sfide in ambito cyber security.
Secondo il report Advanced Threat Landscape 2018 rilasciato da CyberArk, una delle società più importanti a livello globale operanti nel mercato della sicurezza degli account privilegiati, emerge un dato preoccupante: quasi tutti i professionisti DevOps e Security (il 99%), infatti, non conoscono l’esatta ubicazione degli account privilegiati e dei segreti nell’infrastruttura IT e il 75% dei professionisti della sicurezza non dispone di una strategia di protezione degli account privilegiati per DevOps, lasciando di fatto grandi punti deboli che possono essere sfruttati per un attacco.
“Nonostante l’esistenza di tecnologie dedicate, sono poche le aziende che gestiscono e proteggono i segreti, che diventano obiettivi primari per gli attacchi. Nelle mani di malintenzionati esterni o interni all’organizzazione, le credenziali e i segreti compromessi possono consentire agli attaccanti di acquisire il controllo completo dell’intera infrastruttura IT di un’azienda. È quindi preoccupante che la corsa ai vantaggi di IT e business resi possibili da DevOps non vada di pari passo con la consapevolezza di una superficie di attacco privilegiata in espansione e non gestita” ha affermato Elizabeth Lawler, Vice Presidente della Sicurezza DevOps di CyberArk.
Who's Who
Elizabeth Lawler
Molti team DevOps non sono pienamente coscienti della quantità di segreti disseminati nell’infrastruttura IT, ma sono comunque consapevoli dalla necessità di migliorare la sicurezza. Più di un terzo (37%) dei professionisti DevOps che archiviano o distribuiscono informazioni nel cloud afferma che gli strumenti e gli ambienti DevOps compromessi rappresentano una delle maggiori vulnerabilità per la sicurezza della loro azienda, ma molti di essi affrontano il problema da soli. Solo un quarto dei team di sicurezza dichiara di avere una strategia di protezione degli account privilegiati per DevOps e circa due terzi (65%) degli intervistati sostiene che l’integrazione tra i team è carente.
Le aziende utilizzano sempre più gli strumenti di automazione e orchestrazione cloud per portare avanti le iniziative DevOps e circa la metà (49%) degli intervistati ha dichiarato di usare il cloud per lo sviluppo interno.
Tuttavia, dallo studio emerge che la mancanza di una strategia di sicurezza DevOps si estende anche al cloud. Circa due terzi (74%) degli intervistati si affida agli strumenti messi a disposizione dal fornitore cloud e questo significa che la sicurezza degli account privilegiati non è pienamente integrata nei processi DevOps quando si implementano nuovi ambienti.
Lawler conclude: “Nel complesso, i risultati del report di quest’anno indicano che molte aziende non comprendono la necessità o i meccanismi di protezione delle credenziali degli account privilegiati e dei segreti, tanto nel cloud quanto on-premise. Occorre che gli strumenti e le prassi di DevOps e sicurezza si fondano per proteggere le informazioni privilegiate in modo efficace. Sensibilizzare e favorire la collaborazione tra i team DevOps e sicurezza è il primo passo per aiutare le aziende a costruire una piattaforma di sicurezza scalabile che migliori costantemente man mano che vengono sviluppate, testate e rilasciate nuove iterazioni degli strumenti”.
