Veel onwetendheid over dreigingen bij serverless computing

Ondanks dat de populariteit van serverless computing toeneemt, hebben veel organisaties geen weet van hoe dit hun bedreigingslandschap beïnvloedt. Slechts 8 procent van de organisaties beveiligt 75 procent of meer van hun cloud-native applicaties met DevSecOps-praktijken.

Dit blijkt uit een nieuwe Enterprise Strategy Group (ESG) studie genaamd Security for DevOps – Enterprise Survey Report, September 2019 van het beveiligingsbedrijf Data Theorem. Voor het onderzoek zijn 371 IT- en cybersecurity-professionals bij Noord-Amerikaanse organisaties ondervraagd, allen verantwoordelijk voor het evalueren, kopen en of beheren van cloud-technologieproducten en -services. 

Hoewel het onderzoek zich richt op de Amerikaanse markt mag ervan worden uitgegaan dat de minimale aandacht rondom DevSecOps-praktijken, gezien de trend, door Europese organisaties niet veel anders zal zijn.

Beïnvloeding bedreigingslandschap

Steeds meer organisaties adopteren serverless computing vanwege verbeterde beveiliging, de behoefte aan snelheid en grotere operationele efficiëntie, aldus SDX Central. Naarmate ze hun gebruik van serverloze functies verhogen, moeten bedrijven echter wel begrijpen hoe dit hun bedreigingslandschap beïnvloedt. Bovendien is het ook belangrijk om te weten hoe ze beveiligingsmaatregelen kunnen implementeren, zoals runtime-controles en API-detectie en gebruiksinspectie.

Organisaties die hun cloud-native applicaties beveiligen met DevSecOps, doen dat door kernbeveiligingstaken te automatiseren door beveiligingscontroles en -processen in DevOps te integreren. Zo’n 68 procent van de respondenten is van plan om binnen twee jaar 75 procent of meer van hun cloud-native applicaties te beveiligen met DevSecOps-praktijken.

Veel applicaties niet gedekt

De meeste organisaties (82 procent) hebben verschillende teams die zich bezighouden met het beveiligen van native apps in de cloud. Van de groep is zeker de helft van plan deze verantwoordelijkheden in de toekomst samen te voegen. Echter 32 procent laat weten daar geen plannen voor te hebben.

Organisaties implementeren wel al DevSecOps-processen, maar dekken nog niet veel van hun applicaties

“Organisaties beginnen wel al DevSecOps-processen te implementeren, maar ze dekken nog niet veel van hun applicaties. Als dat aantal de komende twee jaar drastisch toeneemt, zie ik herhaalbaarheid met beveiliging als code”, constateert Doug Cahill, senior analyst en group practice director of cybersecurity bij ESG.

Tekort beveiligingsprofessionals

Volgens Cahill is het belangrijk dat daar verandering in komt. Zeker gezien het grote, wereldwijde tekort aan geschoolde beveiligingsprofessionals en een tekort aan vaardigheden op het gebied van cloudbeveiliging. Hij voorziet anders een nieuwe uitdaging ontstaan. “Als ik een bedrijf heb met meerdere projectteams, hoe houdt het beveiligingsteam dan gelijke tred met de snelheid waarmee de projectteams evolueren?”

Organisaties zijn door het tekort aan geschikte mensen min of meer gedwongen om automation te gebruiken of wel beveiliging te automatiseren via CI / CD-integratie. “Op die manier krijg je herhaalbaarheid en schaalbaarheid ten opzichte van beveiliging als code, die weer kan worden gerepliceerd en herhaald over meerdere projecten”, aldus Cahill.

Toename serverless computing

Het onderzoek toont aan dat steeds meer organisaties inzetten op serverless computing. Zo’n 52 procent van de respondenten geeft aan dat hun softwareontwikkelaars al tot op zekere hoogte serverloze-functies gebruiken. Zo’n 44 procent laat weten de komende twee jaar in te willen zetten op serverless computing. De meeste respondenten (73 procent) doen dat voornamelijk met het oog op een verbeterde beveiliging, gevolgd door wendbaarheid. Daarnaast spelen ook een snellere time-to-market bij het bouwen van nieuwe applicaties (57 procent) en eenvoud van operaties (56 procent) een rol.

Zorgen

Respondenten maken zich echter wel zorgen over de manier waarop ze de juiste beveiligingscontroles kunnen implementeren. Bij het in gebruik nemen van nieuwe cloud-native technologieën, inclusief serverless-functies, moeten organisaties namelijk ook hun inzicht in beveiligingsbedreigingen bijwerken. Zo’n 63 procent ziet API-gerelateerde kwetsbaarheden als de grootste zorg als het gaat om serverloos gebruik binnen organisaties.

Cybercriminelen

Dat is helemaal waar gezien cybercriminelen geprivilegieerde accounts misbruiken om serverless-functies uit te voeren. “De aanvalsvectoren zijn oude methoden die worden toegepast op een nieuwe technologie. We moeten dus altijd nadenken over hoe geprivilegieerde accounts worden gebruikt. We willen ervoor zorgen dat we een model met de minste rechten implementeren. Dat is nodig om de toegang voor accounts te beperken tot alleen de middelen die nodig zijn om routinematige, legitieme activiteiten uit te voeren”, aldus Cahill. 

De aanvalsvectoren zijn oude methoden die worden toegepast op een nieuwe technologie.

Ook fuzzing ziet hij als dreiging. Hierbij worden parameters ingevoerd aan het einde van een API-call, als een manier om de API-call over te nemen. Cybersecurity-, ontwikkelaar- en DevOps-teams doen er dan ook goed aan zich beter vertrouwd te maken met verschillende soorten API-kwetsbaarheden om zo het serverloze dreigingsmodel beter te begrijpen. Dat geeft de mogelijkheid om ze vóór de implementatie en tijdens runtime te identificeren en te verhelpen.