Entweder steht IT-Operations, kurz Ops genannt, mächtig unter Druck – oder es feiert eine Renaissance. Wir tendieren zum Letzteren. Dieser früher eher als langweilig und unflexibel wahrgenommene Teil der IT wird seit einigen Jahren neu aufgeladen mit zusätzlichen Aufgaben und Verantwortung. Nach DevOps und BizOps folgte zuletzt der Teilbereich Security and Operations, kurz: SecOps. In diesem Beitrag wollen wir kurz beleuchten, was hinter SecOps steckt, welche Vorteile es hat, mit welchen Werkzeugen Unternehmen das Thema angehen können und natürlich, was auf dem kommenden BizOps Forum am 1. und 2. Juni 2022 zu dem neuen Thema zu erwarten ist.
Das „Entdecken“ und „Schließen“ von Sicherheitslücken zusammenführen
Security-Aufgaben lassen sich am einfachsten beschreiben als das Entdecken von Schwachstellen, Sicherheitslücken, Angriffen und Schadcodes gleich welcher Art. In IT-Operations werden alle Aufgaben zusammengefasst, die für den reibungslosen IT-Betrieb nötig sind. Auch das Monitoring von Infrastruktur, Applikationen und Services ist klassischerweise hier angesiedelt. Dazu gehört auch das Einspielen von Updates und damit das Schließen von Sicherheitslücken sowie die Eliminierung von Schadcodes. In SecOps werden die beiden Aufgaben „Entdecken“ und „Schließen“ von Sicherheitslücken zusammengeführt.
Schon auf den ersten Blick erscheint es logischer und effizienter, wenn das Sec-Team seine Informationen zu Schadcodes und Vulnerabilities dem Ops-Team nicht nur mitteilt, sondern wenn ein Team gemeinsam an der Entdeckung und Beseitigung arbeitet. Einem Team, das beide Perspektiven gleichzeitig einnimmt – die Security-Sichtweise durch die Operations-Brille – fällt einfach mehr auf, wenn ein Datensatz analysiert wird. So wie es der Begriff „SecOps“ eben ausdrückt, den man als „Security and Operations“ ausspricht oder als „secure operations“.
Cost of Business möglichst gering halten
Ein dem Geschäftsmodell entsprechendes Security-Niveau sowie eine 24/7-Verfügbarkeit sind für Unternehmen überlebenswichtige Voraussetzungen. Die fortscheitende Digitalisierung macht beides komplexer. Im Sicherheitsbereich vervielfältigt sich die Angriffsfläche und im Bereich Operations müssen immer diversere und schneller wechselnde Services koordiniert werden. SecOps bietet die Chance, beides mit vernünftigem Aufwand zu erreichen. Ohne die Synergie zwischen Security- und Operations-Teams dürfte sich das Erreichen des anvisierten Security-Niveaus und der entsprechenden Verfügbarkeitslevels deutlich verteuern.
SecOps geht nur mit Automatisierung
Angesichts des extremen Fachkräftemangels im gesamten IT-Bereich, insbesondere aber im Security-Umfeld, kann Operations allerdings nur dann die zusätzliche Aufgabe stemmen, wenn die SecOps-Teams mit geeigneten Werkzeugen ausgestattet sind, die das Entdecken von Schwachstellen und Schadcodes sowie deren Beseitigung zumindest teilweise automatisieren bzw. dem Security Information and Event Management (SIEM) eines Unternehmens automatisiert melden. SecOps soll ein höheres Maß an Security bringen, ohne deswegen für die handelnden Personen aufwendiger zu sein. Mit dem Ansatz dieser „reibungslosen“, weil zumindest teilweise automatisierten Security-Maßnahmen können weniger Leute für mehr Sicherheit sorgen.
Zum Entdecken von Vulnerabilities lassen sich verschiedene Pfade einschlagen. Einer führt über den Einsatz von Application-Performance-Management-Systemen (APM) wie das des Anbieters Dynatrace. Der andere führt über spezialisierte Werkzeuge des Netzwerkmonitorings wie das Network-Detection-und-Response-Tool ExtraHop. Mit dem APM-System lassen sich Schwachstellen und Standardviren-Signaturen aufspüren; mit dem Netzwerk-Monitoring wird nach Anomalien gefahndet, über die sich auch gezielte Angriffe erkennen lassen. Diesen zweiseitigen Ansatz bietet zum Beispiel amasol seinen Kunden an, besonders solchen Unternehmen, die bereits Dynatrace im Einsatz haben und die SecOps einführen möchten.
SecOps bietet gegenüber herkömmlichen Ansätzen folgende Vorteile:
- Höhere Geschwindigkeit für Schwachstellenerkennung und Beseitigung: Mit der skizzierten Automatisierung und den gemeinsamen Teams lassen sich Schwachstellen schneller entdecken und durch direkte Kommunikation schneller beseitigen.
- Mehr Security bedeutet in SecOps-Zeiten nicht unbedingt mehr Aufwand oder Unbequemlichkeit für die Teams: SecOps bietet „reibungslose“ Security.
- Mehr Security- und Operations-Expertise: Die Teammitglieder lernen voneinander und werden gezielt weitergebildet. Dadurch entsteht in beiden Feldern mehr Know-how.
- Die Aufwände bleiben überschaubar: Trotz wachsender Anforderungen im Bereich Security und im Betrieb verläuft der Kostenanstieg flacher als in herkömmlich getrennten Ansätzen.
- Höhere Agilität und Flexibilität: SecOps-Teams können sich schneller auf neue Situationen einstellen, weil sie mehr Expertise in beiden Bereichen haben.
SecOps ist genauso wie BizOps Outcome-orientiert
Doch die geeignete Technologie ist nicht die einzige, vielleicht nicht einmal die wichtigste Voraussetzung für SecOps. „Wie bei allen Initiativen im IT- und BizOps-Umfeld kann man nichts gegen die Menschen bewegen“, erklärt Fabio Fink vom BizOps-Forum-Gastgeber amasol, der auf dem Forum im Juni einen Workshop zum Thema SecOps anbieten wird. Im Grunde ist SecOps ein weiterer Innovationsschritt, der die alte Plan-Build-Run-Struktur der IT infrage stellt und durch den Teamgedanken, agiles Arbeiten und Continuous Development und Delivery ersetzt. Vor allem aber ist SecOps ein weiteres Zeichen für die Outcome-Orientierung, die seit BizOps in der IT Einzug gehalten hat. Es geht nicht mehr nur darum, dass die Security-Teams möglichst viele Schwachstellen entdecken und die IT-Operations für die 24/ 7-Verfügbarkeit der IT sorgt. Sondern die zentralen Performance-Indikatoren für SecOps sind Business-Continuity und die Reduzierung von Sicherheitsvorfällen, die den Umsatz reduzieren.