Sonatype stellt Abhängigkeitsmanagement der nächsten Generation vor | Pressemitteilung

Der Erfolg von Equifax
bei der Sicherheitstransformation

Open-Source-Monitoring mit Nexus Lifecycle

Equifax – Sicherheitstransformation mithilfe von Sonatype Nexus

Als Bryson Koehler (CTO) und Jamil Farshchi (CISO) nach der Sicherheitsverletzung im Jahr 2017 mit dem Wiederaufbau der technischen und sicherheitstechnischen Infrastruktur bei Equifax beauftragt wurden, galt ihre erste Sorge den kulturellen Veränderungen, die im Unternehmen stattfinden müssten, bevor eine technologische Lösung in Betracht gezogen werden könnte.  Sie mussten das Technologieteam und das Sicherheitsteam auf die gleiche Vision ausrichten. Diese Vision umfasst 57 Datenzentren, 64.000 Elemente in der ITM-Umgebung und 5.500 Datenbanken in 24 Ländern.

Der erste Schritt zur kulturellen Neugestaltung bestand darin, einen kritischen Blick auf das Team von weltweit 8.500 Technologieexperten zu werfen. Dabei stellten sie fest, dass 20 % des Teams einen technologischen Hintergrund hatten, während 80 % sich auf die Compliance und Verwaltung konzentrierten. Sie mussten ganze Teams absetzen, um neue Richtlinien durchzusetzen und das Unternehmen wissen zu lassen, dass sie es mit der Veränderung ernst meinten. Im ersten Jahr gab es im Technologieteam eine Fluktuation von 25 %. Jetzt besteht das Team zu 79 % aus technischen Fachleuten.

„Wir änderten die Berichtswege, sodass die Sicherheitsteams direkt an den CEO berichteten. Wir waren das erste börsennotierte Unternehmen, das für alle eine Sicherheitskennzahl in die Leistungsbeurteilung eingeführt hat“, so Farshchi. Die Bonusstruktur aller bonusberechtigten Mitarbeiter bei Equifax basiert auf der Erfüllung von Sicherheitsanforderungen. „Wer in der Personalabteilung tätig ist, hilft uns bei der Talentgewinnung. Wer im Finanzwesen tätig ist, stellt sicher, dass wir die Mittel haben, um unseren Verpflichtungen nachzukommen. Jede Person spielt dabei eine eigene Rolle.“

Die neue Struktur stellt sicher, dass die Teams für Informationssicherheit in die jeweils anderen Gruppen innerhalb des Unternehmens eingebettet sind. Aus der Perspektive des täglichen Betriebs werden die Grenzen zwischen Sicherheit und Technik aufgehoben. Das ist eine der größten kulturellen Verschiebungen im Unternehmen.

Farshchi beschreibt die Philosophie hinter seinem Ansatz zur unternehmensweiten Sicherheit. „Sicherheit ist das Frühwarnsystem für eine schlecht funktionierende IT-Organisation. Wenn es Sicherheitsprobleme gibt, ist das oft auf eine schlechte IT- und Technologiepraxis zurückzuführen. Wenn es in Anwendungen, die sich in Produktion befinden, Schwachstellen gibt, liegt das oft daran, dass ein manueller Prozess verwendet wird oder keine Sicherheitswerkzeuge in die CI/CD-Pipeline integriert wurden.

Site Reliability Engineers (SRE) sind für den reibungslosen Betrieb ihrer Umgebung verantwortlich. Sie konzentrieren sich auf das Verständnis der Tools und Kompetenzen, die ihnen zur Verfügung stehen. Sie müssen sicherstellen, dass alles, was sie im Einsatz haben, im vollen Umfang seiner Möglichkeiten genutzt wird. Ganz nach dem Motto: „Wir bauen es. Wir betreiben es. Wir stehen dafür gerade.“

„Wenn Sie sich nicht in dem Tempo eines Unternehmens bewegen, das gerade einen Hack hinter sich hat, dann bewegen Sie sich nicht schnell genug.“
– Jamil Farshchi, CISO, Equifax

Verwendung von Nexus Lifecycle und Nexus Repository zur Unterstützung von CI/CD in der Open-Source-Pipeline

Als Koehler und Farshchi 2018 ihre Arbeit aufnahmen, befand sich die Verwaltung von Open-Source-Bibliotheken und -Frameworks innerhalb des Unternehmens in einem sehr niedrigen Reife- und Akzeptanzstadium. Das Vorgängerteam hatte eine Due-Diligence-Prüfung durchgeführt, um lediglich die Herausforderungen der Bibliotheksverwaltung zu lösen. Mit der neuen Kultur mussten sie an einem umfassenderen und ganzheitlicheren Ansatz arbeiten. Die Nexus-Plattform mit Nexus Lifecycle und Nexus Repository war Teil dieser Lösung. Koehler dazu: „Die Nutzung der Nexus-Plattform ist jetzt nicht optional. Sie ist ein Teil des Lösungs-Stacks. Sie ist Teil des gesamten CI/CD-Denkens und der Pipeline.“ 

Koehler berichtet über den Einsatz der Nexus-Plattform zur Verwaltung und Überwachung der Produktionsumgebung. „Wenn Sie sich in Infrastructure-as-Code einarbeiten und bei der Cloud-Entwicklung die richtige Disziplin verfolgen, ist Ihr Artefakt-Repository auch Ihr Produktions-Repository. Wenn Sie wirklich einem ‚Deploy and Destroy‘-Modell folgen, sollten Sie mit absoluter Sicherheit wissen, was in der Produktion läuft. Als Teil der Lösungspipeline verwendet Equifax Nexus Lifecycle zur Echtzeit-Überwachung von Open-Source-Komponenten innerhalb der Produktion, einschließlich einer Software Bill of Materials, die anhand der in der Produktionsumgebung eingesetzten Komponenten erstellt wird.

„Wenn wir uns in unsere Cloud-Umgebungen begeben, setzen wir stets eine spezifische Disziplin durch: Wenn wir wissen möchten, wie die Produktion aussieht, müssen wir in der Lage sein, unser Repository zu betrachten und genau wissen, was hzu einem bestimmten Zeitpunkt – von einem Infrastruktur-Stack, von einem Bibliotheks-Stack, von einem Anwendungs-Stack – in der Produktion bereitgestellt wird.“

Der Einsatz der Nexus-Plattform zur Überwachung der Nutzung und des Verbrauchs von Open Source ist „wichtig für uns. Wir betrachten Patches nicht als etwas, das wir als Reaktion auf eine Schwachstelle tun. Wir betrachten Patching als etwas, das wir proaktiv tun müssen“. Während Bibliotheken und Komponenten in der Open-Source-Community aktualisiert werden, überwacht Nexus Lifecycle die Komponenten innerhalb der Produktion und benachrichtigt das Equifax-Team, wenn eine neue Version verfügbar ist. Dieser proaktive Ansatz ermöglicht es dem Team, die Produktionsqualität durch einen automatisierten Erkennungs- und Benachrichtigungsprozess hoch zu halten.

Equifax Bryson Koehler bei RSA

Die Teams müssen das in den Patches enthaltene Risiko einschätzen und wie diese sich auf die aktuelle Umgebung auswirken könnten. „Ob wir wissen, dass es eine exponierte Sicherheitslücke gibt oder wie diese ausgenutzt werden kann, ist NICHT die richtige Betrachtungsweise“, erklärt Koehler. „Wenn es ein bekanntes Problem gibt und jemand aus der Open-Source-Community es behoben hat, sollten wir es ebenfalls beheben. Wenn Sie nicht den Überblick behalten, werden Sie etwas verpassen, das wirklich wichtig ist. Wir setzen Nexus Lifecycle ein, um sicherzustellen, dass wir den Überblick behalten. Nexus Lifecycle gibt uns die Gewissheit, dass wir nichts verpassen.“

Nexus Lifecycle ist Teil des Lösungspakets, das bei der Bewertung und Abbildung dieser Risiken als Teil der fortlaufenden Erstellung von Sicherheitskennzahlen durch das Unternehmen hilft.

Vorbereitung auf die Zukunft durch den kulturellen Wandel im DevSecOps-Bereich

Equifax strebt eine siebenjährige Transformation innerhalb eines Zeitrahmens von drei Jahren an. Der Wechsel von einer „Datenbank-Perspektive“ zu Google Cloud als ihrem primären Cloud-Anbieter für Daten ermöglichte es, das Unternehmen von der Infrastruktur aufwärts zu transformieren. Die Nexus-Plattform hilft Equifax dabei, sich im Verlauf des kulturellen Wandels einen bedeutenden Wettbewerbsvorteil zu verschaffen. 

„Wir verschieben die Daten nicht, sondern wir prüfen sie erneut“, erklärt Koehler. „Das erlaubt uns, alle Regeln, ob sicherheitsrelevant oder gesetzlich vorgegeben, von Grund auf anzuwenden.“ Ein solcher Übergang wäre ohne Sicherheitsautomatisierung innerhalb der Produktionspipeline unmöglich. „Man muss dieses Gefühl der Dringlichkeit in die Unternehmenskultur einbauen. Nur so kann man auf lange Sicht wettbewerbsfähig sein.“

Farshchi stimmt zu. „Wenn Sie sich nicht im Tempo eines Unternehmens bewegen, das gerade einen Hack hinter sich hat, dann bewegen Sie sich nicht schnell genug. Wir patchen die Produktion nicht mehr. Wir stellen neue Umgebungen bereit. Dies ist eine so grundlegende Änderung des Denkens – die Datenbank in die Cloud – es ist eine vollständige Änderung der Denkweise.“

VERTRIEB KONTAKTIEREN

Möchten Sie sich selbst von Nexus-Produkten überzeugen?

Sonatype, die Entwicklungslösung der Superlative