1. Het Uber-lek was het topje van de ijsberg

Het lek bij Uber haalde groot het nieuws in de laatste weken van 2017, maar het zou niet zo nieuwswaardig moeten zijn. Gegevens van 57 miljoen gebruikers kwamen op straat te liggen doordat ontwikkelaars een veelgebruikte workaround hadden toegepast om inloggegevens in een software repository te beheren. Hierdoor kregen hackers toegang tot privileged accounts. Die ontwikkelaars zijn niet uniek hierin. Het is een beproefde methode, en veel gebruikt omdat er simpelweg geen handige manier is om veilig met verschillende tools te werken.

Organisaties slagen er niet in om security makkelijk te maken voor DevOps-gebruikers. Dat frustreert en biedt ruimte aan fouten. Ontwikkelaars zijn niet per se security-specialisten. Ze zijn verantwoordelijk voor features en functionaliteit, niet direct voor hoe gebruikersgegevens worden beheerd in een organisatie. Het wereldwijde onderzoek Advanced Threat Landscape toonde aan dat de meeste bedrijven niet helder hebben waar gebruikersgegevens worden opgeslagen, zelfs de inloggegevens met hogere rechten.

We zullen dus meer lekken als bij Uber zien dit jaar. Uit het onderzoek kwam naar voren dat ontwikkelaars zich bezig houden met security-issues die helemaal niet op hun bordje horen te liggen. Niet vreemd dat daar dingen fout gaan. Bovendien zullen we ook oudere lekken zien, want uit het Threat Landscape Report kwam ook naar voren dat de helft van de bedrijven geen klanten inlicht bij gegevensdiefstal. Schokkend misschien, niet zo verrassend.

2. Security is een full-time baan in het DevOps team, en er is een tekort aan talent in DevSecOps.

DevOps lijkt dé weg te zijn voor versnelde innovatie, en bedrijven zetten er vol op in, maar zijn niet voorbereid of nemen niet de juiste mensen aan om deze omgevingen te beveiligen. Dit tekort aan talent wordt dit jaar zichtbaar. Veel organisaties verwachten van de DevOps-ontwikkelaars, zonder security-ervaring, dat ze 'dit er ook nog maar even bijdoen'. Dat is niet langer houdbaar, als het dat al ooit is geweest, gezien de groeiende bedreigingen voor DevOps workflows en de risico's in het beheren van scripts, platformen en systemen.

DevOps-specialisten zijn populair, en dat zal alleen maar meer worden dit jaar omdat je niet alleen de tools nodig hebt, maar ook de mensen die ermee om kunnen gaan. Security wordt een full-time baan in DevOps workflows, en er zullen maar een paar mensen zijn die dat goed kunnen.

3. Identiteiten krijgen een nieuwe betekenis in DevOps

Steeds meer bedrijven zien in dat "identiteit" niet goed is ingebed in de volledige enterprise stack. Het ontbreekt aan standaarden om machines te identificeren, toegangscontrole en -beheer uit te voeren, en audits te doen in een veelzijdigheid aan platformonderdelen. Het bedrijf is zo sterk als de zwakste schakel. Dit kan een VM zijn, een container of elk van de vele andere platformlagen in een netwerk. Nu deze matrixen groeien, worden ze nog moeilijker te beheren.

Het vereist een sterke definitie van machine-identiteiten in sterk geautomatiseerde systemen die gevoelige data verwerken. Ik verwacht dat we binnenkorte concepten uit human access management terug gaan zien in beheer van machines. Het DevOps team moet door het proces gaan van "wie ben je, wat ben je, wat wil je?" voor machines. Op die manier zijn security best practices toe te passen en zijn machines te limiteren in wat ze kunnen/mogen doen, zonder dat het operationele activiteiten in de weg staat. Hiermee worden DevOps-omgevingen veiliger en is de stap te maken naar DevSecOps.