Aikido

Wie Oncourse während einer unternehmensweiten digitalen Transformation Transparenz über Laufzeitanwendungen gewann

Ein kundenorientiertes Dienstleistungsunternehmen ersetzte manuelle Sicherheitsprozesse und statische WAF-Kontrollen durch Transparenz über Laufzeitanwendungen, was Sicherheitsteams hilft, echte Bedrohungen zu priorisieren, die Behebungsgeschwindigkeit zu verbessern und eine unternehmensweite digitale Transformation zu unterstützen.

Auf einen Blick

  • Einführung von Laufzeit-Selbstschutz für Anwendungen (RASP) mit Aikido Zen Firewall
  • Erweiterte Sicherheitstransparenz von der IDE über CI/CD bis zur Laufzeit
  • Verbesserte Behebungsgeschwindigkeit durch KI-gestützte Priorisierung und Behebungsempfehlungen
  • Erreichen der SLA-Ziele für die Behebung während einer groß angelegten digitalen Transformation
  • Ermöglichte Sicherheitsberichte auf Führungs- und Vorstandsebene
  • Reduzierung des Sicherheitsrauschens und Fokussierung der Teams auf die wichtigsten Schwachstellen
  • Sicherheit direkt in die Workflows der Entwickelnden integriert

Herausforderung

Oncourse Home Solutions betreibt kundenorientierte digitale Dienste, die zunehmend auf Cloud-Infrastruktur, moderne Anwendungen und digitale Erlebnisse angewiesen sind. Als das Unternehmen eine umfassendere digitale Transformation beschleunigte, nahm die Anwendungskomplexität rapide zu. Neue Cloud-Dienste, Integrationen und kundenorientierte Funktionen erhöhten sowohl die Geschäftschancen als auch die Angriffsfläche der Organisation.

Für Chief Information Security Officer Joshy Alappat bestand die Herausforderung darin, sicherzustellen, dass sich die Sicherheit im gleichen Tempo wie das Geschäft entwickeln konnte.

„Wir befanden uns in einer digitalen Transformation, in der wir viele Cloud-Dienste und komplexe Strukturen integrierten, und wir sahen, wie sich unser Bedrohungsprofil veränderte.“

Das Sicherheitsteam hatte bereits Tools implementiert, doch ein Großteil des Prozesses blieb manuell.

Verschiedene Tools generierten Ergebnisse, Teams überprüften Logs, und Sicherheitsanalysten verbrachten viel Zeit damit, herauszufinden, welche Probleme tatsächlich Aufmerksamkeit erforderten. Es fehlte eine einheitliche Sicht auf das Risiko und eine zuverlässige Methode zur Priorisierung von Sicherheitsmaßnahmen.

„Wir hatten Tools implementiert, aber es war ein manueller Prozess. Uns fehlte eine einheitliche Sichtweise und eine klare Priorisierung.“

Gleichzeitig stützte sich die Sicherheitsarchitektur der Organisation stark auf traditionelle Web Application Firewalls und Netzwerkkontrollen.

Obwohl diese Tools für viele Szenarien effektiv waren, erforderten sie ständiges Tuning und Regelwartung. Zu verstehen, was blockiert wurde, warum es blockiert wurde und wie sich Änderungen auf Produktionsanwendungen auswirken würden, führte oft zu operativem Mehraufwand.

„Die Herausforderung bei WAFs besteht darin, das Regelwerk zu aktualisieren und herauszufinden, was blockiert wird, ohne die Anwendung herunterzufahren.“

Das Team benötigte eine Lösung, die Einblick in laufende Anwendungen bieten und gleichzeitig Entwickelnden und Sicherheitsteams helfen konnte, auf einer gemeinsamen Informationsbasis zu arbeiten.

Lösung

Im Rahmen seiner Modernisierungsinitiative evaluierte Oncourse mehrere Sicherheitsplattformen. Eine Anforderung wurde schnell deutlich: Sicherheit musste über traditionelles Pre-Deployment-Scanning hinausgehen. Das Team wollte Einblick in das, was tatsächlich in laufenden Anwendungen geschah, nicht nur das, was statische Scans vor der Veröffentlichung identifizieren konnten.

Aikido stach hervor, da es Laufzeitschutz durch Zen Firewall mit breiteren Anwendungssicherheitsfunktionen über den gesamten Softwareentwicklungslebenszyklus hinweg kombinierte. Die Einführung begann mit Zen Firewall und wurde schrittweise auf Entwicklungs- und Bereitstellungs-Workflows ausgeweitet.

Heute ist Sicherheit direkt in IDEs, CI/CD-Pipelines, Jira-Workflows und Laufzeitumgebungen integriert.

Anstatt einen separaten Sicherheitsprozess einzuführen, wurde Aikido Teil der Art und Weise, wie Software bereits entwickelt und bereitgestellt wurde. Die Akzeptanz durch die Entwickelnden spielte eine wichtige Rolle bei der Entscheidung. Laut Joshy nahmen die Engineering-Teams die Plattform schnell an, weil sie umsetzbare Anleitungen lieferte, anstatt zusätzliche Reibung zu erzeugen.

Die Kombination aus Laufzeit-Transparenz und KI-gestützter Priorisierung veränderte auch die Herangehensweise des Sicherheitsteams an das Risikomanagement. Anstatt große Mengen von Warnmeldungen manuell zu überprüfen, konnten sich die Teams auf Schwachstellen konzentrieren, die ein signifikantes Risiko für Produktionssysteme darstellten. Die Plattform bot zudem direkte Behebungsanleitungen, die an den Code selbst gebunden waren, wodurch Entwickelnde viel schneller von der Identifizierung zur Behebung übergehen konnten als zuvor.

Ergebnisse

Das bedeutendste Ergebnis war die Effizienz. Anstatt Zeit mit der manuellen Untersuchung von Ergebnissen, der Pflege statischer Regeln oder der Bestimmung, welche Schwachstellen Aufmerksamkeit verdienen, zu verbringen, kann sich das Sicherheitsteam direkt auf die wichtigsten Probleme konzentrieren.

„Aikido ist Effizienz. Es hilft uns zu priorisieren, was wir schützen müssen, und keine Zeit mit Dingen zu verschwenden, die nicht wesentlich sind.“

Die Behebungsgeschwindigkeit verbesserte sich dramatisch.

Zuvor identifizierten Teams Schwachstellen und verbrachten dann zusätzliche Zeit damit, betroffenen Code zu lokalisieren, die Auswirkungen zu verstehen und die korrekte Behebung zu bestimmen. Heute erhalten Entwickelnde klare Behebungsanleitungen direkt neben den Ergebnissen.

„Die Zeit bis zur Behebung hat alles verändert.“

Die Plattform half der Organisation auch, Behebungs-SLA-Ziele während einer Phase schneller Veränderungen konsistent einzuhalten. Als das Unternehmen seine digitale Präsenz erweiterte, wurden Sicherheitsverpflichtungen, die einst ambitioniert schienen, erreichbar. Sicherheit wurde einfacher zu operationalisieren und einfacher zu messen. Das Team konnte Fortschritte im Hinblick auf Transformationsziele verfolgen, die Abdeckung über Anwendungen hinweg demonstrieren und Ergebnisse der Geschäftsleitung und dem Vorstand kommunizieren.

Laut Joshy wurde die Fähigkeit, diese Verpflichtungen einzuhalten, zu einem der größten Erfolge des Programms.

„Wir haben etwas versprochen, und wir konnten es liefern. Das war enorm.“

Anstatt sich ausschließlich auf Perimeter-Kontrollen und statische Regelwerke zu verlassen, verfügt Oncourse nun über eine kontinuierliche Transparenz über den gesamten Anwendungslebenszyklus, von der Entwicklung bis zur Produktion. Das Ergebnis ist ein Sicherheitsprogramm, das Innovationen unterstützt, ohne sie zu verlangsamen.

Wie Oncourse Aikido heute nutzt

Derzeit im Einsatz

  • Zen Firewall (Laufzeitschutz für Anwendungen)
  • IDE-Integrationen
  • CI/CD-Sicherheitsscanning
  • Priorisierung von Schwachstellen und Leitfaden zur Behebung
  • Jira Workflow-Integrationen

Als Nächstes geplant

  • Umfassendere Anwendungsabdeckung im gesamten Unternehmen
  • Zusätzliche Entwickelnde Workflow-Integrationen
  • Verbesserte Sicherheitsberichte für Führungskräfte und Vorstände

Fazit

„Aikido ist Effizienz. Es hilft uns zu priorisieren, was wir schützen müssen, und keine Zeit mit Dingen zu verschwenden, die nicht wesentlich sind.“

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.