Auf einen Blick
- Ersetzte sechs separate AppSec-Tools durch eine einzige, vereinheitlichte Plattform
- Reduzierte Sicherheitsrauschen und verbesserte Schwachstellenpriorisierung
- Verbesserte Zusammenarbeit zwischen Sicherheits- und Entwicklungsteams
- Sorgte für eine schnellere Time-to-Value und Behebung
- Bereitstellung klarer Sicherheits-Dashboards für die Sichtbarkeit der Führungsebene
- Ermöglichte Sicherheitsteams, als Leitplanken statt als Blocker zu agieren
Herausforderung
Als virtuelle Chief Information Security Officer (vCISO), die unter anderem für Prove tätig ist, hilft Amanda Hartle Unternehmen dabei, moderne Sicherheitsprogramme zu konzipieren und zu betreiben. In vielen Umgebungen stieß sie auf ein ähnliches Muster: Applikationssicherheits-Stacks waren im Laufe der Zeit organisch gewachsen.
Jedes Tool wurde eingeführt, um ein spezifisches Problem zu lösen. Einzeln betrachtet waren sie sinnvoll. Doch zusammen bildeten sie ein fragmentiertes und schwer zu verwaltendes Ökosystem.
“In einer Umgebung hatten wir allein für AppSec sechs verschiedene Tools. Jedes erzeugte eigene Alerts, Dashboards und Workflows."
Im Laufe der Zeit begann der Security-Stack dem zu ähneln, was Amanda als ein “Frankenstein”-System beschreibt; zusammengestückelt aus mehreren Tools, die nie dafür konzipiert wurden, als eine einzige Plattform zu funktionieren.
Diese Fragmentierung führte zu mehreren operativen Herausforderungen:
- Sich überschneidende Alerts über mehrere Tools hinweg
- Keine einheitliche Sicht auf das Applikationssicherheitsrisiko
- Schwierigkeiten bei der Priorisierung von Schwachstellen
- Reibung zwischen Sicherheitsteams und Entwickelnden
Sicherheitsprogramme, die auf zu vielen voneinander getrennten Tools basieren, verlangsamen Teams oft, anstatt ihnen zu helfen, schneller voranzukommen. Für Amanda widerspricht dieses Ergebnis direkt der Philosophie, die sie in ihre Arbeit als vCISO einbringt.
Sicherheit sollte Entwickelnde befähigen
Amanda ist der Meinung, dass Sicherheit Engineering-Teams unterstützen sollte, anstatt sie auszubremsen.
“Sicherheit sollte Engineering-Teams nicht blockieren. Sie sollte Leitplanken bieten, die ihnen helfen, schneller voranzukommen.”
Das erfordert jedoch Tools, die Entwickelnde tatsächlich nutzen möchten. Wenn Sicherheitstools zu viele Alerts generieren oder den Wechsel zwischen mehreren Systemen erfordern, wird es für Entwickelnde schwierig zu verstehen, was tatsächlich behoben werden muss.
Ziel war es, den Security-Stack zu vereinfachen und gleichzeitig sowohl Sicherheits- als auch Engineering-Teams eine klarere Sicht auf reale Risiken zu ermöglichen.
Lösung
Nach der Evaluierung mehrerer Optionen wählte Prove Aikido Security als Grundlage seines Applikationssicherheitsprogramms.
Aikido konsolidiert mehrere Sicherheitsfunktionen in einer einzigen Plattform und integriert sich direkt in die Workflows der Entwickelnden. Anstatt Alerts über mehrere Tools hinweg zu korrelieren, sehen Teams nun Schwachstellen, Priorisierungsinformationen und Behebungsanleitungen an einem Ort.
Diese Umstellung ermöglichte es dem Sicherheitsteam, sich auf die Schwachstellen zu konzentrieren, die tatsächlich relevant sind.
Warum Prove sich für Aikido entschied und die Auswirkungen
Während des Evaluierungsprozesses priorisierte Amanda Tools, die den Security-Stack vereinfachen und sich gleichzeitig nahtlos in die Engineering-Workflows integrieren ließen.
Mehrere Faktoren stachen hervor:
- Konsolidierung mehrerer AppSec-Tools in einer Plattform
- Klare Schwachstellenpriorisierung statt überflüssiger Benachrichtigungen
- Nahtlose Integration in Entwickelnden-Workflows
- Schnelle Bereitstellung und rasche Time-to-Value
Der Ersatz von sechs separaten Tools vereinfachte den Security Stack und reduzierte den operativen Aufwand. Entwickelnde konnten Probleme zudem schneller beheben, da Schwachstellen direkt an die Codebasis gebunden waren.
Amanda beschreibt die Erfahrung oft mit einer einfachen Analogie:
„Wäre Aikido ein Auto, wäre es ein Porsche.“
Leistungsstark, effizient und darauf ausgelegt, ohne unnötige Komplexität Leistung zu erbringen.
Fazit
Durch die Konsolidierung von sechs separaten Tools in einer einzigen Plattform half Aikido Prove, sein Application Security Programm zu vereinfachen und gleichzeitig die Schwachstellenpriorisierung zu verbessern.
Anstatt einen fragmentierten Stack zu verwalten, haben Sicherheitsteams nun einen klareren Überblick über Anwendungsrisiken und können sich darauf konzentrieren, das Wichtigste zu schützen, ohne die Entwicklung zu verlangsamen.
Wie Amanda zusammenfasst:
„Wenn man ein Tool findet, das diese Art von Time-to-Value und schnellere Behebung liefert, verändert das die Arbeitsweise von Sicherheitsteams.“
Das Ergebnis ist eine einfachere Art, Application Security Programme zu betreiben: eine Plattform statt eines Flickenteppichs von Tools.
