BitMEX optimiert gemeinsam mit Zühlke die Sicherheitsmaßnahmen und führt DevSecOps ein

• BitMEX wollte DevSecOps-Prozesse in den gesamten Entwicklungszyklus integrieren und so für solide Sicherheitsmaßnahmen und ein hohes Arbeitstempo der Entwicklungs- und Infrastrukturteams sorgen.

• In enger Zusammenarbeit mit BitMEX implementierte Zühlke einen integrierten Sicherheitstestprozess, schulte das Entwicklungsteam zu sicheren Programmierverfahren und baute unter Rückgriff auf zuverlässige Informationen zu Ressourcen und Risiken eine sichere, handhabbare CI/CD-Pipeline auf.

• Zühlke brachte sich als verlässlicher Berater mit seinem umfassendem DevSecOps-Know-how aktiv ein und unterstützte BitMEX dabei, den Entwicklungsprozess in nur gut 12 Monaten von fallweisen Sicherheitstests auf ein systematisches DevSecOps-Modell umzustellen.

Der Schutz der kundenseitigen Vermögenswerte ist für das Geschäftsmodell von BitMEX von entscheidender Bedeutung. BitMEX ist dafür bekannt, keine Abstriche bei der Sicherheit zugunsten der Einfachheit zu machen, und hat seit seiner Gründung noch nie Kryptogeld verloren.
Angesichts der dynamischen Sicherheitslage und der zunehmenden Beschleunigung von Softwareentwicklung und Cloud-Infrastruktur-Refactoring zeigte sich, dass es Zeit war, die traditionellen Sicherheitstestverfahren zu analysieren und zu optimieren. 
Dazu tat sich BitMEX mit Zühlke zusammen, um eine DevSecOps-Funktion mit folgenden Zielen einzuführen:

1. Implementierung eines ganzheitlichen Sicherheitstestverfahrens
2. Schulung des Entwicklungsteams zu sicheren Programmierverfahren
3. Aufbau einer sicheren, handhabbaren CI/CD-Pipeline unter Nutzung zuverlässiger Informationen zu

Ressourcen und Risiken mit kontextbezogenen Datenquellen zu Cyberbedrohungen 

Mit einer globalen Marktkapitalisierung von 807 Milliarden USD im Jahr 2023 stellen Kryptowährungen mittlerweile ein potenzielles Ziel für Cyberangriffe dar. 

BitMEX ist eine der größten Handelsplattformen für Kryptowährungen und Derivate weltweit und legt höchsten Wert darauf, böswilligen Akteuren zuvorzukommen und sein Anwendungssicherheitsprogramm zu verbessern. 

Um solide Sicherheitsmaßnahmen und ein hohes Arbeitstempo der Entwicklungs- und Infrastrukturteams zu gewährleisten, hat BitMEX ein eigenes, internes DevSecOps-Verfahren eingeführt. Zühlke stellte ein globales DevOps- und Sicherheitstechnikteam zusammen und arbeitete gemeinsam mit BitMEX daran, schnell neue Schutzmechanismen und Sicherheitsprozesse einzuführen und zusätzliche Tools in die Bereitstellungspipeline zu integrieren. 

Angreifer arbeiten mit Diagrammen, um die Verbindungen in einem System zu visualisieren, in das sie eindringen wollen. Für den unbefugten Zugriff auf vertrauliche Daten und Systeme nutzen sie eine Kombination aus Schwachstellen oder mangelhaften Kontrollen aus. Insbesondere bei CI/CD-Pipelines lässt sich die Abhängigkeit zwischen den miteinander verbundenen Phasen und Komponenten ausnutzen, um Schadcode in die Produktion einzuschleusen.

Deshalb legten Zühlke und BitMEX den Schwerpunkt zunächst darauf, die potenziellen Risiken durch Lateral Movement und Artefaktkontamination in der CI/CD-Pipeline neu zu beurteilen und zuzuordnen.

Verbleibende Schwachstellen in Drittanbietersoftware oder nicht gepatchter Infrastruktur können jedoch ebenso großen Schaden anrichten wie ein erfolgreicher Social-Engineering-Angriff auf Systemadministratoren, bei dem ihre Anmeldedaten kompromittiert werden. Um dieses Restrisiko zu reduzieren, werden Kontrollmechanismen zu ihrer Erkennung, proaktiven Bekämpfung und Kompensation benötigt.

Die Sicherheit von BitMEX wurde durch die gemeinsame Überprüfung von statischen Analysen, dynamischem Scanning, Secret-Scanning und Softwarekomponentenanalyse weiter verbessert. Dadurch wurde auch ein „Shift-Left“-Ansatz in die Sicherheitstests integriert, der sicherstellt, dass Sicherheitsaspekte bei der Softwareentwicklung möglichst frühzeitig berücksichtigt werden.  

Entwicklungs-, Betriebs- und Sicherheitsteams übernahmen gemeinsam Verantwortung und schufen so die Voraussetzungen für einen agilen Rahmen, der vom Entwurf bis zur Implementierung in alle Aspekte der Entwicklung eingebettet ist, flexible Ausfallsicherungsmechanismen inklusive. 

Mit der Bereitstellung eines Angriffsflächenmanagementprogramms für Cyberressourcen kann BitMEX Bedrohungen nun priorisieren und Ressourcen durchgängig auf neue Arten verdächtiger Aktivitäten hin überwachen. 

Man kann nie ganz sicher sein, dass während der eigenen Abwesenheit niemand zu Hause einbricht – genauso wenig ist Verlass darauf, dass Netzwerke gegen Angriffe immun sind. Deshalb kommt es auf eine proaktive Einstellung an. Informationsquellen zu Cyberbedrohungen liefern Erkenntnisse zu den Zielen und Taktiken von Angreifern. Die Verknüpfung der Informationen zu Schwachstellen in einer Organisation mit der potenziellen Wirkung liefert quantifizierbare Daten, anhand derer BitMEX seine Entscheidungsprozesse priorisieren kann.  

Mit dem Wechsel von implizitem Vertrauen zu einer durchgängigen Beurteilung von explizitem Vertrauen verbessert BitMEX die Sicherheitskontrollen. Dazu werden kontextbasierte Signale aus vereinheitlichten Endpunktverwaltungs- und IdP-Systemen genutzt.  

Um die Herausforderungen durch komplexere IdP-Authentifizierungsrichtlinien zu managen und zu bewältigen, führten die beiden Partner „Configuration-as-Code“ ein, meist als GitOps bezeichnet. Dieser Ansatz standardisiert die Konfiguration, erleichtert die Versionsverwaltung und erlaubt Änderungen mit Kollegenkommentaren einschließlich einer umfassenden historischen Verfolgung und der nötigen CI-Prüfungen.

Mit diesem konzeptionellen Wandel gelang es BitMEX, sich von einem „Click-Ops“-Modell zu lösen, sodass sich Änderungskontrollen trotz wachsender Komplexität besser steuern lassen. 

BitMEX stellte seinen Entwicklungsprozess in nur gut 12 Monaten von fallweisen Sicherheitstests auf ein systematisches DevSecOps-Modell um.  

Die Zusammenarbeit mit Zühlke war erfolgreich und erreichte das doppelte Ziel eines hohen Sicherheitsniveaus bei einem gleichzeitig zügigen Softwareentwicklungstempo.