Banken & Finanzdienstleister

BitMEX optimiert gemeinsam mit Zühlke die Sicherheitsmaßnahmen und führt DevSecOps ein

BitMEX baut sein Anwendungssicherheitsprogramm in Zusammenarbeit mit Zühlke ausgehend von seinen bestehenden branchenführenden Sicherheitsmaßnahmen weiter aus. Dazu wurden die bestehenden Sicherheitsrichtlinien mit dem Schwerpunkt auf kritischen Schutzmechanismen weiterentwickelt, sodass neue Anwendungsfunktionen stärker in den Blick rücken. 

cybersecurity
  • BitMEX wollte DevSecOps-Prozesse in den gesamten Entwicklungszyklus integrieren und so für solide Sicherheitsmaßnahmen und ein hohes Arbeitstempo der Entwicklungs- und Infrastrukturteams sorgen.
  • In enger Zusammenarbeit mit BitMEX implementierte Zühlke einen integrierten Sicherheitstestprozess, schulte das Entwicklungsteam zu sicheren Programmierverfahren und baute unter Rückgriff auf zuverlässige Informationen zu Ressourcen und Risiken eine sichere, handhabbare CI/CD-Pipeline auf. 
  • Zühlke brachte sich als verlässlicher Berater mit seinem umfassendem DevSecOps-Know-how aktiv ein und unterstützte BitMEX dabei, den Entwicklungsprozess in nur gut 12 Monaten von fallweisen Sicherheitstests auf ein systematisches DevSecOps-Modell umzustellen. 

Der Schutz der kundenseitigen Vermögenswerte ist für das Geschäftsmodell von BitMEX von entscheidender Bedeutung. BitMEX ist dafür bekannt, keine Abstriche bei der Sicherheit zugunsten der Einfachheit zu machen, und hat seit seiner Gründung noch nie Kryptogeld verloren.
Angesichts der dynamischen Sicherheitslage und der zunehmenden Beschleunigung von Softwareentwicklung und Cloud-Infrastruktur-Refactoring zeigte sich, dass es Zeit war, die traditionellen Sicherheitstestverfahren zu analysieren und zu optimieren. 
Dazu tat sich BitMEX mit Zühlke zusammen, um eine DevSecOps-Funktion mit folgenden Zielen einzuführen:

  1. Implementierung eines ganzheitlichen Sicherheitstestverfahrens
  2. Schulung des Entwicklungsteams zu sicheren Programmierverfahren
  3. Aufbau einer sicheren, handhabbaren CI/CD-Pipeline unter Nutzung zuverlässiger Informationen zu

Ressourcen und Risiken mit kontextbezogenen Datenquellen zu Cyberbedrohungen 

Mit einer globalen Marktkapitalisierung von 807 Milliarden USD im Jahr 2023 stellen Kryptowährungen mittlerweile ein potenzielles Ziel für Cyberangriffe dar. 

BitMEX ist eine der größten Handelsplattformen für Kryptowährungen und Derivate weltweit und legt höchsten Wert darauf, böswilligen Akteuren zuvorzukommen und sein Anwendungssicherheitsprogramm zu verbessern. 

Um solide Sicherheitsmaßnahmen und ein hohes Arbeitstempo der Entwicklungs- und Infrastrukturteams zu gewährleisten, hat BitMEX ein eigenes, internes DevSecOps-Verfahren eingeführt. Zühlke stellte ein globales DevOps- und Sicherheitstechnikteam zusammen und arbeitete gemeinsam mit BitMEX daran, schnell neue Schutzmechanismen und Sicherheitsprozesse einzuführen und zusätzliche Tools in die Bereitstellungspipeline zu integrieren. 

Ergebnis 1: Integration umfassender Tools für Anwendungssicherheitstests und Softwarekomponentenanalyse in die Entwicklungspipeline

Cropped shot of computer programmers working on new code

Angreifer arbeiten mit Diagrammen, um die Verbindungen in einem System zu visualisieren, in das sie eindringen wollen. Für den unbefugten Zugriff auf vertrauliche Daten und Systeme nutzen sie eine Kombination aus Schwachstellen oder mangelhaften Kontrollen aus. Insbesondere bei CI/CD-Pipelines lässt sich die Abhängigkeit zwischen den miteinander verbundenen Phasen und Komponenten ausnutzen, um Schadcode in die Produktion einzuschleusen.

Deshalb legten Zühlke und BitMEX den Schwerpunkt zunächst darauf, die potenziellen Risiken durch Lateral Movement und Artefaktkontamination in der CI/CD-Pipeline neu zu beurteilen und zuzuordnen.

Florian-Alexandre Bielak BitMEX
„ Mit Unterstützung durch die passenden Expertinnen und Experten, optimierten Prozessen und einer Auswahl konsolidierter Sicherheitstools als Basis konnte BitMEX eine Abwehr aufbauen, die die Wirksamkeit unseres Sicherheitssystems als Ganzes verstärkt. “
Florian-Alexandre Bielak
Chief Information Security Officer, BitMEX

Verbleibende Schwachstellen in Drittanbietersoftware oder nicht gepatchter Infrastruktur können jedoch ebenso großen Schaden anrichten wie ein erfolgreicher Social-Engineering-Angriff auf Systemadministratoren, bei dem ihre Anmeldedaten kompromittiert werden. Um dieses Restrisiko zu reduzieren, werden Kontrollmechanismen zu ihrer Erkennung, proaktiven Bekämpfung und Kompensation benötigt.

Die Sicherheit von BitMEX wurde durch die gemeinsame Überprüfung von statischen Analysen, dynamischem Scanning, Secret-Scanning und Softwarekomponentenanalyse weiter verbessert. Dadurch wurde auch ein „Shift-Left“-Ansatz in die Sicherheitstests integriert, der sicherstellt, dass Sicherheitsaspekte bei der Softwareentwicklung möglichst frühzeitig berücksichtigt werden.  

Entwicklungs-, Betriebs- und Sicherheitsteams übernahmen gemeinsam Verantwortung und schufen so die Voraussetzungen für einen agilen Rahmen, der vom Entwurf bis zur Implementierung in alle Aspekte der Entwicklung eingebettet ist, flexible Ausfallsicherungsmechanismen inklusive. 

Ergebnis 2: Ressourcensicherheitskontrollen und Configuration-as-Code

developers tablet

Mit der Bereitstellung eines Angriffsflächenmanagementprogramms für Cyberressourcen kann BitMEX Bedrohungen nun priorisieren und Ressourcen durchgängig auf neue Arten verdächtiger Aktivitäten hin überwachen. 

Man kann nie ganz sicher sein, dass während der eigenen Abwesenheit niemand zu Hause einbricht – genauso wenig ist Verlass darauf, dass Netzwerke gegen Angriffe immun sind. Deshalb kommt es auf eine proaktive Einstellung an. Informationsquellen zu Cyberbedrohungen liefern Erkenntnisse zu den Zielen und Taktiken von Angreifern. Die Verknüpfung der Informationen zu Schwachstellen in einer Organisation mit der potenziellen Wirkung liefert quantifizierbare Daten, anhand derer BitMEX seine Entscheidungsprozesse priorisieren kann.  

Mit dem Wechsel von implizitem Vertrauen zu einer durchgängigen Beurteilung von explizitem Vertrauen verbessert BitMEX die Sicherheitskontrollen. Dazu werden kontextbasierte Signale aus vereinheitlichten Endpunktverwaltungs- und IdP-Systemen genutzt.  

Um die Herausforderungen durch komplexere IdP-Authentifizierungsrichtlinien zu managen und zu bewältigen, führten die beiden Partner „Configuration-as-Code“ ein, meist als GitOps bezeichnet. Dieser Ansatz standardisiert die Konfiguration, erleichtert die Versionsverwaltung und erlaubt Änderungen mit Kollegenkommentaren einschließlich einer umfassenden historischen Verfolgung und der nötigen CI-Prüfungen.

Mit diesem konzeptionellen Wandel gelang es BitMEX, sich von einem „Click-Ops“-Modell zu lösen, sodass sich Änderungskontrollen trotz wachsender Komplexität besser steuern lassen. 

kaushal silva profile picture
„ BitMEX und Zühlke eint eine sehr ähnliche Einstellung. Wir sind ein Team, das den Mut haben darf, sich zu äußern, andere herauszufordern und Herausforderungen anzunehmen, und wir räumen dem Erfolg der Organisation stets oberste Priorität ein. “
Kaushal Silva Ranpatabendige
Lead Engagement Manager, Zühlke

BitMEX stellte seinen Entwicklungsprozess in nur gut 12 Monaten von fallweisen Sicherheitstests auf ein systematisches DevSecOps-Modell um.  

Die Zusammenarbeit mit Zühlke war erfolgreich und erreichte das doppelte Ziel eines hohen Sicherheitsniveaus bei einem gleichzeitig zügigen Softwareentwicklungstempo.  

Ruchi Singhal
Ansprechpartner für Singapur

Ruchi Singhal

Head of Financial Services Asien

Ruchi ist eine erfahrene Technologie-Expertin mit mehr als 20 Jahren Erfahrung in der IT-Branche und war bereits bei globalen Finanzinstituten, Unternehmen und Start-ups tätig. Als Leiterin verschiedener interdisziplinärer Teams ist sie für die Entwicklung und den Support erfolgreicher digitaler Lösungen, Produkte und Plattformen für den Finanzdienstleistungssektor verantwortlich. Ihre Leidenschaft ist die Lösung komplexer Geschäftsprobleme mithilfe innovativer digitaler Lösungen, die Transformation und Wachstum fördern.

Kontakt
Vielen Dank für Ihre Nachricht.