zurück zur Übersicht

Ist Ihre Webanwendung bedroht?

Die Web Applikation absichern ist wichtig, um Netzwerk und Image vor Schaden zu bewahrenWebanwendungen gehören zu den beliebtesten Angriffsvektoren von Cyber-Kriminellen. Aber es gibt verschiedene Ansätze, wie Firmen ihre Web-Applikationen überprüfen und schützen können. Grundsätzlich kann man zwischen reaktiven und präventiven Methoden unterscheiden, wenn man eine Webapplikation absichern will.

In diesem Artikel betrachten wir alle Kontrollen als reaktiv, die nach der Inbetriebnahme einer Anwendung erfolgen, um diese gegenüber den Kontrollen abzugrenzen, die in der Entwicklungsphase erfolgen.

Webapplikation absichern durch reaktive Methoden

Es gibt immer noch viele Organisationen, die sich nur auf reaktive Methoden verlassen und keine Maßnahmen während der Design-, Entwicklungs- und Testphase erarbeitet haben.
Zu den Verfahren zählen unter anderem:

  • Automatisierte dynamische Scans
  • Penetrationstests
  • Echtzeitschutz der Anwendung über eine WAF (Web Application Firewall) oder RASP (Runtime Application Self-Protection);
  • Anbindung von Anwendungslogs an zentrale SIEM oder Log Management Systeme

Alle diesen Maßnahmen sind sinnvoll und komplementär zu den präventiven Methoden. Die reaktiven Methoden sind meist, mit Ausnahme von RASP und Anwendungslogs, als Black-Box-Tests zu betrachten.

Webapplikation absichern durch präventive Methoden

Im Gegensatz zu reaktiven Methoden ist das Schließen von Schwachstellen in der Regel schneller und billiger. Die Sichtbarkeit erfolgt innerhalb einer Anwendung und die Dokumentation ist vorhanden (White-Box). (Hingegen müssen die Schritte in der entsprechenden Phase richtig geplant werden.

Zu dieser Kategorie gehören:

  • Security Awareness
  • Sicherheitsanforderungen
  • Sicheres Design
  • Design und Code Review
  • Statische Code Analyse

Richtiger Ansatz?

Ob präventive oder reaktive Maßnahmen zuerst implementiert werden sollten, ist situationsabhängig. Faktoren die hier eine Rolle spielen sind Zeit, Risikoappetit und bestehende Sicherheitsmaßnahmen. Wird das Ganze als Vor-Ort-Variante betrachtet, kann die Umsetzung von reaktiven Methoden schneller erfolgen. Jedoch ist die sogenannte “Time-to-fix” länger und damit teurer.

Bevor man sich für die eine oder andere Lösungsvariante entscheidet, ist es von Vorteil, zuerst die relevanten Assets zu identifizieren, deren Risiken zu definieren und sie den existierenden Sicherheitskontrollen zu zu ordnen. Falls das Unternehmen schon einen gewissen Überblick über die potenziellen Gefahren in der Anwendungslandschaft hat, ist es zu empfehlen, Applikationsspezialisten in die Analyse einzubinden. Solche Analysen bestehen dann aus Threat Modeling und Risikoanalyse. Bei der Risikoanalyse ist es wichtig, nicht nur die möglichen Arten von Angriffen zu identifizieren, sondern auch deren Kritikalität zu bewerten.

Basieren auf den Ergebnissen der Analyse können die ersten Schritte einer Strategie definiert werden. Mindestens eine Form eines Tests wird immer empfohlen, um das Resultat mit der vorigen Analyse zu vergleichen. Danach wird entschieden wie die Schwachstellen zu behandeln sind. Wenn die Behebung nicht adhoc möglich ist, ist reaktiver Schutz meist der erste Schritt um Risiken zu minimieren. Langfristig sollten kritische Schwachstellen jedoch direkt in der Software behoben werden.

Wie kann ein Software Security Assurance Programm definiert werden, um die notwendigen Maßnahmen umzusetzen? Was sollte bei der Risikoanalyse und Threat Modeling betrachtet werden und was kann als Leitfaden verwendet werden? Welche Tools kann man in den verschiedenen Phasen des SDLC (Software Development Life Cycle) einsetzen und wie funktionieren sie? Wie können die Ergebnisse interpretiert werden? Welche potenziellen Herausforderungen können bei der Analyse entstehen? Wo liegt der Unterschied zwischen einer RASP Lösung und einer WAF?

Die Antworten zu diesen Fragen und viele praktische Beispiele können Sie bei unserem Training vom 7. bis 11. März in München erfahren.

Details finden Sie unter http://www.knowledgegap.de/trainings/hp-fortify/

Schreibe einen Kommentar