zurück zur Übersicht

Was bringt das Jahr 2018 in der Anwendungssicherheit?

Die Welt, in der moderne Anwendungen entwickelt, getestet und installiert werden, hat sich in den letzten 2-3 Jahren erheblich verändert. Agile Software-Entwicklungsmethodiken, ein sehr hoher Automatisierungsgrad und nicht sinkende Zahlen von Verwundbarkeiten haben allerdings auch zu Entwicklungen im Secure Software Development Lifecycle und der Application Security geführt. In diesem Artikel möchte ich meine 8 Prognosen in dem Bereich Applikationssicherheit mit Fokus auf Webanwendungen und mobile Anwendungen schildern.

Mehr Fokus auf den Schutz von REST API

Immer mehr Webanwendungen setzen auf eine API Schicht, die Entkoppelung von Frontend und Backend darstellt.  In der neuen Welt mit vielen API Endpoints muss die Authentifizierung (oder auch Autorisierung) mit minimaler Latenz zuverlässig erfolgen. Oft wird von einem IdP (Identity Provider) dafür ein JWT Token ausgestellt.

Ungenügend geschützte APIs sind ein häufiger Befund bei den Penetrationstesten der Webanwendungen und Webservices. “Underprotected APIs” war übrigens auch ein Kandidat für die Liste der OWASP TOP 10, hat sich aber am Ende doch nicht klassifiziert.

Statt nur auf auffindbare Methoden wie WAF und Plattform-Runtime zu setzen, wird es empfohlen, bereits bei dem Design ein entsprechendes modernes Sicherheitskonzept für die Authentifizierung und Autorisierung zu erarbeiten. Dabei sollte die unterliegende Plattform das Konzept am besten nativ unterstützen oder zumindest technisch „gedulden“ können. Verfügbarkeit von den APIs ist auch eine essentielle Anforderung und kann außer Ausfallzeiten auch für unerwartete Rechnungen sorgen. API Keys und API-Gateways kommen hier zu Hilfe.

Software Composition Analysis gewinnt an Bedeutung

Automatisierte statische Code-Analyse hat sich mittlerweile im SDLC gut etabliert. Der Vorteil dabei ist, dass sie sehr früh in dem Prozess eingesetzt werden kann. Obwohl für diesen Zweck sowohl Qualität als auch Sicherheit getestet werden sollten, brauchen die heutigen Prozesse schnelle Ergebnisse von der Analyse nach dem Motto „ Test early, fail early/fast“. Die Security Code Review dauert je nach Komplexität zwischen einigen Minuten bis Stunden. Einen schnelleren Überblick über die bekannten Schwachstellen und Verstöße der externen Komponenten liefert die Software Composition Analysis. Innerhalb von maximal ein paar Minuten werden diese Informationen ermittelt.

Da heutzutage viele Anwendungen aus externen Open-Source Komponenten bestehen, nimmt die Wichtigkeit dieser Analyse zu. Darüber hinaus ist diese Technologie generell reif genug, um sie vernünftig in den Build Prozess zu integrieren.

Schnelle gute Ergebnisse wichtiger als langsame vollständige Ergebnisse

Im Zusammenhang mit dem zweiten Punkt (Software Composition Analysis) stellt sich eine Tatsache in den Vordergrund – bei der Testautomatisierung ist Geschwindigkeit von elementarer Bedeutung. Eine Build-Pipeline enthält typischerweise viele Tests, die nach dem erfolgreichen Build angestoßen werden. Ein Test, der bei Continuous Integration und Deployment 4 Stunden dauert, um vollständige Ergebnisse zu liefern, hat wenig Chancen auf Akzeptanz.

2018 und vorwärts werden wir sehen, dass neben den neu entwickelten Tools aus den Build/Development Ecken, die sehr gut in dem Build Prozess integrierbar sind und bei DevOps beliebt sind, die alten Tools nur so überleben können, dass sie über Skalierbarkeit in der Public oder Privat Cloud, Parallelismus, inkrementelle Analyse und ein hohes Maß an Integrierbarkeit in den CI/CD Prozess verfügen.

Application Security in der Cloud und Microservices

Immer mehr Teams setzen auf Microservices, die völlig unabhängig voneinander entwickelt werden können und so auch konzipiert werden. Microservices kommunizieren über das Netzwerk mithilfe von synchronen und asynchronen Protokollen wie HTTP und AMQP. Durch die steigende Anzahl von Nodes kann jedoch die Komplexität in der Architektur deutlich steigen, was auch die Anpassung der Security-Maßnahmen erfordert.

Netzwerksegmentierung auf verschiedene Zonen ist ein fundamentales Sicherheitskonzept. In einer Umgebung wie der Public Cloud sollte man allerdings davon ausgehen, dass jeder Node falsch konfiguriert oder sogar kompromittiert werden könnte (was zu Lateral Movement führen kann).

Aus diesem Grund werden die Sicherheitsmaßnahmen auf der Anwendungsschicht, die auch gut skalieren können, unverzichtbar. TLS –Verschlüsselung, OAuth 2.0, OpenID Connect sind hier bewährte Protokolle, die aber auch richtig umgesetzt werden müssen.

Absicherung und Monitoring von Serverless Computing

Das Konzept Serverless Computing oder auch Post-Container Welt genannt, bietet weitere Entkoppelung zwischen der Anwendung und Infrastruktur. Für den Konsumenten bedeutet das, dass er sich völlig auf seine Anwendung (sprich: Funktionen) konzentrieren kann. Die Server, auf denen der Code läuft, werden von dem Cloud-Provider betrieben und gepatcht. Die ausgeführte Software muss logisch vor Unbefugten geschützt werden. Da diese Technologie On-Demand ausgeführt wird und aus Prinzip Stateless ist, ist Monitoring und Auditierung von Aufrufen und Policies eine anspruchsvolle aber dennoch wichtige Aufgabe.

Frühere Integration von dynamischen Scans

Automatisierte dynamische Scans und Penetrationstests werden oft erst kurz vor dem Go-Live gemacht, wenn alle anderen technischen Tests erfolgreich durchgeführt wurden. Eine Möglichkeit, negative Überraschungen in dieser Phase zu vermeiden, ist, einen passiven dynamischen Scan schon in den Build Prozess zu integrieren. So könnte ein Web Proxy passiv die von anderen Tools getesteten Aufrufe abhören und so einige banale Schwachstellen schnell melden.

Mehr Fokus auf Javascript-Sicherheit

Keine Überraschung hier: viele Webanwendungen basieren auf JS-Frameworks, die zum Glück an die Sicherheit von Anfang an denken. Eingebaute Funktionen gegen klassische Attacken, für Eingabevalidierung oder Schutzmechanismen gegen CSRF Attacken unterstützen Entwickler.

Neue JS Attacken wie Cryptojacking stellen größere Ansprüche an den Endpoint-Schutz, Browser-Sicherheit und Sicherheit der Webanwendungen.

Bösartige und unsichere mobile Apps nehmen nicht ab

Auch wenn die Betriebssysteme auf den Smartphones und Tablets immer sicherer werden, bleibt der Fokus auf sicheren mobilen Apps. Lokale Haltung von sensitiven Daten wie personenbezogene oder Krankendaten muss auch in Zusammenhang mit der Einhaltung der DSGVO (EU-Datenschutzgrundverordnung) kritisch betrachtet werden.

Haben Sie andere Prognosen, wie es mit der Application Security weitergehen könnte dieses Jahr? Dann teilen Sie diese mit uns!

 


Bild: ©iT-CUBE SYSTEMS AG 2018

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer