zurück zur Übersicht

Web Application Security Health Check

Gehört diese Webseite wirklich zu meiner Organisation? Deckt unsere WAF (Web Application Firewall) wirklich alle produktiven Webanwendungen ab? Ist die alte Applikation seit 2015 tatsächlich inaktiv? Diese Fragen stellt sich ein Unternehmen heutzutage häufig. Doch viele Organisationen sind nicht in der Lage, eine genaue Angabe über die aktuellen Anwendungen zu machen. Einige Beispiele für Webseiten, die sich oft nicht im Blickfeld der Verantwortlichen befinden: temporäre Marketing Webseiten, neue Domänen nach Mergers & Acquisitions (M&A) oder erreichbare Disaster-Recovery-Webseiten.

Web Applikationen auf Platz 1 der angegriffenen Applikationen

Genau diese Einstiegspunkte werden in Risikoanalysen oft mit einer niedrigen Sicherheitskritikalität versehen. Das führt dazu, dass sie oft ohne Überwachung bleiben und von Angreifern genutzt werden können, um in ein Netzwerk einzudringen. So können sie letztlich auch auf sensitive Anwendungen zugreifen. Laut den letzten Forschungsergebnissen des SANS Reports „2016 State of the Application Security“ sind Webanwendungen mit über 40% am häufigsten in Sicherheitsvorfälle verwickelt.

Die Vorsorge für diese Herausforderungen besteht aus zwei Schritten:

  1. Regelmäßige Discovery Scans zur Kategorisierung der Web Assets und Aufbau eines Inventories.
  2. Regelmäßige Basis Scans, die schnell und ohne Aufwand
    1. die wichtigsten technischen Parameter wie Server Header und Protokoll liefern,
    2. gegen die häufigsten Schwachstellenkategorien wie OWASP TOP 10 testen.

Web Application Security Health Check
Abbildung 1: Ergebnisse eines Web Discovery Scans

Benutzerfreundlichkeit und die Möglichkeit, gezielte Scans durchzuführen und passende Handlungsempfehlungen für die Behebung von Schwachstellen zu erhalten, gelten als selbstverständliche Anforderungen. Es ist vorteilhaft, wenn die Scan-Ergebnisse und die daraus abgeleiteten weiteren Schritte im Remediation-Prozess für die verschiedenen Stakeholder zugänglich gemacht und verständlich aufbereitet werden. Dies erfüllt eine Web-Plattform am besten.

Web Application Security Health Check als Sofortmaßnahme

iT-CUBE bietet im Rahmen eines “Web Application Security Health Check” einen Test an, in dem schnell und ohne Aufwand (keine Installation erforderlich) Web Assets und deren Sicherheitslage bestimmt werden können. Nach dem der Scope des Scans (IP-Adressen und Domänen) bestimmt wurde, wird ein Discovery Scan durchgeführt. Beim Review der Ergebnisse werden dadurch Assets identifiziert, die mit einem sogenannten Massive Parallel Scan genauer untersucht werden sollen. Ist dieser abgeschlossen, werden die Ergebnisse in einem Workshop präsentiert und Lösungsvorschläge diskutiert, die gefundene Schwachstellen beheben und das Sicherheitsniveau der Web Assets nachhaltig verbessern. Wollen Sie mehr zum Thema Web Application Security erfahren, dann kontaktieren Sie uns!

 

Schreibe einen Kommentar