Anzeige

Checkliste

Applikationssicherheit ist ein so umfangreiches wie komplexes Feld. Cyberbedrohungen nehmen weiter zu und ständig drängen neue AppSec-Anbieter auf den Markt. Das macht die Einschätzung, was man wann wie tun sollte oftmals schwierig.

Wer seine Anwendungen vor Bedrohungen schützen will, muss sich durch einen wahren Dschungel an Produkten, Diensten und Lösungen kämpfen. Die vorliegende Checkliste zur Anwendungssicherheit enthält 11 Best Practices, die Ihnen als Orientierung dienen, um Anwendungen und Daten optimal zu schützen. 

Die komplette Checkliste zur Applikationssicherheit

11 Best Practices zur Risikominimierung und zum besseren Schutz von Daten.

1. Beseitigen Sie Schwachstellen bevor Anwendungen in Produktion gehen. Um Anwendungssicherheit zu gewährleisten, bevor der Entwicklungsprozess abgeschlossen ist, sollten Sie Sicherheitsbelange umfassend berücksichtigen: in den Entwicklungsteams (Mitarbeiter), in den Prozessen und bei den verwendeten Tools (Technologie).

2. Kümmern Sie sich um Sicherheit in Architektur, Design sowie bei Open-Source- und Fremdkomponenten. Wenn Sie lediglich in Ihrem proprietären Code nach Fehlern suchen oder Penetrationstests im System durchführen, übersehen Sie vermutlich eine nicht unbeträchtliche Anzahl von Schwachstellen in Ihrer Software.

3. Setzen Sie Sicherheitstools ein, die sich in die Entwicklerumgebung integrieren lassen. Eine Möglichkeit ist ein IDE Plugin zu verwenden, mit dem Entwickler die Ergebnisse von Sicherheitstests direkt in der verwendeten IDE zurückgemeldet bekommen. Also noch während sie an dem betreffenden Code arbeiten.

4. Stellen Sie sich einen "AppSec-Werkzeuggürtel" zusammen. Hier sollten sämtliche Lösungen greifbar sein, die helfen, Risiken zu senken. Ein effektiver AppSec-Werkzeuggürtel sollte integrierte Lösungen enthalten, die Risiken bei der Anwendungssicherheit von Anfang bis Ende angehen. Die Tools sollten Schwachstellen in proprietärem Code, bei Open-Source-Komponenten sowie innerhalb von Laufzeitkonfiguration und -verhalten erkennen.

5. Analysieren Sie Ihr Risikoprofil, damit Sie Ihre Anstrengungen bündeln können. Um zu wissen, worauf es ankommt, brauchen Sie ein Team erfahrener Sicherheitsexperten. Dieses Team analysiert ein Anwendungsportfolio schnell und effektiv und ermittelt das spezifische Risikoprofil für jede Anwendung und deren Umgebung.

6. Entwickeln Sie ein Programm, um im Bereich AppSec Kompetenzen auf- und auszubauen. Vergewissern Sie sich, dass Sie sich auf die Maßnahmen konzentrieren, die einen maximal positiven Einfluss auf das Softwaresicherheitsprogramm haben, und die gleichzeitig möglichst geringe Kosten verursachen. 



7. Schulungen zu den Chancen und Risiken von AppSec. Qualitativ hochwertige Schulungen unterstützen Sicherheitsteams ihre Kompetenz in Sachen Applikationssicherheit zu verbessern.

8. Stocken Sie das interne Personal auf, um Qualifikations- und Ressourcenlücken zu schließen. Finden Sie einen vertrauenswürdigen Partner, der On-Demand Expertentests durchführt, die Ressourcenzuweisung optimiert und kosteneffizient eine vollständige Testabdeckung Ihres Portfolios gewährleistet.

9. Stellen Sie sicher, dass Sie die Risiken und Kontrollmaßnahmen Ihres Cloud-Sicherheitsanbieters verstehen. Es ist wichtig, dass alle Abteilungen informiert und von Vorneherein in den Prozess einbezogen sind. Die Teams in der Unternehmenssicherheit, der Entwicklung und im Betrieb müssen wissen, wie sie mit den neu aufgedeckten Sicherheitsrisiken umgehen, die bei einer Migration in die Cloud auftreten.

10. Entwickeln Sie einen strukturierten Plan, um Sicherheitsinitiativen mit der Cloud-Migration zu koordinieren. Sobald Sie die Risiken vollständig verstanden haben, erstellen Sie einen Fahrplan für Ihre Cloud-Migration. So gehen Sie sicher, dass alle Teams koordiniert handeln und die Prioritäten klar sind.

11. Erstellen Sie Sicherheitspläne, die Best Practices der Cloud-Sicherheit beschreiben. Solche Pläne unterstützen Entwicklungsteams und Systemintegratoren dabei, Cloud-Anwendungen sicherer zu entwickeln und zu implementieren.

Erstellen Sie Ihre eigene Checkliste zum Aktionsplan

Anwendungssicherheit ist kein Ereignis und schon gar kein einmaliges. Sie ist eher eine kontinuierliche Reise. Wer Applikationssicherheit effektiv umsetzen will, der kommt nicht umhin, Sicherheit in den gesamten Software Development Life Cycle (SDLC) einzubauen, und das ohne Lieferzeiten zu verlängern. Mit diesen Best Practices sind Sie auf dem richtigen Weg.  

 
Boris Cipot, Senior Security Engineer
Boris Cipot
Senior Security Engineer, Synopsys Software Integrity Group

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyber Security
Jun 29, 2020

Messer fallen lassen und Hände weg vom AppSec-Budget!

Nehmen wir an, das Amt für Wasserversorgung stünde vor einer plötzlichen Krise, die den…
Glückliche Entwickler
Apr 08, 2020

Ausgereifte DevSecOps-Verfahren beeinflussen Entwicklerzufriedenheit

Sonatype veröffentlicht die Ergebnisse seiner siebten jährlichen DevSecOps Community…
2020 Prognose
Dez 16, 2019

Drei Prognosen zur Anwendungssicherheit für 2020

Veracode identifiziert die drei wichtigsten Trends im Bereich Anwendungssicherheit für…

Weitere Artikel

Dropbox

Dropbox enthüllt neue Features für virtuelle Teams

Dropbox hat die neueste Version seiner digitalen Arbeitsbereiche für die Zusammenarbeit, Dropbox Spaces, zusätzlich zu vielen neuen Features veröffentlicht, die Teams beim Organisieren von Inhalten und Zusammenarbeiten an jedem Standort unterstützen.

Die 3 Anforderungen kleiner Unternehmen an Unternehmenssoftware

Software ist für Unternehmen eines der wichtigsten Arbeitsmittel der heutigen Zeit: Mit ihrer Hilfe werden Unternehmensprozesse geplant, ausgeführt, ausgewertet und optimiert. Das würde auch oft kleinen Unternehmen helfen, obwohl diese das oft noch nicht…
Business-Software

Fünf Prinzipien für den Aufbau einer intelligenten DataOps-Kultur

Daten gehören wohl zu den kritischsten Vermögenswerten moderner Unternehmen und sind von entscheidender Bedeutung für jegliche Anwendungen. Im zunehmend datengetriebenen Geschäftsumfeld entwickeln sich "DataOps" zu einer Methode, mit der Unternehmen Kontrolle…
Unternehmenssoftware

3 Anforderungen kleiner Unternehmen an Unternehmenssoftware

Software ist für Unternehmen eines der wichtigsten Arbeitsmittel der heutigen Zeit: Mit ihrer Hilfe werden Unternehmensprozesse geplant, ausgeführt, ausgewertet und optimiert. Das würde auch oft kleinen Unternehmen helfen, obwohl diese das oft noch nicht…
DevOps

DevOps-Entwicklung braucht passende Rahmenbedingungen

Viele Unternehmen sind noch nicht in der Lage, das enorme Potenzial von DevOps auszuschöpfen. Gründe dafür sind, so der Münchner IT-Dienstleister Consol, interne Widerstände, ungeeignete Prozesse, eingefahrene Methoden, eine zu starre Kultur und mangelnde…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!