Anzeige

Programmierer

2020 brachte zahlreiche Herausforderungen für Unternehmen. Viele Arbeitnehmer mussten aufgrund der COVID-19-Pandemie über Nacht von Zuhause arbeiten. Sie benötigen daher sichere Arbeitsumgebungen, die gleichzeitig den Zugang zu allen relevanten Anwendungen ermöglichen.

Der Verizon 2020 Data Breach Investigations Report zeigte nun, dass Cyberkriminelle diese Umstellung ausnutzen, um neue Wege zu finden, Anwendungen anzugreifen. Um dies zu verhindern, müssen Unternehmen ihre IT-Infrastrukturen kontinuierlich auf Schwachstellen untersuchen. Die beste Methode um Anwendungen nachhaltig zu schützen, ist die Kombination von Manual Penetration Testing (MTP) und der Automatisierung der AppSec-Prozesse. Julian Totzek-Hallhuber, Solution Architect bei Veracode, klärt auf.

Die digitale Welt ist stets im Wandel: Während für den ersten State of Software Security Report von Veracode im Jahr 2009 1.591 Anwendungen untersucht wurden, stieg diese Zahl in 2020 auf 85.000. Auch der prozentuale Anteil von Anwendungen mit Schwachstellen nahm zu: in 2009 enthielten 72 Prozent der gescannten Anwendungen mindestens eine Schwachstelle und in diesem Jahr sind es 83 Prozent. Neben der gestiegenen Zahl an Anwendungen und Schwachstellen verändert sich gleichzeitig auch die Arbeitswelt. Im Zuge der COVID-19-Pandemie und der damit einhergehenden steigenden Zahl von Mitarbeitern im Home-Office müssen alle Anwendungen flexibel, effizient und sicher über die physischen Grenzen des Unternehmens hinweg verfügbar sein. Um potentiellen Angreifern einen Schritt voraus zu sein, können IT-Experten verschiedene Methoden nutzen: Günstig und schnell ist ein Rückgriff auf Technologien zur Automatisierung in der Anwendungssicherheit. Dabei fehlt den Algorithmen jedoch ein tieferes Verständnis für Geschäftsprozesse, das Menschen beim kosten- und zeitintensiveren MTP bieten können.

Menschliche Expertise für Anwendungssicherheit: Manual Penetration Testing

Sogenannte Pen-Tester arbeiten beim MTP mit verschiedenen Tools, um manuell Schwachstellen bei Anwendungen aufzudecken. Neben diesen identifizieren sie auch mögliche Folgen eines Angriffs. Dieser Prozess bringt verschiedene Vorteile mit sich. Zum einen wird im MTP die einzigartige und individuelle Kreativität der Pen-Tester genutzt und deren menschliches Verständnis für komplexe Geschäftsprozesse. Durch den Rückgriff auf vielfältige Tools können die Tester potentielle Gefahren explorativ identifizieren. Außerdem ermöglicht MTP In-Depth-Tests und gibt so einen detaillierten Überblick über den Status Quo der Sicherheit der Anwendungen, der wiederum mithilfe der menschlichen Expertise der Tester evaluiert und analysiert werden kann.

Gleichzeitig bringt MTP aber auch gewisse Nachteile mit sich. So gestaltet sich die Integration des Verfahrens in den Entwicklungsprozess oftmals schwierig und verlangsamt bestimmte Aktivitäten innerhalb der IT. Soll das gesamte Anwendungsportfolio überprüft werden, entstehen zusätzlich noch hohe Kosten. Des Weiteren können IT-Experten zwischen den einzelnen Tests noch selbst Sicherheitslücken verursachen, die davor nicht da waren. Auch können die Ergebnisse der Untersuchungen zwischen den einzelnen Testern variieren, wodurch Ambiguitäten entstehen, die den Prozess wiederum verlangsamen.

Automatisierung für umfassende Erkenntnisse

Die Automatisierung der AppSec-Prozesse hingegen erfolgt durch die Integration eines kontinuierlichen Scans in den DevOps-Prozess und das Sicherheitsmanagement des Unternehmens.

Dieser Ansatz bietet im Vergleich zu MTP andere wichtige Vorteile. IT-Experten können Automatisierung direkt in die Entwicklungsprozesse integrieren und bei Bedarf alle Stadien des Vorgangs überprüfen. Dies spart nicht nur Zeit, sondern ermöglicht eine zusätzliche Skalierbarkeit der Technologie. Dadurch können alle Anwendungen eines Unternehmens effektiv und nachhaltig gescannt werden. Auch der Kostenfaktor bei der Automatisierung stellt einen Vorteil gegenüber MTP dar. Durch automatisierte Prozesse im AppSec-Programm können Unternehmen mit geringen Kosten umfassende Sicherheitsrichtlinien etablieren.

Aber auch Automatisierung hat seine Schattenseiten. Traditionelle Automatisierungstechnologien können nur Sicherheitsrisiken abwehren, die sie bereits kennen. Schwachstellen mit unbekannter Struktur können in dieser Methode also nicht erkannt und abgewehrt werden, hierzu bedarf es die menschliche, kreative Analysekompetenz der Tester. Sollten die automatisierten Prozesse auf On-Premise-Tools durchgeführt werden, ergibt sich ein weiterer Problempunkt. In diesem Falle kann die Zertifizierung bzw. Evaluierung der Risiken nicht zwangsläufig als unabhängig betrachtet werden.

Risiken explorativ identifizieren und Anwendungen automatisiert sichern

Unternehmen müssen jetzt erkennen, dass es nicht „Entweder-oder“ heißt, wenn es um eine optimale Anwendungssicherheit geht. MTP bietet sich vor allem an, wenn es gilt, geschäftskritische Anwendungen zu überprüfen oder neue Arten von Cyberangriffen zu identifizieren. Durch die Automatisierung hingegen kann ein skalierbares AppSec-Programm zur Verfügung gestellt werden, das das Anwendungsportfolio umfassend schützt. Unternehmen profitieren letztlich also von einer Kombination aus menschlicher Expertise und Kreativität sowie einer Automatisierung der AppSec-Prozesse.

www.veracode.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Checkliste
Jul 22, 2020

Checkliste Applikationssicherheit

Applikationssicherheit ist ein so umfangreiches wie komplexes Feld. Cyberbedrohungen…
Cybercrime Code
Jun 09, 2020

Simulierte Cyberattacken: Übungen als Schutz vor Cyberrisiken?

Immer mehr IT-Abteilungen vertrauen auf Penetrationstests oder Bug-Bounty-Programme und…
Budget
Sep 08, 2019

Tipps für die Aufstockung des AppSec-Budgets

Sicherheitsabteilungen jonglieren heutzutage mit einer Vielzahl von Initiativen und…

Weitere Artikel

Programmierer

Die Vorteile von Snap einfach erklärt

Die heutige Digitalisierung in Unternehmen bietet Programmierern und Softwareentwicklern eine willkommene Spielwiese. Sie sind gefragter denn je und helfen bei der Entwicklung neuer Technologien und Programme weiter, die den Arbeitsalltag erleichtern. Die…
SaaS

3 Schlüsselfaktoren für zukunftssichere SaaS-Cloud-Plattformen

Die unternehmensinterne IT-Infrastruktur gereicht manchmal zum Mysterium: Sehr große Cloud-Systeme, eine wachsende Anzahl an Microservices und zusätzlich bringt Homeoffice dutzende neue Schnittstellen, die es zu sichern gilt. Kurzum: Das alles zeigt, dass es…
Change Management

Erfolgreiches Change Management in Software-Integrationsprojekten

Komplexe Integrationsvorhaben in der Softwareentwicklung sind oft zeitaufwendig. IT-Dienstleister Consol nennt sieben Best Practices, mit denen Unternehmen Change-Management-Prozesse in Software-Integrationsprojekten beschleunigen können.
Mitarbeiter Team

Der Faktor „Mensch“ in der Softwareentwicklung

Im Jahr 2021 wird das Konzept von DevOps noch stärker an Relevanz gewinnen. Immer mehr Unternehmen müssen und werden erkennen, dass es bei DevOps nicht nur um Tools und Automatisierung geht, sondern vor allem um Menschen und Prozesse.
RMM

Remote Monitoring Management: Tipps zur Auswahl eines RMM-Tools

Im Zuge der COVID-19-Pandemie setzt sich der Trend zur Telearbeit und zum Arbeiten von zu Hause aus fort. Dies macht den Einsatz herkömmlicher IT-Lösungen für viele Unternehmen zu einer Herausforderung.
Buchhaltung

Einkauf und Buchhaltung durch Digitalisierung entlasten

Angesichts großflächiger Home-Office-Arbeit treiben Unternehmen derzeit im Eiltempo die Digitalisierung und Automatisierung dokumentenbasierter Geschäftsprozesse voran. Damit die Beschäftigten von ihren Arbeitsplätzen zuhause aus unterbrechungsfrei und…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!