Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Analyse LupeEiner der Gründe für das gesteigerte Interesse an Anwendungssicherheit, gerade in den letzten Jahren, ist der sichtbare Anstieg von Hackerangriffen. Schwachstellen in Web-Anwendungen und Anwendungscodes zählen dabei zu den größten Einfalltoren für Cyberkriminelle.

Es gibt mittlerweile eine Vielzahl von Testmethoden auf dem Markt. Ganz oben auf der Liste stehen statische und dynamische Analyseverfahren. Diese sollten in keiner Test-Infrastruktur fehlen. Doch was ist das und welche Vorteile bieten sie?

Static Analysis (SAST)

Die Binary-SAST-Technologie – auch bekannt als White Box-Testing – analysiert Anwendungen auf Sicherheitsschwachstellen im Code – ohne Zugang zum Quellcode zu benötigen. Die statische Binär-Analyse ist die Grundlage für die Einführung einer sicheren Entwicklung und bildet oft den ersten Schritt in der Test-Infrastruktur. Denn: Zum einem liefert sie das zurzeit umfassendste Ergebnis für Sicherheitstests von Anwendungen. Zum anderen gibt sie der Entwicklung alle notwendigen Informationen an die Hand, um die gefundenen Probleme leicht zu beheben. Ein weiteres Plus: Durch die Nutzung werden Entwickler konstant in der sicheren Software-Entwicklung geschult.

Dynamic Analysis (DAST)

Dynamic Application Security Testing (DAST) – Black Box Testing– identifiziert Schwachstellen in der Architektur und in Web-Anwendungen, bevor Cyberkriminelle diese entdecken und ausnutzen. Der Tester verfährt dabei wie die Angreifer selbst, wenn diese auf die Suche nach möglichen Angriffszielen gehen, und führt mit der dynamischen Analyse automatisiert Angriffe auf kritische Webanwendungen wie Formulare oder Online-Shops durch.

Vor- und Nachteile

Die Schwachstellen, die nur von DAST gefunden werden – darunter solche in der Deployment und Server-Konfiguration - liegen außerhalb des Anwendungscode-Kontextes, haben aber einen umfassenden Einfluss auf die Betriebslaufzeit der Anwendung. Das kann dazu führen, dass private Web-Anwendungsressourcen (z.B. Konfigurationsdateien) leaken oder auf den Betrieb über einen unsicheren Kanal herunterstufen.

Der Erfolg von dynamische Analyseverfahren beruht darauf, dass sie die Angriffsfläche einer Anwendung absuchen und analysieren. Das erfordert allerdings Zeit, um eine hohe Code-Abdeckung zu gewährleisten. Leider ist oft zu beobachten, dass Unternehmen beispielsweise aus Kostengründen die Zeitfenster für eine solche Analyse kürzen. Firmeneigene Workflows, die nicht automatisiert sind, stellen DAST ebenfalls vor Herausforderungen. Daher kann es sein, dass die Häufigkeit der von DAST entdeckten Schwachstellen die wirkliche Situation nicht korrekt abbilden kann.

Auch statische Analysen stoßen bei nicht-automatisierten, firmeneigenen Abläufen an ihre Grenzen. Denn: Ohne Ressourcen wie Datenbanken und Dateisysteme sind solche Analysen nicht wirklich verwertbar. Statische Analysen geben vor allem Auskunft über die Codequalität einer Anwendung. Codefehler sind meist sehr einfach zu beheben, weshalb statische Analysen eine höhere Fix-Rate (28 Prozent) aufweisen, als dynamische Analysen.

Nicht jedes der beiden Verfahren eignet sich für bestimmte Schwachstellen. Beide Bewertungstechniken unterscheiden sich grundlegend und weisen dadurch unterschiedliche Prävalenzen – Schwachstellenhäufigkeiten – auf:

Veracode: Testverfahren auf Fehlersuche

Anwendungsgebiete

Die Wahl des passenden Analyse-Tools hängt ganz allein vom Anwendungsgebiet ab. Möchte man eine schon bestehende Web-Anwendung testen, bietet DAST eindeutige Vorteile. Steckt eine Anwendung noch in der Entwicklungsphase, ist eine statische Analyse zu empfehlen. Allerdings reicht keines der beiden Tools aus, um eine wirklich sichere Applikation zu garantieren. Es geht nämlich nicht nur darum eine Schwachstelle zu finden, sondern sie auch zu reparieren.

Weitere Informationen zu diesem Thema finden Sie in Veracodes aktuellem State of Software Security Report hier zum Download.

http://de.veracode.net/

GRID LIST
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Industrial Security neu denken

Industrial Security ist spätestens nach dem diesjährigen Lagebericht des BSI wieder in…
Data Breach Detection

Tipps für Data Breach Detection

Mit den bewährten Best Practices dieser Checkliste können Unternehmen unerwünschte…
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet