Die Bedeutung von Fix Rates in der Anwendungssicherheit

Wenn ein Tool für Anwendungssicherheit im Einsatz ist, gibt es mehrere Kennzahlen, anhand derer sich die Effizienz des Tools ablesen und optimieren lässt. Typischerweise achten Unternehmen dabei auf Faktoren wie Scan Rate, Flaw Density und Compliance.

Allerdings verfolgen nur relativ wenige Anwender die sogenannte Fix Rate, obwohl diese ein wichtiger Indikator in Sachen Sicherheit ist. Die Fix Rate gibt an, wie lange es dauert, bis ein Team die Sicherheitslücken behebt, die bei Scans gefunden werden. Sie errechnet sich folgendermaßen:

Anzeige

Fix Rate = Fixed Flaws / (Fixed + Open Flaws)

Betrachtet man die Fix Rate über einen gewissen Zeitraum, erkennt man die durchschnittliche Geschwindigkeit, mit der Sicherheitslücken geschlossen werden.

Kennzahlen wie Scan Rate und Compliance sind zweifellos von hoher Bedeutung, doch die Fix Rate nimmt eine besonders wichtige Position ein, denn letztendlich reicht es nicht, Schwachstellen nur ausfindig zu machen – solange sie nicht behoben sind, bleiben sie ein Risiko.

Wie hoch ist die durchschnittliche Fix Rate?

Für den Bericht State of Software Security Vol. 9 (SoSS) hat Veracode Daten aus 700.000 Scans analysiert, die über einen Zeitraum von 12 Monaten zwischen April 2017 und März 2018 durchgeführt wurden. Dabei entstand ein klares Bild davon, wie es um Fix Rates bestellt ist.

Die durchschnittliche Zeitspanne zwischen der Entdeckung einer Schwachstelle und deren Behebung ist alarmierend. Innerhalb einer Woche werden nur etwa 15 Prozent der entdeckten Sicherheitslücken geschlossen. Innerhalb eines Monats steigt die Rate auf 30 Prozent. Nach drei Monaten sind es gerade einmal 45 Prozent.

Betrachtet man die Fix Rates nach Fehlertypen, stellt sich heraus, dass Unternehmen großen Aufwand betreiben, um ihre kritischsten Sicherheitslücken zeitnah zu schließen. 75 Prozent dieser Sicherheitslücken werden 100 Tage früher behoben als vermeintlich weniger gefährliche Schwachstellen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Warum sind Fix Rates wichtig?

Geschwindigkeit ist entscheidend, wenn es um Anwendungssicherheit geht. Hacker benötigen allenfalls Stunden oder Tage, um Exploits für neu entdeckte Schwachstellen zu finden. Erkannte Schwachstellen nicht sofort zu beheben stellt ein erhebliches Risiko dar – besonders wenn es sich dabei um Schwachstellen mit hohem Schweregrad handelt.

Selbstverständlich müssen schwerwiegende Sicherheitslücken unverzüglich geschlossen werden. Dennoch sind die schlechten Fix Rates für „kleinere“ Schwachstellen ein signifikantes Problem. Oftmals erweisen sich Sicherheitslücken mit geringem Schweregrad als besonders riskant. Auch ein geringfügiger Informations-Leak kann genau das richtige Maß an Systemwissen liefern, das ein Angreifer benötigt.

Die entscheidende Frage lautet: Was könnten Unternehmen tun, um ihre Fix Rates zu verbessern?

1. Prioritäten richtig setzen

Unternehmen müssen eine effektive Methode zur Priorisierung von Schwachstellen entwickeln.

Nicht alle Apps erfordern im Security-Kontext das gleiche Maß an Aufmerksamkeit. Bei einer Anwendung, die öffentlich zugänglich ist und Komponenten von Drittanbietern enthält, sollten alle mittleren bis kritischen Schwachstellen unverzüglich behoben werden. Darüber hinaus sollte man sich nicht nur darüber im Klaren sein, wie schwerwiegend eine Schwachstelle ist, sondern auch, welche Möglichkeiten es gibt, sie auszunutzen.

2. Mehr scannen

Der neueste SoSS Report zeigt, dass die Unternehmen, die am häufigsten scannen auch die höchsten Fix Rates aufweisen. Die Daten zeigen einen starken Zusammenhang zwischen der Scan Rate und der Geschwindigkeit, mit der Schwachstellen behoben werden. Jeder Schritt zur Erhöhung der Scan Rate führt zu kürzeren Fix-Intervallen. Dieser Prozess des regelmäßigen Scannens und der damit verbundenen graduellen Behebung von Schwachstellen kann unter dem Begriff „DevSecOps“ zusammengefasst werden.

3. Mehr Prävention

Wenn Programmierer über die nötigen Fähigkeiten verfügen, können Sicherheitslücken in vielen Fällen von vornherein vermieden werden, was sowohl Kapazitäten für ihre spätere Behebung spart, als auch Risiken verringert. Die meisten Entwickler sind im Hinblick auf sicheres Coding jedoch nicht geschult. Die Forschung von Veracode hat gezeigt, dass sich die Fix Rate von Unternehmen erheblich verbessert, wenn Entwickler eine entsprechende Fortbildung erhalten. Wer seinem Entwickler-Team E-Learning-Angebote zur sicheren Programmierung anbietet, kann seine Fix Rate erheblich verbessern.

www.veracode.com
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.