Erfahren Sie, wie Sie Cyber-Risiken in den sich ständig weiterentwickelnden Webanwendungen erkennen und reduzieren können.
Rapid7 AppSec-LösungVon webbasierten E-Mails bis hin zu Online-Shopping und Online-Banking: Immer mehr Unternehmen stellen Ihre Dienste direkt im Web-Browser der Kunden bereit, sodass keine komplexen Installationen oder Rollouts von Updates mehr erforderlich sind. Darüber hinaus führen Unternehmen interne Webanwendungen für das Finanzwesen, automatisiertes Marketing und sogar für die interne Kommunikation ein, die häufig selbst entwickelt oder zumindest auf ihre spezifischen Bedürfnisse abgestimmt sind.
Auch wenn Webanwendungen für Unternehmen und Kunden gleichermaßen bequem sind, macht ihre gute Erreichtbarkeit sie zu einem beliebten Angriffsziel für Cyberkriminelle. Daher sind Sicherheitstests für Webanwendungen oder das Scannen und Testen von Webanwendungen auf Risiken ein Muss.
Wie der Verizon Data Breach Investigations Report 2018 zeigt, sind unter den bestätigten Datenschutzverletzungen Webanwendungen ein beliebtes Angriffsziel, und in einigen Branchen stehen bis zu 41 % der Datenschutzverletzungen im Zusammenhang mit Webanwendungen. Der Bericht zeigt auch, dass etwa die Hälfte der Datenschutzverletzungen im Zusammenhang mit Webanwendungen über mehrere Monate oder noch länger andauerten, bevor Sicherheitsteams sie entdeckten. Je länger ein Angreifer Zugriff auf die Systeme hat, desto mehr Schaden kann entstehen. Angreifer müssen so schnell wie möglich entdeckt und entfernt werden, aber das ist oft einfacher gesagt als getan.
Durch die zunehmende Zahl von Angriffen auf Webanwendungen verfeinern und testen Angreifer ihre Methoden, und diese werden dadurch immer raffinierter. Selbst wenn ein Unternehmen beim Schutz gegen gängige Angriffe auf Webanwendungen die bewährten Verfahren (wie die OWASP Top Ten) befolgt, ist dies möglicherweise nicht ausreichend. Das Eindringen in Webanwendungen kann für Kriminelle lukrativ sein – sie sind daher motiviert, die neuesten und besten Angriffsmethoden und -tools zu nutzen, und manchmal erhalten sie Unterstützung aus den Kreisen des organisierten Verbrechens. Unternehmen tun sich schwer, solche Kräfte alleine zu bekämpfen.
Manchmal sind Webanwendungen auch so komplex, dass sie die Systeme, die geschaffen wurden, um Angriffe automatisch zu erkennen, in die Irre führen. Deshalb reichen häufig genutzte Tools wie die Intrusion Detection alleine nicht aus, und Sicherheitstests für Webanwendungen können diese Lücken füllen.
Dynamic Application Security Testing (DAST): DAST, ein dynamisches Testverfahren, beinhaltet die Suche nach Schwachstellen in einer Webanwendung, die ein Angreifer ausnutzen könnte. Diese Testmethode wird benutzt, um Schwachstellen zu finden, auf die Angreifer es abgesehen haben könnten, und herauszufinden, wie die Angreifer von außen in das System eindringen könnten. Tools für Dynamic Application Security Testing benötigen keinen Zugriff auf den ursprünglichen Quellcode der Anwendung, sodass Tests mit DAST schnell und oft durchgeführt werden können.
Static Application Security Testing (SAST): SAST, ein statisches Testverfahren, setzt eher im Inneren der Anwendung an, d. h. im Gegensatz zu DAST wird nach Schwachstellen im Quellcode der Webanwendung sucht. Da bei SAST auf den Quellcode der Anwendung zugegriffen wird, bietet die Methode eine Momentaufnahme der Sicherheit der Webanwendung in Echtzeit an.
Application Penetration Testing: Penetrationstests beinhalten ein menschliches Element. Sicherheitsexperten versuchen zu imitieren, wie Angreifer in eine Web-App eindringen könnten. Dazu verwenden sie sowohl ihr persönliches Sicherheitswissen als auch eine Vielzahl von Tools für Penetrationstests, um auf diese Weise Schwachstellen zu finden, die ausgenutzt werden könnten. Wenn Sie im eigenen Haus nicht über die Ressourcen verfügen, können Sie auch externe Firmen mit Penetrationstests Ihrer Webanwendungen beauftragen.
1) Wenn ein System von kritischer geschäftlicher Bedeutung ist, sollte es häufig getestet werden: Alle Systeme, bei denen Kundendaten gespeichert werden – einschließlich Kreditkartennummern, persönlich identifizierbarer Informationen (PII) oder alle sonstigen sensiblen Informationen – sollten auf Sicherheitslücken geprüft werden. Dies ist oftmals auch eine Anforderung zahlreicher Compliance-Richtlinien von staatlichen Stellen oder Branchenverbänden. Beachten Sie dies, wenn Sie sich Gedanken über den möglichen Umfang von Sicherheitstests für die Webanwendungen in Ihrem Unternehmen machen.
2) Je früher im Lebenzyklus einer Software Sicherheitstests stattfinden, desto besser: Sie sollten mit den Sicherheitstests nicht bis zum letzten Entwicklungsschritt Ihrer Software warten, denn unweigerlich werden Schwachstellen gefunden werden und das kann erhebliche Verzögerungen im Entwicklungs- und Wartungsprozess nach sich ziehen. Sorgen Sie dafür, dass Sicherheit früh im Entwicklungszyklus (SFDC) berücksichtigt wird, am besten unter voller Einbindung Ihres Entwicklungsteams (DevOps), denn dadurch können Sie schneller reagieren, Risiken minimieren und Kosten und Zeitaufwand für die Problemlösung (Remediation) reduzieren.
3) Sorgen Sie, indem Sie Remediation und Bug Fixes Priorität einräumen, dafür, dass die Entwicklerteams nicht vom Kurs abkommen: Oftmals besteht das Ergebnis von Sicherheitstests für Webanwendungen aus einer Liste mit Punkten, die die Entwicklung zu einem bestimmten Zeitpunkt abarbeiten muss. Von den Sicherheitsteams werden diese als Schwachstellen bezeichnet, während Entwickler sie Bugs nennen. Wichtig dabei ist jedoch, dass dem DevOps-Team nicht einfach eine Liste mit diesen Problemen auf den Schreibtisch gelegt wird, sondern dass die Schwachstellen nach Priorität geordnet und komplett in das vorhandene Bug-Tracking-System integriert werden, um die Zeit bis zur Remediation maximal zu verkürzen.
Die Sicherheit von Webanwendungen ist heute wichtiger denn je. Durch die Implementierung eines Sicherheitscanners für Webanwendungen und die Einhaltung einiger grundsätzlicher Best Practices für Tests und Remediation können Unternehmen ihre Risiken deutlich senken und dazu beitragen, ihre Systeme vor Angriffen zu schützen.