What is Application Security?

Application security is the discipline of processes, tools and practices aiming to protect applications from threats throughout the entire application lifecycle. Cyber criminals are organized, specialized, and motivated to find and exploit vulnerabilities in enterprise applications to steal data, intellectual property, and sensitive information. Application security can help organizations protect all kinds of applications (such as legacy, desktop, web, mobile, micro services) used by internal and external stakeholders including customers, business partners and employees.

Why Application Security?

As validated by multiple studies, the majority of successful breaches target exploitable vulnerabilities residing in the application layer, indicating the need for enterprise IT departments to be extra vigilant about application security. To further compound the problem, the number and complexity of applications is growing. Ten years ago, the software security challenge was about protecting desktop applications and static websites that were fairly innocuous and easy to scope and protect. Now, the software supply chain is much more complicated considering the outsourced development, the number of legacy applications, coupled with in-house development that takes advantage of 3rd party, open source and commercial, off-the-shelf software components. Organizations need application security solutions that cover all of their applications, from those used internally to popular external apps used on customers’ mobile phones. These solutions must cover the entire development stage and offer testing after an application is put into use to monitor for potential problems. Application security solutions must be capable of testing web applications for potential and exploitable vulnerabilities, have the ability to analyze code, help manage the security and development management processes by coordinating efforts and enabling collaboration between the various stakeholders. Solutions also must offer application security testing that is easy to use and deploy.

Static Application Security Testing (SAST) scans the application source files, accurately identifies the root cause and helps remediate the underlying security flaws. Developer Benefits of Static Application Security Testing: Identify and eliminate vulnerabilities in source, binary, or byte code Review static analysis scan results in real-time with access to recommendations, line-of-code navigation to find vulnerabilities faster and collaborative auditing. Fully integrated with the Integrated Developer Environment (IDE)

Dynamic Application Security Testing (DAST) simulates controlled attacks on a running web application or service to identify exploitable vulnerabilities in a running environment. Benefits of Dynamic Application Security Testing: Provides a comprehensive view of application security by focusing on what’s exploitable and covering all components (server, custom code, open source, services) Can be integrated into Dev, QA and Production to offer a continuous holistic view Dynamic analysis enables a broader approach to manage portfolio risk (1000s of applications) and may scan legacy apps as part of risk management Tests functional app, so unlike SAST, is not language constrained and runtime and environment-related issues can be discovered

On-Premise vs SaaS Application Security Solutions

Application security solutions consist of the cybersecurity software (the tools) and the practices that run the process to secure applications. On-Premise Application security testing solutions can be run on-premise (in-house), operated and maintained by in-house teams. This approach requires organizations to provide the infrastructure, the personnel and acquire application security solutions for their usage. On-premise assures organizations that their application data is not shared with third parties and does not leave the premises. SaaS Application security can also be a SaaS (or application security as a service ) offering where the customer consumes services provided as a turnkey solution by the application security provider. This approach doesn’t require any of the prerequisites of the on-premise approach but it does require relying partially or completely on the SaaS vendor and in most cases, allow the application data to be shared with the vendor. SaaS provides an easy way to get started on application security and can offer scalability and speed. Hybrid implementations (using on-premise and SaaS together in different projects and practices) aim to provide the best of both worlds by providing flexibility, scalability and cost optimization.

What is the OWASP Top 10?

The Open Web Application Security Project ( OWASP ) is an open source application security community with the goal to improve the security of software. Its industry standard OWASP Top 10 guidelines provide a list of the most critical application security risks to help developers better secure the applications they design and deploy. Find overviews and practical tips for each of the Top 10 in A Developer’s Guide to the OWASP Top 10 .

What are Application Security Solutions?

Micro Focus Application Security solutions offer application security testing and management on-premise and as-a-service that can help companies secure their software applications including legacy, mobile, third-party, and open-source applications. The Micro Focus Fortify offerings included static, dynamic, interactive application security testing, and runtime application self-protection, as well as services to support a Software Security Assurance program, which are processes to ensure that the applications that run your business are protected and secure. The solutions include: Fortify Static Code Analyzer - Static Application Security Testing (SAST) - Identifies and pinpoints security vulnerabilities in source code early in the software development lifecycle. Fortify WebInspect - Dynamic application security testing (DAST) – Simulates real-world security attacks on a running application to provide comprehensive analysis of complex web applications and services. Interactive application security testing (IAST) – Integration of our dynamic testing and runtime analysis to identify more vulnerabilities by expanding coverage of the attack surface and exposing exploits better than dynamic testing alone. Fortify Application Defender - Runtime application self-protection (RASP) – Actively monitors and protects applications in production that have known and unknown vulnerabilities. Fortify on Demand – Security as a Service - A simple, easy and quick way to accurately test applications without having to install or manage software, or add additional resources. Mobile Security – Mobile testing methodology that tests all three tiers including the client, network and server. Software Security Assurance – Centralized management repository provides visibility that helps resolve security vulnerabilities. Fortify Software Security Center - Centralized management repository providing visibility to the entire application security testing program. It prioritizes, manages and track security testing activities and provides an accurate picture of software security risk across your enterprise. Contact us

Was ist Anwendungssicherheit?

Die Anwendungssicherheit ist die Disziplin der Prozesse, Tools und Praktiken, bei der versucht wird, Anwendungen über den gesamten Anwendungslebenszyklus vor Gefahren zu schützen. Cyberkriminelle sind organisiert, spezialisiert und motiviert, Schwachstellen in Unternehmensanwendungen auszunutzen und Daten, geistiges Eigentum und vertrauliche Daten zu stehlen. Mittels Anwendungssicherheit können Organisationen alle Anwendungstypen schützen (z. B. ältere, Desktop-, Web-, mobile oder Microservices), die von internen und externen Beteiligten, darunter Kunden, Geschäftspartner und Mitarbeiter, genutzt werden.

Gründe für die Anwendungssicherheit

Wie mehrere Studien gezeigt haben, zielt der Großteil der erfolgreichen Sicherheitsverletzungen auf ausnutzbare Sicherheitslücken in der Anwendungsschicht ab. Das zeigt, wie wichtig es ist, dass die IT-Abteilungen von Unternehmen ein besonderes Augenmerk auf die Anwendungssicherheit legen. Hinzu kommt, dass die Anzahl und Komplexität der Anwendungen zunimmt. Vor zehn Jahren bestand die Herausforderung in puncto Softwaresicherheit darin, Desktopanwendungen und statische Websites zu schützen, die relativ harmlos, einfach zu überblicken und zu schützen waren. Mittlerweile ist die Software-Lieferkette wesentlich komplizierter angesichts der ausgelagerten Entwicklung, der Anzahl an älteren Anwendungen zusammen mit der internen Entwicklung, bei der Drittanbieter-, Open-Source- und kommerzielle Standardsoftwarekomponenten zum Einsatz kommen.

Organisationen benötigen Anwendungssicherheitslösungen, die alle ihre Anwendungen abdecken. Dazu zählen sowohl intern genutzte Anwendungen als auch externe Anwendungen, die von Kunden auf ihren Mobiltelefonen genutzt werden. Die Lösungen müssen sich auf die Entwicklungsphase erstrecken und Testvorgänge anbieten, nachdem die Anwendung in Betrieb genommen wird, um eventuell auftretende Probleme zu beobachten. Anwendungssicherheitslösungen müssen Webanwendungen auf potenzielle Schwachstellen testen können, die für ausnutzbare Sicherheitslücken genutzt werden können. Sie müssen Programmcode analysieren und Sicherheits- und Entwicklungsprozessen verwalten können, indem sie Arbeiten koordinieren und die Zusammenarbeit zwischen den verschiedenen Beteiligten ermöglichen. Darüber hinaus müssen sie einfach zu bedienende und bereitzustellende Testverfahren für die Anwendungssicherheit gewährleisten.

Was sind SAST und DAST?

Was ist SAST?

Static Application Security Testing (SAST) scannt die Anwendungsquelldateien, identifiziert die Ursache zuverlässig und korrigiert die zugrunde liegenden Sicherheitslücken.

Mit Static Application Security Testing können Entwickler:

Sicherheitslücken im Quell-, Binär- oder Bytecode identifizieren und beseitigen
Scanergebnisse der statischen Analyse in Echtzeit überprüfen und auf Empfehlungen und auf die Codezeilennavigation zugreifen, um Sicherheitslücken schneller zu finden und um gemeinsames Auditing durchzuführen
die vollständig in die integrierte Entwicklerumgebung (Integrated Developer Environment, IDE) integrierte Lösung nutzen

Was ist DAST?

Dynamic Application Security Testing (DAST) simuliert kontrollierte Angriffe auf einer aktiv ausgeführten Webanwendung oder in einem Service, um ausnutzbare Sicherheitslücken in einer aktiven Umgebung zu ermitteln.

Vorteile von Dynamic Application Security Testing:

Bietet einen umfassenden Einblick in die Anwendungssicherheit, indem die ausnutzbaren Elemente in den Fokus gerückt und alle Komponenten (Server, benutzerdefinierter Code, Open Source, Services) abgedeckt werden
Kann in Entwicklungs-, Qualitätssicherungs- und Produktionslösungen integriert werden, um eine kontinuierliche ganzheitliche Betrachtungsweise bereitzustellen
Die dynamische Analyse ermöglicht einen umfassenderen Ansatz bei der Verwaltung der Portfoliorisiken (tausende Anwendungen) und kann im Rahmen des Risikomanagements ältere Apps scannen
Testet Funktionsweise der App, ist also im Gegensatz zu SAST nicht durch Sprachen eingeschränkt und es können Probleme in Bezug auf Laufzeit und Umgebung entdeckt werden

On-Premise- vs. SaaS-Lösungen

Anwendungssicherheitslösungen bestehen aus der Internetsicherheitssoftware (den Tools) und den Praktiken, die den Prozess zum Schützen der Anwendungen ausführen.

Vor Ort

Lösungen für Application Security Testing können On-Premise (intern) ausgeführt und von internen Teams betrieben und verwaltet werden. Bei diesem Ansatz müssen Organisationen die Infrastruktur sowie das Personal bereitstellen und Anwendungssicherheitslösungen für deren Nutzung erwerben. Die Nutzung von On-Premise-Lösungen gewährleistet Organisationen, dass ihre Anwendungsdaten weder für Dritte freigegeben werden noch die Räumlichkeiten verlassen.

SaaS

Die Anwendungssicherheit kann auch als ein SaaS (oder Anwendungssicherheit als Service) angeboten werden, wo der Kunde die vom Anwendungssicherheitsanbieter bereitgestellten Services als eine sofort einsatzfähige Lösung nutzt. Dieser Ansatz erfordert keine der Voraussetzungen des On-Premise-Ansatzes, sondern erfordert eine teilweise oder vollständige Abhängigkeit vom SaaS-Anbieter und ermöglicht in den meisten Fällen die gemeinsame Nutzung der Anwendungsdaten mit dem Anbieter. SaaS ermöglicht einen einfachen Einstieg in die Anwendungssicherheit und bietet Skalierbarkeit und Geschwindigkeit. Hybride Implementierungen (gemeinsame Nutzung von On-Premise- und SaaS-Lösungen in unterschiedlichen Projekten und Praktiken) versuchen, das Beste der beiden Ansätze zu kombinieren und so Flexibilität, Skalierbarkeit und Kostenoptimierung bereitzustellen.

Geschwindigkeit im Vergleich mit Genauigkeit

Heutzutage ist jedes Unternehmen ein Softwareunternehmen. Folglich hat die Anzahl der Web- und mobilen Anwendungen enorm zugenommen. Außerdem hat sich die Häufigkeit von Anwendungsveröffentlichungen erhöht. Damit sie mit den Geschäftsanforderungen Schritt halten können, führen viele Organisationen weniger komplexe Sicherheitsscans durch. Dies geht zu Lasten der Genauigkeit, die zum Ermitteln entscheidender Sicherheitslücken erforderlich ist. Die Agilität im Sicherheitsbereich entspricht dem Gleichgewicht bei der Durchführung gründlicher, genauer Scans und den zugehörigen falsch positiven Ergebnissen, welche die Abhilfe behindern können.

Was ist die OWASP Top 10?

OWASP Top 10

Das Open Web Application Security Project (OWASP) ist eine Open-Source-Community zur Anwendungssicherheit, die das Ziel verfolgt, die Softwaresicherheit zu verbessern. Die zugehörigen Branchenstandards der OWASP Top 10-Richtlinien enthalten eine Liste der wichtigsten Anwendungssicherheitsrisiken, anhand derer Entwickler die Anwendungen besser schützen können, die von ihnen konzipiert und bereitgestellt werden. Unter A Developer’s Guide to the OWASP Top 10 finden Sie Übersichten und praktische Tipps zu jedem einzelnen Top 10-Eintrag.

Application Security Lösungen

Die Anwendungssicherheitslösungen von Micro Focus bieten Lösungen für das Testen und Verwalten der Anwendungssicherheit vor Ort und als ein Service, mit denen Unternehmen ihre Softwareanwendungen, auch ältere, mobile Apps, Drittanbieter-Anwendungen und Open-Source-Anwendungen schützen.

Die Micro Focus Fortify-Angebote umfassen statische, dynamische und interaktive Anwendungssicherheitstests, einen Selbstschutz von Anwendungen zur Laufzeit sowie Services zur Unterstützung eines Software Security Assurance-Programms, das aus Prozessen besteht, mit denen sichergestellt werden muss, dass die Anwendungen für Ihr Unternehmen geschützt und sicher sind.

Die Lösungen umfassen:

Fortify Static Code Analyzer - Static Application Security Testing (SAST) identifiziert und erkennt Sicherheitsschwachstellen im Quellcode in einem frühen Stadium des Softwareentwicklungszyklus.

Fortify WebInspect - Dynamic application security testing (DAST) – Simuliert im Echtbetrieb vorkommende Sicherheitsangriffe in einer laufenden Anwendung, um eine umfassende Analyse komplexer Webanwendungen und -services zu ermöglichen.

Interactive Application Security Testing (IAST) – Durch die Integration unserer dynamischen Tests und Laufzeitanalysen werden weitere Schwachstellen durch Ausdehnung auf einen größeren Wirkungsbereich des Angriffs und bessere Erkennung der Exploits als reine dynamische Tests ermittelt.

Fortify Application Defender – Runtime Application Self-Protection (RASP) – damit werden Anwendungen in der Produktion, die bekannte und unbekannte Schwachstellen aufweisen, aktiv überwacht und geschützt.

Fortify on Demand – Security as a Service – Eine einfache, leichte und schnelle Möglichkeit für einen präzisen Test von Anwendungen ohne erforderliche Installationen oder Verwaltung von Software bzw. Hinzufügen zusätzlicher Ressourcen.

Mobile Sicherheit – Methodik für das Testen von mobilen Anwendungen, bei der alle drei Schichten, einschließlich Client, Netzwerk und Server, getestet werden.

Software Security Assurance – Zentralisiertes Management-Repository, das durch mehr Transparenz eine Behebung von Sicherheitsschwachstellen ermöglicht.

Fortify Software Security Center - Zentralisiertes Management-Repository, das eine gute Sicht auf das gesamte Testprogramm für die Anwendungssicherheit bietet. Es priorisiert, verwaltet und verfolgt Sicherheitstestaktivitäten und bietet ein präzises Bild des Sicherheitsrisikos der Software in Ihrem gesamten Unternehmen.

Kontakt