Die Anwendungssicherheit ist die Disziplin der Prozesse, Tools und Praktiken, bei der versucht wird, Anwendungen über den gesamten Anwendungslebenszyklus vor Gefahren zu schützen. Cyberkriminelle sind organisiert, spezialisiert und motiviert, Schwachstellen in Unternehmensanwendungen auszunutzen und Daten, geistiges Eigentum und vertrauliche Daten zu stehlen. Mittels Anwendungssicherheit können Organisationen alle Anwendungstypen schützen (z. B. ältere, Desktop-, Web-, mobile oder Microservices), die von internen und externen Beteiligten, darunter Kunden, Geschäftspartner und Mitarbeiter, genutzt werden.
Wie mehrere Studien gezeigt haben, zielt der Großteil der erfolgreichen Sicherheitsverletzungen auf ausnutzbare Sicherheitslücken in der Anwendungsschicht ab. Das zeigt, wie wichtig es ist, dass die IT-Abteilungen von Unternehmen ein besonderes Augenmerk auf die Anwendungssicherheit legen. Hinzu kommt, dass die Anzahl und Komplexität der Anwendungen zunimmt. Vor zehn Jahren bestand die Herausforderung in puncto Softwaresicherheit darin, Desktopanwendungen und statische Websites zu schützen, die relativ harmlos, einfach zu überblicken und zu schützen waren. Mittlerweile ist die Software-Lieferkette wesentlich komplizierter angesichts der ausgelagerten Entwicklung, der Anzahl an älteren Anwendungen zusammen mit der internen Entwicklung, bei der Drittanbieter-, Open-Source- und kommerzielle Standardsoftwarekomponenten zum Einsatz kommen.
Organisationen benötigen Anwendungssicherheitslösungen, die alle ihre Anwendungen abdecken. Dazu zählen sowohl intern genutzte Anwendungen als auch externe Anwendungen, die von Kunden auf ihren Mobiltelefonen genutzt werden. Die Lösungen müssen sich auf die Entwicklungsphase erstrecken und Testvorgänge anbieten, nachdem die Anwendung in Betrieb genommen wird, um eventuell auftretende Probleme zu beobachten. Anwendungssicherheitslösungen müssen Webanwendungen auf potenzielle Schwachstellen testen können, die für ausnutzbare Sicherheitslücken genutzt werden können. Sie müssen Programmcode analysieren und Sicherheits- und Entwicklungsprozessen verwalten können, indem sie Arbeiten koordinieren und die Zusammenarbeit zwischen den verschiedenen Beteiligten ermöglichen. Darüber hinaus müssen sie einfach zu bedienende und bereitzustellende Testverfahren für die Anwendungssicherheit gewährleisten.
Static Application Security Testing (SAST) scannt die Anwendungsquelldateien, identifiziert die Ursache zuverlässig und korrigiert die zugrunde liegenden Sicherheitslücken.
Mit Static Application Security Testing können Entwickler:
Dynamic Application Security Testing (DAST) simuliert kontrollierte Angriffe auf einer aktiv ausgeführten Webanwendung oder in einem Service, um ausnutzbare Sicherheitslücken in einer aktiven Umgebung zu ermitteln.
Vorteile von Dynamic Application Security Testing:
Anwendungssicherheitslösungen bestehen aus der Internetsicherheitssoftware (den Tools) und den Praktiken, die den Prozess zum Schützen der Anwendungen ausführen.
Lösungen für Application Security Testing können On-Premise (intern) ausgeführt und von internen Teams betrieben und verwaltet werden. Bei diesem Ansatz müssen Organisationen die Infrastruktur sowie das Personal bereitstellen und Anwendungssicherheitslösungen für deren Nutzung erwerben. Die Nutzung von On-Premise-Lösungen gewährleistet Organisationen, dass ihre Anwendungsdaten weder für Dritte freigegeben werden noch die Räumlichkeiten verlassen.
Die Anwendungssicherheit kann auch als ein SaaS (oder Anwendungssicherheit als Service) angeboten werden, wo der Kunde die vom Anwendungssicherheitsanbieter bereitgestellten Services als eine sofort einsatzfähige Lösung nutzt. Dieser Ansatz erfordert keine der Voraussetzungen des On-Premise-Ansatzes, sondern erfordert eine teilweise oder vollständige Abhängigkeit vom SaaS-Anbieter und ermöglicht in den meisten Fällen die gemeinsame Nutzung der Anwendungsdaten mit dem Anbieter. SaaS ermöglicht einen einfachen Einstieg in die Anwendungssicherheit und bietet Skalierbarkeit und Geschwindigkeit. Hybride Implementierungen (gemeinsame Nutzung von On-Premise- und SaaS-Lösungen in unterschiedlichen Projekten und Praktiken) versuchen, das Beste der beiden Ansätze zu kombinieren und so Flexibilität, Skalierbarkeit und Kostenoptimierung bereitzustellen.
Heutzutage ist jedes Unternehmen ein Softwareunternehmen. Folglich hat die Anzahl der Web- und mobilen Anwendungen enorm zugenommen. Außerdem hat sich die Häufigkeit von Anwendungsveröffentlichungen erhöht. Damit sie mit den Geschäftsanforderungen Schritt halten können, führen viele Organisationen weniger komplexe Sicherheitsscans durch. Dies geht zu Lasten der Genauigkeit, die zum Ermitteln entscheidender Sicherheitslücken erforderlich ist. Die Agilität im Sicherheitsbereich entspricht dem Gleichgewicht bei der Durchführung gründlicher, genauer Scans und den zugehörigen falsch positiven Ergebnissen, welche die Abhilfe behindern können.
Das Open Web Application Security Project (OWASP) ist eine Open-Source-Community zur Anwendungssicherheit, die das Ziel verfolgt, die Softwaresicherheit zu verbessern. Die zugehörigen Branchenstandards der OWASP Top 10-Richtlinien enthalten eine Liste der wichtigsten Anwendungssicherheitsrisiken, anhand derer Entwickler die Anwendungen besser schützen können, die von ihnen konzipiert und bereitgestellt werden. Unter A Developer’s Guide to the OWASP Top 10 finden Sie Übersichten und praktische Tipps zu jedem einzelnen Top 10-Eintrag.
Die Anwendungssicherheitslösungen von Micro Focus bieten Lösungen für das Testen und Verwalten der Anwendungssicherheit vor Ort und als ein Service, mit denen Unternehmen ihre Softwareanwendungen, auch ältere, mobile Apps, Drittanbieter-Anwendungen und Open-Source-Anwendungen schützen.
Die Micro Focus Fortify-Angebote umfassen statische, dynamische und interaktive Anwendungssicherheitstests, einen Selbstschutz von Anwendungen zur Laufzeit sowie Services zur Unterstützung eines Software Security Assurance-Programms, das aus Prozessen besteht, mit denen sichergestellt werden muss, dass die Anwendungen für Ihr Unternehmen geschützt und sicher sind.
Die Lösungen umfassen:
Fortify Static Code Analyzer - Static Application Security Testing (SAST) identifiziert und erkennt Sicherheitsschwachstellen im Quellcode in einem frühen Stadium des Softwareentwicklungszyklus.
Fortify WebInspect - Dynamic application security testing (DAST) – Simuliert im Echtbetrieb vorkommende Sicherheitsangriffe in einer laufenden Anwendung, um eine umfassende Analyse komplexer Webanwendungen und -services zu ermöglichen.
Interactive Application Security Testing (IAST) – Durch die Integration unserer dynamischen Tests und Laufzeitanalysen werden weitere Schwachstellen durch Ausdehnung auf einen größeren Wirkungsbereich des Angriffs und bessere Erkennung der Exploits als reine dynamische Tests ermittelt.
Fortify Application Defender – Runtime Application Self-Protection (RASP) – damit werden Anwendungen in der Produktion, die bekannte und unbekannte Schwachstellen aufweisen, aktiv überwacht und geschützt.
Fortify on Demand – Security as a Service – Eine einfache, leichte und schnelle Möglichkeit für einen präzisen Test von Anwendungen ohne erforderliche Installationen oder Verwaltung von Software bzw. Hinzufügen zusätzlicher Ressourcen.
Mobile Sicherheit – Methodik für das Testen von mobilen Anwendungen, bei der alle drei Schichten, einschließlich Client, Netzwerk und Server, getestet werden.
Software Security Assurance – Zentralisiertes Management-Repository, das durch mehr Transparenz eine Behebung von Sicherheitsschwachstellen ermöglicht.
Fortify Software Security Center - Zentralisiertes Management-Repository, das eine gute Sicht auf das gesamte Testprogramm für die Anwendungssicherheit bietet. Es priorisiert, verwaltet und verfolgt Sicherheitstestaktivitäten und bietet ein präzises Bild des Sicherheitsrisikos der Software in Ihrem gesamten Unternehmen.
Whitepaper: The 2019 TechBeacon Buyer's Guide to Application Security
Whitepaper: Seamless Application Security: Security at the Speed of DevOps
Video: Getting Started with Application Security in One Day
Webinar: Shift Left: 3 Steps to Get Your Developers Involved in Security
Whitepaper: Application Security Risk Report
Webinar: Fitting Security Into Your Software Lifecycle: Automation and Integration
Whitepaper: The State of Application Security in the Enterprise
OWASP Top 10 der kritischsten Sicherheitsrisiken für Webanwendungen
YouTube-Kanal zu Fortify Unplugged
Kostenlose Fortify on Demand-Testversion