Ein fundamentaler Ansatz zur Erkennung von Sicherheitsschwachstellen in Applikationen

Systemgestützte Sicherheit und Überwachung während des gesamten SDLC-Prozesses

Sicherheitslecks sind DAS Dauerthema der letzten Monate. Diese so früh wie möglich zu erkennen und schnell beheben zu können, ist eine der zentralen Herausforderungen in der Softwareentwicklung.

Traditionell werden Sicherheitstests an fertigen Systemen in Integrations-/ Vorproduktions-Umgebungen durchgeführt. Der Entwicklungszyklus ist dann jedoch zu weit zurückliegend, um schnell und unkompliziert reagieren zu können.

Je später in der Phase des Applikationslebenszyklus eine Schwachstelle erkannt wird, desto teurer und langwieriger wird es, diese zu beheben. Viele der in der Integrations- bzw. in der Releasephase erkannten Schwachstellen hätten bereits in der EW-Phase erkannt und behoben werden können.

Der Weg zur Schnellerkennung von Sicherheitsmängeln

Es gibt eine multitechnologische Plattform, die bereits am Anfang des Software-Lebenszyklus dafür sorgt, dass Sicherheits-Checks erfolgen können, um Mängel und Schwachstellen so früh wie möglich zu entdecken und zu beheben.

Diese modulare Plattform für Anwendungssicherheitstests liefert einen vollständigen Überblick über die erkannten Probleme und bietet zudem die Möglichkeit, bequem per Browser eine Wirkungsanalyse in Minuten statt in Stunden oder Tagen durchzuführen. So werden Risiken reduziert und das Änderungsmanagement verbessert.

whatifplanansehen

Die Lösung lässt sich in weitestgehend alle gängigen IDEs wie Eclipse, Visual Studio, RAD, JetBrains und IBM Rational Developer, Build-Systeme wie Jenkins, Microsoft TFS, IBM UrbanCode Deploy Agent, CircleCl, Maven und SAP Extractor, Bug-Tracking-Tools wie JIRA und SAP integrieren, um die vollständige Einhaltung der Sicherheitsstandards zu gewährleisten. Für den Bereich der IDE’s wird ein Extratool für Developer bereitgestellt, das bereits beim Entwickeln Schwachstellen und Probleme identifiziert.

„Mit Kiuwan können komplexe Anwendungsportfolios gesteuert, die Produktivität gesteigert und der Aufwand für Tests und das Programmieren reduziert werden. Darüber hinaus können die Lieferungen externe Provider auf Grundlage objektiver Kriterien entsprechend gecheckt werden,“ sagt Donald Fitzgerald, Geschäftsführer der EasiRun Europa GmbH.

Das Werkzeug kann direkt in den Entwicklungsprozess integriert werden, womit die Gesamtsicherheit der Anwendungen bei gleichzeitiger Risiko- und Kostenreduzierung durch frühzeitige Erkennung und Korrektur neu eingeführter Sicherheitsmerkmale optimiert wird.

Für Unternehmen mit sehr großen Mengen an Codezeilen, vielen Entwicklern, vielen Schnittstellen, Datenbankzugriffen, Outsourcing Strategien usw. sollte das System sogar ein fester Teil des Application Life Cycles werden.

ansehen

Und wie genau funktioniert das?

Die Plattform nutzt zur statischen Analyse von Multi-Technologie-Software, Qualitätssicherung, Sicherheitsmessung und Management das Modell Software-as-a-Service. Hierfür wird einmalig oder bei entsprechenden Änderungen der verwendete Anwendungscode lokal untersucht und verarbeitet. In der Folge werden die Ergebnisse an die Cloud gesendet und sind dann per Browser zugänglich. Unterstützt werden dabei so gut wie alle Programmiersprachen.

Gleichzeitig erhält das Management einen Überblick in Form von maßgeschneiderten Reports mit branchenüblichen Sicherheitsbewertungen für die Anwendungssicherheit. Dies erfolgt anhand von Kennzahlen, die individuell definiert werden und punktgenaue Aussagekraft haben. Kennzahlen sind Instrumente, auf die kein Controller verzichten kann – bestenfalls eben auch in der Anwendungsentwicklung nicht.

ansehen

Die IT-Verantwortlichen im Unternehmen erhalten eine fundierte Grundlage, um Entscheidungen treffen zu können. Mit nur einem Blick können sie sehen, ob ihre Anwendung risikobehaftet ist oder nicht.

ansehen

Woher weiß man, worin ein Problem genau besteht?

Dank der Lösung erkennen Verantwortliche sehr schnell, ob ein Sicherheitsproblem vorliegt. Alle relevanten Leistungsindikatoren können frei nach Kategorien gewichtet werden. Der Grad der Kritikalität ist fortan konfigurierbar. Blitzschnell können Sie anhand von Kennzahlen ersehen, wie groß die Sicherheitslücke ist.

Wie groß ist das Sicherheitsproblem und wie kann man es angehen?

Mit Hilfe dieser modularen Plattform können Sie die Sicherheitsprobleme einer bestehenden Anwendung auf der Basis vordefinierter Leistungsindikatoren im Rahmen von regelmäßigen Audits identifizieren und bewerten. Jetzt ist es leicht, die Dimensionen eines Problems zu erfassen und aus automatisch generierbaren Reports einen Aktionsplan zu erstellen, um fundierte Entscheidungen zu treffen.

ansehen

Auch eine Frage der Effizienzsteigerung

Das Tool bietet freikonfigurierbare und automatisierte Audits an. Diese Audits können als Teil der Entwicklungszyklen reibungslos in Form einer Prüf- bzw. Freigabeinstanz eingesetzt werden. Die Ergebnisse der Audits werden dokumentiert und zur Nachprüfung bereitgestellt. Die Grundlage für die Nachbearbeitung der Auslieferung und die Bearbeitung der Mängel wird hierdurch praxisnah und faktenbasierend vorbereitet.

Als Best-Business-Practice hat sich zum Beispiel der Einsatz der automatisierten Audits vor dem Einchecken von neuen Auslieferungen in das Repository bewährt. Dadurch wird im Vorfeld verhindert, dass Auslieferungen, die den Qualitäts- und Sicherheitsstandards nicht entsprechen, an die Bereitstellungsumgebung weitergegeben werden. Diese Vorgehensweise schließt den Einsatz innerhalb der Breitstellungsumgebung nicht aus. Aufbauend auf den Rückgabecodes der Audits können automatisierte Folgeschritte implementiert werden.

Die Lösungs-Audits sind ein weiterer Schritt in Richtung Effizienzsteigerung von Entwicklungszyklus-Prozessen. Aufbauend auf Standardisierung und Automatisierung von Prüf- und Freigabeinstanzen können unterschiedliche Prozessschritte vereinfacht oder ggf. beseitigt werden.

Unterstützung von DevOps-Strategien

Das Wissen über Sicherheitsschwachstellen und deren Behebung konzentriert sich häufig auf spezialisierte Teams in Unternehmen, die (historisch gesehen) nicht viel Kontakt mit der Entwicklungsseite hatten. Die Entwicklungsteams konzentrieren sich stärker auf die Übersetzung funktionaler und perfomanter Bedürfnisse.

Um das Thema Sicherheit besser abzudecken, sollte das Wissen über Anwendungssicherheit und vor allem über die sichere Entwicklung auf eine breitere Basis übertragen werden.

Mehrere Teams – ein Tool

In der klassischen Unternehmenskultur hat jede Abteilung Autonomie, Autorität und entsprechend bestimmte Aufgaben. Im Rahmen ihrer Zuständigkeit und Befugnisse wählen sie sowohl die Verfahren als auch die einzusetzenden Werkzeuge aus. Die Kommunikation zwischen den Abteilungen erfolgt über Berichte, die allerdings oft genug die Produktivität und die Kommunikation eher mindern.

Diese Struktur führt dazu, dass mehrere Abteilungen über verschiedene Werkzeuge verfügen, um dasselbe zu tun – insbesondere um die Software-Sicherheit zu gewährleisten.

Diese Probleme können sich noch vervielfachen, wenn externe Entwicklungsdienstleister ins Spiel kommen, die nach einem Outsourcing-Prozess für alle Änderungen einer Reihe von Anwendungen im Servicemodus verantwortlich sind.

Dies ist weder ein agiler noch ein einheitlicher Prozess. Mit einheitlichen Informationen und Kriterien wird leichter das gleiche Ziel erreicht. Teams oder Anbieter sollten ein gemeinsames Ziel und gemeinsame Instrumente zur Umsetzung haben.

Unterschiedliche Verantwortlichkeiten – das gleiche Ziel

Mit dem Einsatz von Kiuwan trägt jeder Beteiligte im Entwicklungsprozess Verantwortung für die Sicherheit des Softwareprodukts. Dadurch wird das Sicherheitsbewusstsein zu einer nicht-funktionalen Anforderung, die von allen Beteiligten des Teams respektiert und gelöst werden muss. Jetzt sind nicht nur die Sicherheitsabteilungen für die Sicherheit des Produkts verantwortlich, sondern bereits die Entwickler können dies bei der Implementierung der Features berücksichtigen.

Wer profitiert letztendlich davon?

Selbst technisch weniger gewandte Mitarbeiter werden in die Lage versetzt, die Kernaspekte einer Anwendungslandschaft näher zu betrachten und aufgrund objektiver Kriterien richtig einzuschätzen. Probleme, Fehler und Sicherheitslücken werden für jeden User mit Zugriff auf die Cloud in einem grafischen Dashboard dargestellt. Führungskräfte können zusätzlich fertige Berichte als PDF abrufen.

ansehen

Global im Einsatz ist die Lösung bei AXA, BBVA, BNP Paribas, Carrefour, DHL, Ferrovial, KFC, Telefonica, Banco Santander, Roche, Siemens und anderen.

Bei Interesse wenden Sie sich bitte an vertrieb@easirun.de oder rufen Sie uns direkt an unter +49 6081 9160-30.

+ Zurück zur Übersicht