So stellen Sie die Verfügbarkeit, Integrität und Vertraulichkeit Ihrer Apps sicher

7 Min. LESEN

In den letzten vier Jahrzehnten hat sich Software weiterentwickelt. In den Tagen der Großrechner griffen Benutzer auf zentral gespeicherte Programme auf großen Mehrbenutzersystemen zu. In den 1990er Jahren bestand die Application jedoch typischerweise aus einer in einen Karton eingeschweißten Plastikscheibe, wurde lokal installiert und nur selten aktualisiert.

In gewisser Weise hat sich der Kreis geschlossen: Applications werden wieder zunehmend über ein Netzwerk bereitgestellt und Application sind immer stärker in operative Aufgaben und die Sicherung der Apps eingebunden, die sie selbst entwickeln. In dieser „Always-on“-Welt, in der Anwendungen als Service bereitgestellt werden, können Software-Schwachstellen schnell ausgenutzt werden und einfache DDoS-Angriffe können den Dienst unterbrechen.

Bei Unternehmen, die ihre eigenen Applications entwickeln, müssen die Programmierer die Software im Rahmen eines durchgängigen, sicheren Softwareentwicklungslebenszyklus (SDLC) erstellen. Das bedeutet, dass wir uns auf die Reduzierung der Angriffsfläche von Software, die Beseitigung von Schwachstellen und die Schulung von Entwicklern zur sichereren Entwicklung und Programmierung konzentrieren müssen.

Anwendung von Zugriffskontrollen und grundlegenden Sicherheitsprinzipien

Gleichzeitig müssen Unternehmen Cloud- Applications auch als Betriebstechnologie behandeln, die sicher verwaltet werden muss. Da Cloud Applications ständig verbunden sind, sind sie leicht Angriffsziel, weshalb die rechtzeitige Identifizierung und Beseitigung von Schwachstellen von entscheidender Bedeutung ist. Um Bedrohungen immer einen Schritt voraus zu sein, sollten Unternehmen einen Schwachstellenmanagementprozess implementieren, der Schwachstellen identifiziert und priorisiert und die Behebung mithilfe einer Web Application Firewall (WAF) schnell und automatisiert durchführen kann. Eine WAF ist eine wichtige Web-Sicherheit Sicherheitskontrolle, die einem Unternehmen Zeit verschaffen kann, indem sie einen Angriff blockiert, während das Entwicklungsteam an der Korrektur des Codes arbeitet.

Was sollten Sie über die typische Diskussion zum Schwachstellenmanagement der App-Sicherheit hinaus noch berücksichtigen? Ein Ausgangspunkt ist die Einrichtung der richtigen Zugriffskontrolle. Das AAA-Framework (Authentifizierung, Autorisierung und Abrechnung) ist eine wichtige Anleitung, um sicherzustellen, dass Sie standardmäßig eine starke Authentifizierung verlangen, indem Sie Funktionen wie SSO und Multifaktor-Authentifizierung verwenden. Darüber hinaus trägt die Autorisierung von Benutzern auf der Grundlage einer robusten, rollenbasierten Zugriffskontrolle (RBAC), die mindestens drei Rollen umfasst (z. B. nicht privilegierter Benutzer, privilegierter Benutzer und Administrator), zur Reduzierung unbeabsichtigter Vorfälle bei. Und sollte es zu einem Vorfall kommen, können Sie durch die ordnungsgemäße Protokollierung der Ereignisse wichtige Details zur Lösung ermitteln, z. B. welches Konto verwendet wurde und von welchem System es stammte.

In Verbindung mit dem AAA-Framework kann die Betrachtung der App-Sicherheit aus der Perspektive der CIA-Sicherheitsprinzipien (Vertraulichkeit, Integrität und Verfügbarkeit) zusätzliche Schritte aufzeigen, die Unternehmen unternehmen sollten, um ihre Applications zu schützen und die Dienste am Laufen zu halten.

1. Verfügbarkeit – Die Application am Laufen halten

Angesichts der zunehmenden Abhängigkeit der Mitarbeiter von Cloud- Applications ist die Verfügbarkeit von Cloud-Diensten für den Geschäftsbetrieb von entscheidender Bedeutung geworden. DDoS-Angriffe waren früher nur ein Ärgernis, können heute aber den Geschäftsbetrieb weitaus stärker stören.

Empfehlungen:

• Verwenden Sie DDoS-Minderungsdienste, die darauf ausgelegt sind, Angriffe am Rand des Netzwerks zu blockieren. Im Falle eines Angriffs können Sie mit einem solchen System tatsächlich Geld sparen, da der Datenverkehr keine zusätzlichen Kosten aufgrund von Spitzen in der Cloud-Nutzung verursacht.
• Implementieren Sie einen Prozess für das Änderungsmanagement. Viele Unternehmen haben Ausfälle ihrer eigenen Dienste verursacht, nachdem sie ein fehlerhaftes Update ihrer Infrastruktur durchgesetzt hatten.
• Verwenden Sie ein WAF- oder DDoS-Schutzgerät, um Angriffe auf Layer 7 (Anwendungsebene) zu verhindern.

2. Integrität: Sicherstellen, dass die App wie vorgesehen funktioniert

Die digitalen Türen offen zu halten, ist die oberste Aufgabe eines Unternehmens. Das Zweite ist, die Bösen fernzuhalten. Entwicklungs- und Betriebsteams müssen sichere Grundlagen für den Zugriff auf alle ihre Applications und Daten schaffen, wie oben in AAA beschrieben. Sie müssen außerdem die Änderungskontrolle verwalten, damit unbeabsichtigte Änderungen nicht dazu führen, dass die App auf eine Weise funktioniert, die die Integrität der Daten beeinträchtigt.

Empfehlungen:

• Durch die Implementierung von Tools wie WebSafe und einer WAF wird die Möglichkeit böswilliger Akteure, schädliche Daten in die Application einzuschleusen, eingeschränkt. So wird vor einer ganzen Reihe von Bedrohungen geschützt und so Verlust und Gefährdung reduziert.
• Application , die die Vollständigkeit der Daten prüfen, sind auch eine hervorragende Möglichkeit, zu überwachen, ob eine Ihrer vorgelagerten Kontrollen fehlgeschlagen ist.
• Durch automatisierte Tests der Application können die Betriebsabteilungen schnell benachrichtigt werden, wenn fehlerhafte Änderungen implementiert werden.

3. Vertraulichkeit – Geheimnisse in der Cloud bewahren

Die Vertraulichkeit der Daten muss bei der Erfassung, beim Transport und bei der Speicherung gewährleistet werden, unabhängig davon, ob dies in der Cloud oder vor Ort in Ihrem Rechenzentrum erfolgt. Um zu verhindern, dass Ihre App und die Vertraulichkeit der darin enthaltenen Daten durch einen Application Exploit gefährdet werden, sollten Sie über die wichtigsten Kontrollmaßnahmen verfügen, darunter auch ein WAF. Heutzutage gibt es keinen Grund, die TLS-Technologie nicht zur Verschlüsselung der Kommunikation zwischen dem Benutzer und dem Web- Application zu verwenden. Darüber hinaus sollten in der Cloud oder vor Ort gespeicherte Daten vollständig verschlüsselt werden, um unberechtigter Zugriff zu verhindern.

Empfehlungen:

• Aktivieren Sie TLS/SSL standardmäßig. HTTPS überall!
• Sorgen Sie für eine starke Verschlüsselung kritischer Daten im Ruhezustand, insbesondere der Back-End-Anmeldeinformationsspeicher. Ein einfacher Passwort-Hash ist nicht mehr akzeptabel. Mindestens sollte ein Hash plus Salt oder ein stärkerer Verschlüsselungsmechanismus implementiert werden.
• Implementieren Sie ein umfassendes Schwachstellenmanagementprogramm, um Fehler zu erkennen und zu beheben. Um Schwachstellen zwischen Patchbereitstellungen abzudecken, werden die virtuellen Patching-Funktionen einer WAF dringend empfohlen.
• Die Sicherung von Cloud Applications und -Infrastrukturen ist eine komplexe Angelegenheit. Wenn Sicherheitsexperten diese jedoch aus der Perspektive von AAA und CIA betrachten, können sie sich ganzheitlich mit der Disziplin befassen und Maßnahmen ergreifen, die eine umfassende Sicherheitsstrategie unterstützen.

Preston Hogue ist der Sr. Direktor für Sicherheitsmarketing bei F5 Networks. Preston ist für globale Sicherheitskampagnen, Evangelisation und Thought Leadership verantwortlich, einschließlich der Aufsicht über das Application Threat Intelligence-Team von F5 Labs. Preston verfügt über mehr als 20 Jahre Erfahrung im Bereich Informationssicherheit, einschließlich der Entwicklung, Implementierung und Verwaltung komplexer Sicherheitsprogramme, der Erstellung von Risikoanalysen und -managements sowie der Implementierung von Programmen zur Erfüllung gesetzlicher und Compliance-Anforderungen.