Es gibt keine unkritischen Apps, wenn es um Sicherheit geht

Der Geschichte zufolge wurden Leonidas und seine 300 Spartaner in der Schlacht bei den Thermopylen besiegt, und zwar nicht wegen des erwarteten Frontalangriffs. Nein, es lag daran, dass die Perser sich um sie herumschlichen und sie überflügelten, da ihnen ein schmaler Ziegenpfad einen Stützpunkt hinter der spartanischen Verteidigungslinie der Heißen Tore* verschaffte.

Es war vielleicht ein strategischer Fehler, die weniger offensichtliche Angriffsroute eines Ziegenpfads nicht zu schützen. Im Nachhinein ist man immer schlauer und kann nun erkennen, dass es verheerende Folgen haben kann, wenn man es versäumt, alle potenziellen Einstiegspunkte zu schützen.

Haben wir aus der Geschichte gelernt oder sind wir dazu verdammt, sie zu wiederholen?

Basierend auf den Ergebnissen unserer Umfrage zum Stand der Anwendungsbereitstellung 2018 versuchen wir unser Bestes, sie zu wiederholen.

Dieses Diagramm zeigt, dass 2 % der Organisationen eine WAF verwenden, um … nichts zu schützen. Keine ihrer Anwendungen ist durch die Technologie geschützt. Umgekehrt schützen 13 % der Organisationen alle ihre Apps (100 %) mit einer WAF.

Irgendwo dazwischen liegt der Großteil der Organisationen: 34 % schützen ein Viertel oder weniger (1–24 %) ihrer Anwendungen. Diese Apps ähneln wahrscheinlich den Hot Gates. Sie sind diejenigen, die am sichtbarsten sind, diejenigen, die Sie fördern und anpreisen. Auf diesen Seiten ist der meiste Verkehr zu verzeichnen, und deshalb ist die Angriffsroute logischerweise am wahrscheinlichsten.

Der Rest sind Ziegenpfade. Schmale, überwucherte Pfade ins Rechenzentrum, die selten genutzt werden und am wenigsten anfällig für Angriffe sind. Zumindest hoffen Sie das.

In der Branche sprechen wir eher von „kritischen“ Anwendungen. Dies sind die Apps, die Unternehmen benötigen, um jede Minute des Tages zu funktionieren. Das sind Ihr CRM, Ihr SFA, Ihr Online-Shop, die APIs, die Ihre Partner verwenden, um Ihnen Geschäfte zu vermitteln. Über diese sprechen wir mit Ehrfurcht. Sie müssen sie vor Angriffen schützen, sie der Nachfrage entsprechend skalieren und ihre Leistung verbessern, damit selbst die anspruchsvollsten Verbraucher von Ihrer Aufmerksamkeit für das Benutzererlebnis begeistert sind.

Wir neigen dazu, die „nicht kritischen“ Anwendungen zu ignorieren. Manchmal verschieben wir sie sogar irgendwo in eine öffentliche Cloud, ohne darauf zu achten, dass die erforderlichen Sicherheitskontrollen eingerichtet werden, um die Daten und Anmeldeinformationen zu schützen.

Heute sage ich, dass all diese „anderen“ Anwendungen genauso sind wie der Ziegenpfad, der sich als solch wichtiger Einstiegspunkt in die Verteidigung der Spartaner herausgestellt hat. Wenn sie eine Verbindung zum Internet herstellen – und aufgrund der Verbindung mit einem Netzwerk ist dies wahrscheinlich der Fall –, stellen sie einen potenziellen Einstiegspunkt für Angreifer dar. Wenn sie dieselben Plattformen und Protokolle nutzen wie Ihre „kritischen“ Apps – und das tun sie wahrscheinlich –, stellen sie ein Risiko für alle Anwendungen dar, da sie dieselben Schwachstellen aufweisen.

Ein einziger schmaler Pfad in das Netzwerk über eine beliebige Anwendung reicht aus, um die gesamte Organisation (das Unternehmen) einem Risiko auszusetzen. Wenn Angreifer sich Zugriff auf eine Anwendung oder einen Server verschaffen, eröffnen sich ihnen zahlreiche Möglichkeiten. Von Anmeldeinformationen bis zu Verbindungen: Ein einzelner Angriffspunkt im Rechenzentrum (egal ob in der öffentlichen Cloud oder vor Ort) stellt eine größere Bedrohung dar, als uns lieb ist.

Es gibt keinen Grund, „nicht kritische“ Anwendungen in puncto Sicherheit zu ignorieren. Tatsächlich gibt es Hunderte, vielleicht Tausende guter Gründe, ihnen Aufmerksamkeit zu schenken und für den Schutz durch eine WAF zu sorgen. Anmeldeinformationen des Mitarbeiters. Personenbezogene Daten. Weiterleitungen zu anderen, interessanteren Anwendungen und Diensten.

Wenn es um Sicherheit geht, gibt es keine unkritischen Apps.

Ignorieren Sie die Ziegenpfade nicht zugunsten der Hot Gates.

*Ja, die Perser hätten wahrscheinlich sowieso gewonnen, aber jetzt werden wir es nie erfahren, oder?