• Share via AddThis

LÖSUNGSÜBERSICHT

Minimierung von Anwendungs-Sicherheitsschwachstellen

Heutzutage ermöglichen Apps die digitale Transformation und verschaffen Wettbewerbsvorteile. Es ist also an der Zeit, Sicherheitslösungen zu vereinfachen und die Perspektive zu wechseln.

Lösungen für die Anwendungssicherheit

Willkommen im Zeitalter der Anwendungen

Um die Agilität zu erhalten und gleichzeitig den Prozess der Markteinführung zu beschleunigen, haben Unternehmen die agile Entwicklung eingeführt und AppDev- und DevOps-Teams mit der Umsetzung strategischer Geschäftsanforderungen betraut. Ein Entwickler kann per Mausklick die Erstellung, Prüfung und Bereitstellung sowie den Betrieb und die Überwachung eines neuen Codes automatisieren, der die Welt verändern könnte.

Wichtige Vorteile

Verschiebung nach links

Die Anwendungssicherheit wird – unabhängig von der Architektur, der Cloud oder dem Framework – in den Anwendungsentwicklungszyklus integriert.

Reduzierung der Komplexität

F5 optimiert die Sicherheit über Clouds und Architekturen hinweg und sorgt für eine konsistente Durchsetzung von Richtlinien.

Maximierung der Benutzerfreundlichkeit

Die Lösungen von F5 verhindern Kompromittierungen mit minimalen Reibungspunkten und Fehlalarmen und machen aus einer Sicherheitskostenstelle einen Faktor für den Geschäftserfolg.

Aber was ist mit der Anwendungssicherheit?

Die Anwendungsentwicklung hat sich gewandelt und läuft jetzt weitgehend automatisiert ab, doch die Sicherheit erfordert nach wie vor einen hohen manuellen Aufwand. Die Anzahl der Entwickler und DevOps-Experten ist hundertmal höher als die der Sicherheitsexperten. Der Zeitdruck bei der Markteinführung hat zu Reibungspunkten zwischen Anwendungs- und Sicherheitsteams geführt und den Eindruck erweckt, dass die Sicherheit einen Kapazitätsengpass darstellt. Dabei handelt es sich um ein ernsthaftes Dilemma, das oft zu unzureichenden Prüfungen, Prozessabkürzungen und ineffektiver Überwachung führt.

Gleichzeitig hat die Verbreitung von Architekturen, Clouds und Drittanbieter-Integrationen die Angriffsfläche vieler Unternehmen dramatisch vergrößert. Anwendungsschwachstellen wie Cross-Site Scripting (XSS) und Einschleusungen sind seit den Anfängen der Anwendungssicherheit vor mehr als 20 Jahren weit verbreitet und immer noch entdecken und nutzen sie Angreifer weiterhin in alarmierendem Tempo. Angreifer nutzen Schwachstellen als Waffe, indem sie mithilfe von Automatisierungs-Frameworks das Internet durchsuchen, Schwachstellen ausfindig machen und daraus Profit schlagen. Vor allem Open-Source-Software birgt viele Sicherheitslücken, die unbekannte und erhebliche Risiken mit sich bringen.

F5 Labs berichtet, dass alle 9 Stunden eine kritische Sicherheitslücke bekannt wird, die eine Code-Ausführung aus der Ferne ermöglicht – einer der schwerwiegendsten Angriffe überhaupt.

Um die wachsende Komplexität bei der Sicherung von Anwendungen über verschiedene Architekturen, Clouds und Entwickler-Frameworks hinweg effektiv zu bewältigen, müssen Unternehmen ihre Strategie ändern und die Perspektive wechseln.

Open Web Application Security Project

Das Open Web Application Security Project (OWASP) wurde 2001 gegründet, um Führungskräfte und Unternehmensvorstände von der Notwendigkeit eines effektiven Schwachstellenmanagements zu überzeugen. Ein disziplinierter Ansatz, der Sicherheitsanbieter und Rückmeldungen von Seiten der Community einbezog, hat zur Erstellung der OWASP Top 10 geführt – einer Liste der am weitesten verbreiteten und kritischsten Anwendungsschwachstellen.

XSS und Einschleusungen sind seit Einführung dieser Liste in jeder OWASP Top 10-Ausgabe zu finden, doch die neue Ära der Anwendungssicherheit ist gekennzeichnet durch eine wachsende Bedrohung der Software-Lieferketten, die Verbreitung von Open-Source-Software und die betriebliche Komplexität der Sicherheits- und Zugriffsverwaltung für ältere und moderne Anwendungen. Sowohl Software-Updates als auch kritische Daten und die Integrität von CI/CD-Pipelines können kompromittiert werden. Open-Source-Software beschleunigt zwar die Entwicklung erheblich, verändert aber auch das Risikomanagement, da Kontrollen, die bei intern entwickelter Individualsoftware üblich sind, wie z. B. die statische Codeanalyse (SCA), bei Softwareprodukten von Drittanbietern nicht immer möglich oder praktikabel sind.

Im Jahr 2021 haben Angreifer damit begonnen, eine kritische Sicherheitslücke in einer weit verbreiteten Open-Source-Softwarebibliothek auszunutzen, die von Tausenden von Websites und Anwendungen verwendet wird, und zwar fast unmittelbar nach Veröffentlichung der Einzelheiten zu dieser Sicherheitslücke. Wird diese Schwachstelle nicht behoben, kann es zu einer Code-Ausführung aus der Ferne kommen, bei der die Angreifer Websites und Online-Anwendungen übernehmen, Geld stehlen, Daten verletzen und Kundenkonten kompromittieren können.

F5 Labs zeigt anhand einer detaillierten Analyse mehrerer Quellen, dass Web-App-Exploits zu den bei Sicherheitsvorfällen am häufigsten beobachteten Methoden gehören und dass die durchschnittliche Zeit bis zur Entdeckung 254 Tage beträgt. In Anbetracht der Tatsache, dass 57 % aller gemeldeten finanziellen Verluste bei den größten Vorfällen der letzten fünf Jahre auf mit dem Staat in Verbindung stehende Bedrohungsakteure zurückzuführen sind, benötigen Unternehmen eine robuste Überbrückung, um ihre Anwendungen zu schützen und potenziell verheerende Sicherheitslücken zu schließen, bevor bösartige Akteure Exploits als Waffe einsetzen und das Unternehmen kompromittieren.

Wesentliche Merkmale

  • Native Integration in App-Entwicklungs-Frameworks verbessert die Markteinführungszeit und die Agilität des Unternehmens.
  • Sofort einsetzbarer Schutz für eine Vielzahl von Schwachstellen reduziert das Risiko und die betriebliche Komplexität.
  • Transparenz und Durchsetzung über Clouds und Architekturen hinweg sichert das gesamte Anwendungsportfolio des Unternehmens.
  • Selbstlernende und selbstabstimmungsfähige Richtlinien reduzieren die Belastung der InfoSec-, DevOps- und AppDev-Teams.
  • Dynamische Informationsfeeds ermöglichen eine schnelle Behebung neu auftretender Bedrohungen.
  • Die deklarative Richtlinie abstrahiert die zugrundeliegende Infrastruktur, um unbeabsichtigte Risiken und Fehlkonfigurationen zu vermeiden.
  • Sicherheitslösungen, die auf Änderungen bei Anwendungen und Angreifern reagieren, maximieren die Effektivität und optimieren das Kundenerlebnis.
  • Automatisierte Schutzvorrichtungen und anpassungsfähige Sicherheitslösungen ermöglichen es dem Unternehmen, die digitale Transformation gefahrlos zu beschleunigen.
  • Sicherheit wird bei Bedarf bereitgestellt, um konsistenten Schutz von der Anwendung bis zum Endgerät zu gewährleisten.

Der Aufstieg der Automatisierung und der Clouds

Die rasante technologische Entwicklung verändert die Art und Weise, wie Unternehmen ihre Geschäfte abwickeln – und die Maßnahmen, die sie ergreifen müssen, um ihr Unternehmen sicher zu machen. Heute modernisieren mehr als drei Viertel der Unternehmen ihre Anwendungen, wobei der Schwerpunkt zunehmend auf der Beschleunigung der Markteinführung liegt. Während Projekte „auf der grünen Wiese“ von der Effizienz der Clouds profitieren können, umfassen die meisten Unternehmensportfolios sowohl ältere als auch moderne Apps, die sich über eine Vielzahl von Architekturen in Rechenzentren, Clouds und Microservices erstrecken.

Die explosionsartige Zunahme von Anwendungen und die Geschwindigkeit der Markteinführung führen auch zu grundlegenden Veränderungen im Risikomanagement. Netzwerktechniker müssen nicht unbedingt Infrastrukturen bereitstellen. DevOps-Teams können mithilfe neuer Architekturen wie Containern problemlos virtuelle und kurzlebige Infrastrukturen als schlüsselfertige Cloud-Lösung erstellen und damit alles von der Codeerstellung bis hin zur Servicebereitstellung automatisieren. Diese Änderungen an Rollen, Zuständigkeiten und Arbeitsweisen in der Anwendungsentwicklung können die Sicherheit oft ins Hintertreffen geraten lassen.

Gleichzeitig werden die Methoden der Angreifer immer effizienter: Sie nutzen leicht verfügbare Tools und Frameworks zur Skalierung ihrer Angriffe und setzen im Grunde dieselben Methoden ein, die von Sicherheitsexperten zur Quantifizierung und Bewertung der Risiken verwendet werden.

Darüber hinaus entscheiden sich Unternehmen zur Sicherstellung der Geschäftskontinuität zunehmend für mehrere Cloud-Anbieter. Dies verbessert zwar die Resilienz und verringert das Risiko von Ausfallzeiten, hat aber auch einen unbeabsichtigten Nebeneffekt: Cloud-Anbieter bieten nämlich keine universelle Sicherheit. Dies führt dazu, dass die für die Sicherheit verantwortlichen Personen oftmals nicht wissen, was gesichert ist und was nicht, und selbst Feinheiten können zu Schwachstellen – meist falschen Sicherheitskonfigurationen – führen ( siehe z. B. das AWS-Modell der geteilten Verantwortung).

Marktarchitekturdiagramm zur Beseitigung von Sicherheitslücken in Anwendungen

Abbildung 1: Die Automatisierung der CI/CD-Pipeline kann die Markteinführungszeit verkürzen, das Risiko verringern und zu besseren Geschäftsergebnissen führen

Die Notwendigkeit einer Verschiebung nach links und eines Perspektivenwechsels

Risiken verändern sich durch die Art und Weise, wie Anwendungen entwickelt und bereitgestellt werden. Um Sicherheitsrisiken in Anwendungen abzuwenden, müssen sich deshalb auch die Sicherheitslösungen ändern. Transparenz und Konsistenz sind so wichtig wie eh und je, aber Unternehmen brauchen einen Paradigmenwechsel in der Art und Weise, wie Anwendungssicherheit implementiert wird. Statt erst nach dem Start einer Anwendung eine Sicherheitsrichtlinie zu erstellen, Fehlalarme zu untersuchen, um die Richtlinie zu stabilisieren und zu optimieren, und danach zu überwachen, welche neu veröffentlichten Schwachstellen die Anwendung gefährden könnten, muss die Anwendungssicherheit unabhängig von der Architektur, der Cloud oder dem Framework in den Anwendungsentwicklungsprozess integriert werden.

Die Anwendungssicherheit ist am effektivsten, wenn sie automatisiert, integriert und anpassungsfähig ist. Durch die Automatisierung können die Betriebsausgaben (OpEx) gesenkt und die Belastung kritischer Sicherheitsressourcen während der Veröffentlichung, Bereitstellung und Wartung von Anwendungen verringert werden. Eine automatisierte Richtlinienbereitstellung kann die Effektivität verbessern, indem die Sicherheitskontrollen bereits an früherer Stelle in den Softwareentwicklungszyklus (SDLC) integriert und stabilisiert werden. Dies führt zu einer höheren Wirksamkeit bei gleichzeitiger Verringerung der manuellen Eingriffe und befreit die InfoSec-Mitarbeiter von einer Flut von Warnmeldungen und potenziellen Fehlalarmen, wodurch sie sich verstärkt auf strategische Risikomanagement-Maßnahmen konzentrieren können. Durch die native Integration in Anwendungsentwicklungs-Frameworks und CI/CD-Pipelines (Continuous Integration / Continuous Delivery) werden Reibungspunkte zwischen Entwicklungs- und Sicherheitsteams reduziert, was zu einer besseren geschäftlichen Agilität und organisatorischen Abstimmung führt.

Die Integration in Entwicklungstools durch API-gesteuerte Bereitstellung und Wartung vereinfacht die Richtlinienverwaltung und Änderungskontrolle über mehrere Architekturen und Clouds hinweg, indem die Komplexität der Infrastruktur abstrahiert, der betriebliche Aufwand reduziert und Fehlkonfigurationen verhindert werden.

Darüber hinaus sollten die Sicherheitsvorkehrungen präzise und widerstandsfähig sein, damit die Kunden nicht verärgert werden und Angreifer keine Chance erhalten, ihre Feldzüge auszubauen, um unentdeckt zu bleiben. Verbraucher wünschen sich personalisierte, kuratierte Erlebnisse und raffinierte Angreifer lassen sich nicht so leicht abschrecken.

Wirksame Sicherheitslösungen, die die Benutzerfreundlichkeit nicht beeinträchtigen, können in einer wettbewerbsintensiven digitalen Wirtschaft ein wichtiges Unterscheidungsmerkmal sein, um Kunden zu gewinnen und zu halten.

Fazit

Heutzutage sind Apps ein wesentlicher geschäftlicher Faktor, was Bedrohungen, die sich gegen Apps richten, und unzureichende Sicherheitssysteme zu den größten Risiken für das Geschäftspotenzial macht. Moderne, dezentralisierte Anwendungsarchitekturen haben die Angriffsfläche vergrößert, die Automatisierung hat unbeabsichtigte Risiken mit sich gebracht und die Effektivität von Angriffen erhöht, und die Folgen der Cyberkriminalität nehmen weiter zu. Dennoch können Unternehmen, die durchgängig sichere digitale Erlebnisse liefern, Zuwächse bei den Kunden und Umsätzen erzielen.

Die Lösung liegt auf der Hand. Statt die Freigabe von neuem Code, der die Welt verändern könnte, zu verzögern, sollten Sie die Sicherheit weiter nach links verlagern, um den Schutz während des gesamten Anwendungslebenszyklus zu automatisieren und den Sicherheitsaspekt zu einem wichtigen geschäftlichen Unterscheidungsmerkmal zu machen.

Durch die proaktive Schließung von Sicherheitslücken, die Verringerung der Komplexität und den Schutz des Unternehmens durch effektive und einfach zu bedienende Sicherheitslösungen können Sie die digitale Transformation beschleunigen und das Kundenerlebnis optimieren. Gleichzeitig verringern Sie so die Risiken und schaffen digitale Wettbewerbsvorteile.

Nächste Schritte

Testversion starten

Erfahren Sie im Rahmen einer kostenlosen Testversion, wie die Anwendungssicherheitslösungen von F5 funktionieren.

Starten Sie noch heute

Kontaktieren Sie uns

Finden Sie heraus, wie die Produkte und Lösungen von F5 Ihnen helfen können, Ihre Ziele zu erreichen.

F5 kontaktieren