Unternehmen brauchen einen integrierten Ansatz zum Schutz von Webanwendungen
In den letzten 15 Jahren haben sich Webanwendungen mit ungeheurer Geschwindigkeit verbreitet und weiterentwickelt, und in den Netzwerken mancher Großunternehmen sind mittlerweile Tausende von Webanwendungen im Einsatz. Die Absicherung dieser Anwendungen ist jedoch kein so geradliniger Prozess wie bei nicht webbasierten Applikationen. Trotzdem versuchen Unternehmen oft, genau dieselben Prozesse anzuwenden, was dazu führt, dass zahlreiche Unternehmen außerordentlich anfällig sind.
Da Webanwendungen einer der wichtigsten Angriffsvektoren für Hacker sind, kann sich kein Unternehmen sicher fühlen. Der Diebstahl von mehr als 58 Millionen Nutzerdaten bei Ubisoft im Juli dieses Jahres macht das einmal mehr deutlich. Der Angriff auf Ubisoft ereignete sich zwei Jahre nach einem Hackerangriff auf das Sony PlayStation Network, bei dem die Passwörter und Kreditkartendaten von Millionen von Nutzern entwendet worden waren. Das Unternehmen wurde im Anschluss vom britischen Information Commissioner’s Office zur Zahlung eines Bußgelds in Höhe von 250.000 Pfund verurteilt. Wenn Kundendaten nicht abgesichert werden, kann dies gravierende Folgen haben – finanzieller Natur, aber auch im Hinblick auf das Kundenvertrauen.
Isolierte Zuständigkeiten
Die Angreifer werden von Tag zu Tag raffinierter, und die Sicherheitsteams verfügen nicht immer über das erforderliche Know-how und die nötige Zeit zur richtigen Handhabung von Webanwendungen – schon gar nicht, wenn diese Anwendungen 15 Jahre alt sind und sich keiner mehr mit dem veralteten Programmcode auskennt. Hinzu kommt, dass in den meisten Unternehmen separate IT-Teams für die unterschiedlichen Aspekte des Netzwerks verantwortlich sind, das in der Regel aus zahlreichen verschiedenen Softwareprogrammen, Geräten und anderen Komponenten besteht, von denen die meisten auch noch in mehreren Versionen vorhanden sind. Aus diesem Grund wird es immer unterschiedliche Meinungen darüber geben, welche Tools, Prozesse und Programme zur Behebung einer ermittelten Schwachstelle eingesetzt werden sollen, und selbst die Frage, wie das Netzwerk zur Ermittlung potenzieller Risiken gescannt werden soll, kann strittig sein.
Der Mangel an übergreifender Kontrolle, Kommunikation und Kooperation zwischen den IT-Sicherheitsmitarbeitern, den einzelnen Geschäftsbereichen und den Entwicklern wird zu einem gravierenden Problem, wenn tausend oder noch mehr Webanwendungen regelmäßig gescannt werden müssen, um sicherzustellen, dass sie nicht anfällig für Angriffe sind.
Die Resultate eines Scans zu analysieren kann bis zu vier Tage manueller Arbeit erfordern. Deshalb ist es bei vielen Anwendungen nahezu unmöglich, genügend interne Ressourcen zu haben, um sie so häufig und gründlich zu scannen, dass die Sicherheit der Infrastruktur gewährleistet ist.
Angesichts der zunehmenden Zahl von Webanwendungen in Netzwerken ist es schwierig, einen Überblick über sämtliche Anwendungen zu haben, jede Anwendung genau zu kennen und zu wissen, wie man sie schützt oder auch nur einen Patch entwickelt, um die Auswirkungen einer Schwachstelle zu mindern.
Sicherheit schon im Entwicklungszyklus
Voraussetzung für die erfolgreiche Integration von Sicherheitsrichtlinien ist ein umfassendes Verständnis der Anwendungen, die im Unternehmen vorhanden sind. Fehlt ein solches Verständnis, kann dies zum Auftreten von False Positives führen und Bedenken hinsichtlich des Einsatzes von Scan-Technologien aufwerfen.
Zugleich ist es für Unternehmen außerordentlich wichtig, zum Schutz ihrer Webanwendungen einen integrierten Ansatz zu verfolgen. Viele Unternehmen implementieren eine Web Application Firewall (WAF), um Webanwendungen auf Angriffe zu überwachen und vor ihnen zu schützen. Zu diesem Zweck müssen jedoch Firewall-Richtlinien konfiguriert werden, und wenn man die Anwendungen nicht genau kennt, ist eine sinnvolle Konfiguration extrem schwierig. Wird zusätzlich zur WAF auch eine Lösung zum Scannen der Webanwendungen eingesetzt, können Unternehmen die Webanwendungen finden, die in ihren Netzwerken laufen, über ihre Anfälligkeit entscheiden und bestehende Schwachstellen richtig beheben. Ebenso wichtig ist jedoch die Integration von Sicherheitsprogrammen schon zu Beginn des Entwicklungszyklus, und dazu gibt es keine Alternative.
Wenn Sie einen Scan durchführen, der die Anwendung genau erfasst, wird die Zahl der False Positives erheblich verringert, und Sie erhalten die genauen, auf einer präzisen Analyse basierenden Details, die Sie für optimale Entscheidungen brauchen. Dazu muss man die Webanwendung jedoch genau verstehen und Sicherheitsmechanismen direkt in die Anwendung integrieren. Dann kann das Sicherheitsteam die Entwickler mit umfassenden, für sie verständlichen Informationen versorgen, damit sie eventuell erforderliche Patches bereitstellen können.
Neben der Verwendung eines umfassenden und skalierbaren Webanwendungs-Scanners besteht der beste Ansatz zur Lösung des Problems darin, die Entwickler vorab zu schulen, damit sie einvernehmlich festgelegte Sicherheitsregeln einhalten und die entsprechenden Mechanismen bereits in der Entwufs- und Entwicklungsphase integriert werden können. Es ist billiger, einen Entwickler zu schulen, als eine Schwachstelle zu beheben, insbesondere dann, wenn diese Schwachstelle bereits von Hackern ausgenutzt wurde.
Integrierter Ansatz
Die Mindestvoraussetzung für eine echte Absicherung von Webanwendungen ist die, dass die verschiedenen Abteilungen miteinander reden und sich über gemeinsame Best Practices verständigen. Die ultimative Verteidigungsmaßnahme besteht jedoch darin, die Zuständigkeit für die Webanwendungen in die Hände eines einzigen Teams zu legen, das an der Schnittstelle zwischen Infrastruktur-, Entwicklungs- und Sicherheitsteams angesiedelt ist. In vielen Fällen sind die IT-Sicherheitsexperten die letzten, die erfahren, dass eine neue Webanwendung ans Netz gegangen ist, und zu diesem Zeitpunkt ist es dann schon zu spät, irgendetwas zu unternehmen.
Allzu oft sind Unternehmen auf die Netzwerksicherheit fixiert und überzeugt, dass die Firewall schon alles richten wird. Darüber vergessen sie jedoch, dass es neben den Netzwerkschwachstellen noch eine ganze Reihe weiterer Anfälligkeiten gibt, die nur darauf warten, ausgenutzt zu werden. Die Prävention darf sich nicht auf Patch-Pflaster beschränken, denn sonst werden wir auch weiterhin spektakuläre Angriffe auf Unternehmen und deren Kundendaten erleben.
Ein integrierter Ansatz ist unerlässlich für Unternehmen, die die Oberhand über potenzielle Angreifer gewinnen wollen. Der Einbau von Sicherheitsmechanismen im Entwicklungszyklus der Anwendungen, die Nutzung von WAF-Technologien sowie der Einsatz eines Web Application Scanners sind die besten Mittel, die Unternehmen zur Verfügung stehen, um ihre Webanwendungen vor möglichen Angriffen zu schützen.
Da Webanwendungen einer der wichtigsten Angriffsvektoren für Hacker sind, kann sich kein Unternehmen sicher fühlen. Der Diebstahl von mehr als 58 Millionen Nutzerdaten bei Ubisoft im Juli dieses Jahres macht das einmal mehr deutlich. Der Angriff auf Ubisoft ereignete sich zwei Jahre nach einem Hackerangriff auf das Sony PlayStation Network, bei dem die Passwörter und Kreditkartendaten von Millionen von Nutzern entwendet worden waren. Das Unternehmen wurde im Anschluss vom britischen Information Commissioner’s Office zur Zahlung eines Bußgelds in Höhe von 250.000 Pfund verurteilt. Wenn Kundendaten nicht abgesichert werden, kann dies gravierende Folgen haben – finanzieller Natur, aber auch im Hinblick auf das Kundenvertrauen.
Isolierte Zuständigkeiten
Die Angreifer werden von Tag zu Tag raffinierter, und die Sicherheitsteams verfügen nicht immer über das erforderliche Know-how und die nötige Zeit zur richtigen Handhabung von Webanwendungen – schon gar nicht, wenn diese Anwendungen 15 Jahre alt sind und sich keiner mehr mit dem veralteten Programmcode auskennt. Hinzu kommt, dass in den meisten Unternehmen separate IT-Teams für die unterschiedlichen Aspekte des Netzwerks verantwortlich sind, das in der Regel aus zahlreichen verschiedenen Softwareprogrammen, Geräten und anderen Komponenten besteht, von denen die meisten auch noch in mehreren Versionen vorhanden sind. Aus diesem Grund wird es immer unterschiedliche Meinungen darüber geben, welche Tools, Prozesse und Programme zur Behebung einer ermittelten Schwachstelle eingesetzt werden sollen, und selbst die Frage, wie das Netzwerk zur Ermittlung potenzieller Risiken gescannt werden soll, kann strittig sein.
Der Mangel an übergreifender Kontrolle, Kommunikation und Kooperation zwischen den IT-Sicherheitsmitarbeitern, den einzelnen Geschäftsbereichen und den Entwicklern wird zu einem gravierenden Problem, wenn tausend oder noch mehr Webanwendungen regelmäßig gescannt werden müssen, um sicherzustellen, dass sie nicht anfällig für Angriffe sind.
Die Resultate eines Scans zu analysieren kann bis zu vier Tage manueller Arbeit erfordern. Deshalb ist es bei vielen Anwendungen nahezu unmöglich, genügend interne Ressourcen zu haben, um sie so häufig und gründlich zu scannen, dass die Sicherheit der Infrastruktur gewährleistet ist.
Angesichts der zunehmenden Zahl von Webanwendungen in Netzwerken ist es schwierig, einen Überblick über sämtliche Anwendungen zu haben, jede Anwendung genau zu kennen und zu wissen, wie man sie schützt oder auch nur einen Patch entwickelt, um die Auswirkungen einer Schwachstelle zu mindern.
Sicherheit schon im Entwicklungszyklus
Voraussetzung für die erfolgreiche Integration von Sicherheitsrichtlinien ist ein umfassendes Verständnis der Anwendungen, die im Unternehmen vorhanden sind. Fehlt ein solches Verständnis, kann dies zum Auftreten von False Positives führen und Bedenken hinsichtlich des Einsatzes von Scan-Technologien aufwerfen.
Zugleich ist es für Unternehmen außerordentlich wichtig, zum Schutz ihrer Webanwendungen einen integrierten Ansatz zu verfolgen. Viele Unternehmen implementieren eine Web Application Firewall (WAF), um Webanwendungen auf Angriffe zu überwachen und vor ihnen zu schützen. Zu diesem Zweck müssen jedoch Firewall-Richtlinien konfiguriert werden, und wenn man die Anwendungen nicht genau kennt, ist eine sinnvolle Konfiguration extrem schwierig. Wird zusätzlich zur WAF auch eine Lösung zum Scannen der Webanwendungen eingesetzt, können Unternehmen die Webanwendungen finden, die in ihren Netzwerken laufen, über ihre Anfälligkeit entscheiden und bestehende Schwachstellen richtig beheben. Ebenso wichtig ist jedoch die Integration von Sicherheitsprogrammen schon zu Beginn des Entwicklungszyklus, und dazu gibt es keine Alternative.
Wenn Sie einen Scan durchführen, der die Anwendung genau erfasst, wird die Zahl der False Positives erheblich verringert, und Sie erhalten die genauen, auf einer präzisen Analyse basierenden Details, die Sie für optimale Entscheidungen brauchen. Dazu muss man die Webanwendung jedoch genau verstehen und Sicherheitsmechanismen direkt in die Anwendung integrieren. Dann kann das Sicherheitsteam die Entwickler mit umfassenden, für sie verständlichen Informationen versorgen, damit sie eventuell erforderliche Patches bereitstellen können.
Neben der Verwendung eines umfassenden und skalierbaren Webanwendungs-Scanners besteht der beste Ansatz zur Lösung des Problems darin, die Entwickler vorab zu schulen, damit sie einvernehmlich festgelegte Sicherheitsregeln einhalten und die entsprechenden Mechanismen bereits in der Entwufs- und Entwicklungsphase integriert werden können. Es ist billiger, einen Entwickler zu schulen, als eine Schwachstelle zu beheben, insbesondere dann, wenn diese Schwachstelle bereits von Hackern ausgenutzt wurde.
Integrierter Ansatz
Die Mindestvoraussetzung für eine echte Absicherung von Webanwendungen ist die, dass die verschiedenen Abteilungen miteinander reden und sich über gemeinsame Best Practices verständigen. Die ultimative Verteidigungsmaßnahme besteht jedoch darin, die Zuständigkeit für die Webanwendungen in die Hände eines einzigen Teams zu legen, das an der Schnittstelle zwischen Infrastruktur-, Entwicklungs- und Sicherheitsteams angesiedelt ist. In vielen Fällen sind die IT-Sicherheitsexperten die letzten, die erfahren, dass eine neue Webanwendung ans Netz gegangen ist, und zu diesem Zeitpunkt ist es dann schon zu spät, irgendetwas zu unternehmen.
Allzu oft sind Unternehmen auf die Netzwerksicherheit fixiert und überzeugt, dass die Firewall schon alles richten wird. Darüber vergessen sie jedoch, dass es neben den Netzwerkschwachstellen noch eine ganze Reihe weiterer Anfälligkeiten gibt, die nur darauf warten, ausgenutzt zu werden. Die Prävention darf sich nicht auf Patch-Pflaster beschränken, denn sonst werden wir auch weiterhin spektakuläre Angriffe auf Unternehmen und deren Kundendaten erleben.
Ein integrierter Ansatz ist unerlässlich für Unternehmen, die die Oberhand über potenzielle Angreifer gewinnen wollen. Der Einbau von Sicherheitsmechanismen im Entwicklungszyklus der Anwendungen, die Nutzung von WAF-Technologien sowie der Einsatz eines Web Application Scanners sind die besten Mittel, die Unternehmen zur Verfügung stehen, um ihre Webanwendungen vor möglichen Angriffen zu schützen.