Interactive Application Security Testing

IAST – die Zukunft der Anwendungstests?

| Autor / Redakteur: Boris Cipot * / Stephan Augsten

IAST-Lösungen analysieren das Verhalten von Webanwendungen während ihrer Laufzeit mithilfe von Softwareagenten oder Sensoren.
IAST-Lösungen analysieren das Verhalten von Webanwendungen während ihrer Laufzeit mithilfe von Softwareagenten oder Sensoren. (Bild: typographyimages - Pixabay.com)

Interactive Application Security Testing, kurz IAST, bietet erhebliche Vorteile gegenüber einigen anderen Testmethoden. Warum das Softwaresicherheits-Toolkit ohne IAST nicht vollständig ist, soll dieser Beitrag beleuchten.

Viele feiern Interactive Application Security Testing (IAST) als den nächsten Schritt in der Entwicklung der Anwendungstests. Und das aus gutem Grund: Laut dem „Gartner Magic Quadrant for Application Security Testing 2017“ werden mehr als 30 Prozent der Unternehmen bis 2019 IAST einführen.

Was ist IAST?

Interactive Application Security Testing ist eine Technik, die das Verhalten von webbasierten Anwendungen während der Ausführung analysiert. IAST-Lösungen verwenden typischerweise Softwareagenten oder Sensoren innerhalb der laufenden Anwendung. Diese analysieren die im Normalfall durch automatisierte Tests ausgelösten Interaktionen der Anwendung fortlaufend, um Sicherheitsschwachstellen zu identifizieren.

IAST beobachtet jede Zeile des Codes, während er ausgeführt wird, genau wie den Stacktrace, die Speicherwerte und den tatsächlichen Datenfluss der Anwendung während jeder http(s)-Anfrage. Manche IAST-Lösungen können nicht nur Schwachstellen aktiv überwachen, wie beispielsweise SQL-Injections, sondern sie verifizieren und zeigen auch, dass sie durch Cyberkriminelle ausnutzbar sind. Anschließend erstellen sie einen Schwachstellenbericht mit zeilenspezifischen Korrekturhinweisen, der es den Entwicklern ermöglicht, die priorisierten Schwachstellen sofort zu beseitigen.

Entscheidend für IAST ist der Zeitpunkt, an dem es im Software-Entwicklungs-Lebenszyklus (SDLC) implementiert werden kann: IAST läuft typsicherweise schon in der Qualitätssicherungs- und Testphase. Wenn Sicherheitstests schon vor der Produktionsphase – wo DAST normalerweise stattfindet – durchgeführt werden, können Entwicklungsteams Schwachstellen früher erkennen. Das spart Kosten, vermeidet Verzögerungen und reduziert das Risiko von fehlerhaften Anwendungen.

Die besten IAST-Tools bieten eine Integration mit Software-Composition-Analysis-, sprich SCA-Tools. Diese prüfen zusätzlich auf Open-Source- oder Drittanbieterkomponenten und melden bekannte Probleme mit den damit verbundenen Lizenzen.

Was ist an IAST besonders?

Die Webanwendungen großer Organisationen sind ideale Angriffsvektoren für Hacker, die sensible personenbezogene Daten, geistiges Eigentum und mehr abgreifen wollen. Laut dem Verizon Data Breach Investigations Report 2017 stammen 29,5 Prozent der Sicherheitsverstöße aus Angriffen über Webanwendungen, dem bei weitem häufigsten Vektor. Diese Verstöße verursachen oft signifikante finanzielle Einbußen und langfristige Reputationsschäden für das Unternehmen. Hier nur einige aktuelle Beispiele:

  • Im Herbst 2017 waren auf der US-Reisebuchungsseite Orbitz 880.000 Zahlungsdaten von Kreditkarten zugänglich.
  • Zahlungsdaten im Zeitraum von drei Monaten wurden im Winter 2017 von der amerikanischen Webseite von Rail Europe gestohlen.
  • Die Zahlungsinformationen von bis zu 40.000 Kunden wurden im Frühjahr 2018 von der britischen Website von Ticketmaster entwendet.
  • Nicht zuletzt wurden durch den berühmten Equifax-Angriff die personenbezogenen Daten von mehr als 145 Millionen Menschen entwendet.

Obwohl der Equifax-Angriff im Sommer 2017 stattfand – in der Welt der Cybersicherheit ist das Ewigkeiten her – hat er Folgen bis heute; nicht nur wegen seiner großen Auswirkungen, sondern auch, weil er recht einfach zu verhindern gewesen wäre.

Traditionelle Methoden für Anwendungssicherheitstests bieten einen Schutzschild, indem sie potenzielle Schwachstellen finden und beheben. Allerdings scannen und testen die Anwendungen unterschiedlich. Einige können Bedrohungen besser ausfindig machen als andere. Das ist abhängig von vielen Bedingungen, wie Testumgebung, SDLC-Phase oder Anwendungsfall.

Diese Unterschiede stellen Organisationen vor ein Dilemma: Wenn sie die falschen Werkzeuge auswählen, könnten sie ihre Webanwendungen unwissentlich einem Angriff aussetzen. IAST-Lösungen verhindern das, indem sie Probleme früh im SDLC erkennen, Kosten verringern und Verzögerungen vermeiden – alles, ohne den normalen Arbeitsfluss zu stören.

Unterschiede zu anderen AppSec-Werkzeugen

Um mit der Nachfrage nach schneller App-Entwicklung Schritt halten zu können, brauchen Organisationen genaue, automatisierte Sicherheitstestwerkzeuge, die einfach skalieren und anwendbare Ergebnisse liefern. Statische Analysen, die häufigsten xAST-Lösungen, analysieren statischen Quellcode umfassend, erkennen aber keine Laufzeit-Schwachstellen, die durch dynamische Tests gefunden werden. Ihre Stärken sind Schnelligkeit, genaue Ergebnisse und zeilengenaue Identifizierung der Fehler im Code.

Dynamische Analysen (DAST) und manuelles Testen können zwar Anfälligkeiten während der Laufzeit finden, behindern aber die schnelllebigen, agilen Workflows der kontinuierlichen Integration (CI) und der kontinuierlichen Auslieferung (CD). Sie sind schlicht zu langsam und erfordern das Sicherheitsfachwissen erfahrener Experten in allen Arbeitsschritten.

Dynamische Anwendungssicherheitstests

DAST-Werkzeuge testen laufende Anwendungen, indem sie sie von außen angreifen. Doch sie sind blind für das Innere der Anwendung; das verkleinert die Einsatzmöglichkeiten. Mäßige Falsch-Positiv-Raten und lange Testdauern sind weitere Nachteile. Außerdem kann DAST Fehler nicht im Code lokalisieren. Das macht es für Entwickler schwer, die identifizierten Schwachstellen zu beheben. DAST-Werkzeuge sind nicht effizient genug für die kurzen Testzeiten, die für stringente CI/CD-Arbeitsabläufe nötig sind – anders als IAST, das Ergebnisse in Echtzeit liefert.

Statische Anwendungssicherheitstests

SAST-Lösungen als Alternative punkten bei der Identifizierung von Sicherheitsschwachstellen und zeigen genau, wo und wie die Fehler im Code zu beheben sind. Sie bieten Integrationen für Entwicklungsumgebungen, Serviceticket-Systeme und fertige Werkzeuge um CI/CD-Abläufe zu unterstützen. Doch SAST erkennt nicht, wie die Teile einer Anwendung zusammenarbeiten und sich während der Laufzeit verhalten. Es findet keine Schwachstellen in der laufenden Anwendung. Außerdem können SAST-Berichte überfordern, weil sie zu viele lediglich potenzielle Schwachstellen aufzeigen.

Interaktive Anwendungssicherheitstests

IAST-Lösungen sind, anders als DAST und SAST, ideale Werkzeuge, um Sicherheitsschwachstellen zu finden und zu beheben, weil sie Echtzeitdaten verwenden und in der laufenden Anwendung funktionieren. Sie finden viele Laufzeitschwachstellen schneller und genauer als DAST oder SAST. Weil einige IAST-Lösungen SCA enthalten, können sie auch Schwachstellen in Code von Open-Source- oder Drittanbietern identifizieren. IAST liefert Ergebnisse in Echtzeit und kann als einziges Tool DevSecOps und schnelllebige CI/CD-Prozesse mit der nötigen Geschwindigkeit unterstützen.

Welche Vorteile bietet IAST?

1. Anwendbare Ergebnisse für Entwicklungsteams

Ein aktueller Forrester-Bericht zeigt, dass IAST im Vergleich zu Penetrationstests die Zeit bis zur Beseitigung von Schwachstellen um 65 Prozent verkürzt. IAST hilft Entwicklern, Sicherheitsschwachstellen innerhalb ihres Prozesses zu finden und zu beheben. Anwendungssicherheitsexperten können sich auf strategische Sicherheitsinitiativen statt Sicherheitstests konzentrieren.

2. Umfassende Schwachstellen- und Risikoberichte früh im SDLC

Dank IAST können Entwickler Sicherheitsschwachstellen während des Programmierens, also früh im SDLC beheben. Das reduziert die Abhängigkeit von externen Dienstleistern für Penetrationstests. Laufzeitschwachstellen werden schon vor der Produktion gefunden und behoben. Durch Sicherheitstests in der Qualitätssicherungsphase können Unternehmen entscheidende Kosten und Ressourcen sparen und gleichzeitig Sicherheitsrisiken verringern.

3. Niedrige Falsch-Positiv-Raten

IAST-Lösungen arbeiten automatisiert und akkurat. Sie liefern keine lange Liste mit potenziellen Schwachstellen, die langwierige, mühsame Überarbeitung braucht, um Fehler und Falsch-Positiv-Fälle zu eliminieren. So können Organisationen das Budget für DAST und Penetrationstests für drängendere Probleme verwenden, die intensive manuelle Tests durch Menschen erfordern.

4. Integration in automatisierte Entwicklungs- und Testumgebungen

Wenn Entwicklungsteams Sicherheitstests in ihren normalen Arbeitsablauf aufnehmen sollen, muss eine Lösung für Anwendungssicherheit in agile Werkzeuge und CI/CD-Entwicklungs-Werkzeuge integrierbar sein. Außerdem muss diese leicht einzusetzen, zu aktualisieren und skalierbar sein, um die Anforderungen großer Unternehmen zu erfüllen. IAST-Lösungen können nahtlos in CI/CD-Pipelines integriert werden und funktionieren schnell genug für DevOps.

Auf was sollte man bei IAST achten?

IAST hat viele klar ausgeprägte Vorteile gegenüber herkömmlichen Lösungen. Deshalb wird es die nächste große Entwicklung in der Cybersicherheitsindustrie werden. Ich empfehle, das Folgende zu beachten:

Unverzichtbare Ausstattung

Warum das wichtig ist

Up to date Sicherheits-Dashboards zur Einhaltung von Standards: PCI DSS, OWASP Top 10, SANS/CWE

Erkenntnisse über Sicherheitsrisiken, Trends, Abdeckung und Sicherheitscompliance der laufenden Webanwendungen, inklusive kundenspezifischem Code und Open-Source-Komponenten.

Schnelle, genaue, umfassende Ergebnisse „Out of the Box“ mit niedriger Falsch-Positiv-Rate

Weniger Zeitaufwand für das Finden und Beheben von Falsch-Positiv-Fehlern sowie für die Konfigurierung und Anpassung bestehender Werkzeuge.

Automatisierte Identifizierung und Verifizierung von Schwachstellen

Mehr Freiraum um komplexere Schwachstellen zu finden und zu beheben.

Tracking sensibler Daten (z.B. Geistiges Eigentum, Personenbezogene Daten)

Compliance mit den wichtigsten Sicherheitsstandards der Industrie, wie PCI DSS und DSGVO durch automatisches Nachverfolgen sensibler Daten in Anwendungen.

Einfache Einbindung in agile DevOps-Arbeitsabläufe

Teams nutzen agile Entwicklung und Automatisierung. Sie brauchen Anwendungssicherheitswerkzeuge, die sich nahtlos in die Standardwerkzeuge einfügen und „einfach funktionieren“.

Professionelle SCA-Binäranalysenintegration

Übersicht an Sicherheitsschwachstellen, Lizenztypen und Versionen von Komponenten, Bibliotheken und Frameworks von Open-Source- oder Drittanbietern.

Detaillierte Sicherheitsempfehlungen und Hinweise zur Behebung

Entwickler brauchen detaillierte und kontextbezogene Informationen über Schwachstellen: Wo im Code befinden sie sich und wie können sie behoben werden?

Optimale Unterstützung für Microservices

IAST-Lösungen müssen unkompliziert verschiedene Microservices von einer Anwendung zur Überprüfung bündeln können.

 

Boris Cipot
Boris Cipot (Bild: Synopsys)

* Boris Cipot ist Senior Sales Engineer bei der Synopsys Software Integrity Group. Als Vertriebsingenieur unterstützt er große wie auch kleinere Unternehmen bei der Erstellung von sicherer Software. Sein Spezialgebiet ist Open-Source-Software. Als Entwickler aus Leidenschaft beschäftigt er sich in seiner Freizeit mit Robotertechnik.

Boris kam mit Black Duck Software Ende 2017 zur Synopsys Software Integrity Group. Davor war er seit 2003 in verschiedenen Positionen und für verschiedene Unternehmen aus dem IT-Sicherheitsumfeld tätig. Zuletzt im Bereich Anti-Malware-Software bei F-Secure und Avira.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45637386 / Security-Testing)