:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/4d/65/4d659da289f5aca04c24cbb2ef2fd540/0111240624.jpeg "Der Blick von außen auf die eigenen IT-Ressourcen geht über das hinaus, was im Schwachstellenmanagement sichtbar ist. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a85b048367a1658787275099d1d11c/0111864407.jpeg "ISX-Keynote-Sprecher Dr. Siegfried Rasthofer ist ein IT-Sicherheitsexperte mit langjähriger Erfahrung in den Bereichen Software-Exploitation, Secure Software Engineering, Reverse Engineering, Malware-Analyse, Offensive Security und Threat Intelligence. (Bild: www.rasthofer.info)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/a4/b4a406fca20011692876d63ea87b8554/0111848384.jpeg "Mit Blockierlisten und Geo-IP-Filtern für Firewalls lassen sich viele Angriffe ganz einfach automatisch abwehren. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/91/2691777debb58ac490c877f6e72b1c27/0111319943.jpeg "Seit 25. Mai 2018 gilt die DSGVO auch in Deutschland und muss sich immer wieder der öffentlichen Diskussion stellen: Während die einen das EU-Gesetz loben, sehen andere in ihm den Totengräber – auch digitaler – Innovation. (Bild: noah9000 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/c6/b3c641a4d3910d7e2aecfe566eacc8ef/0111572419.jpeg "Durch Cyberversicherungen versuchen viele Unternehmen das Geschäftsrisiko digitaler Bedrohungen abzufedern – doch Konditionen und Anforderungen steigen. (Bild: VideoFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Proaktive, automatisierte Test-Methoden Managed Security Testing als Risikomanagement-Strategie
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Die Vorteile, Softwaresicherheit und Softwareentwicklung eng miteinander zu verzahnen scheinen offensichtlich zu sein. Dennoch ist die Investition in entsprechende Werkzeuge, deren Integration und die dazu nötige Expertise nicht für jedes Unternehmen sinnvoll oder machbar. Managed Security Testing ist eine interessante Alternative.
Es ist kein Geheimnis, dass die Zahl der Cyberattacken kontinuierlich zunimmt. Jedes Unternehmen, das Software entwickelt oder betreibt, muss sich zwangsläufig mit den damit verbundenen Risiken auseinandersetzen und damit, wie man diese minimiert. Eine große Herausforderung liegt dabei in der ständigen Weiterentwicklung und wachsenden Agilität der Prozesse rund um die Entwicklung und Verwendung von Software in einem Unternehmen. Damit steigen die Anforderungen an Entwickler und Sicherheitsexperten, und ihr Verantwortungsbereich erweitert sich.
In der Vergangenheit waren die obligatorischen Penetration-Tests eines Dienstleisters vielleicht noch ausreichend. Heute kommt man um proaktive, automatisierte Test-Methoden nicht herum, wenn man die Bandbreite der Anforderungen adressieren will. Dazu zählen:
- Echtzeit-Informationen zu aktuell betriebener Software und Diensten sowie den dazugehörigen Betriebsumgebungen und -konfigurationen
- Informationen dazu, wie sich die Software zusammensetzt, das heißt, ob z.B. Open Source-Anteile vorhanden sind oder Cloud-APIs
- Automatisch durchgeführte Mindest-Tests zur Schwachstellenerkennung mit jeder Software-Release und die automatische Erzeugung entsprechender Tickets in Bug-Tracking-Systemen
- Aggregation von und Suche nach Betriebsdaten hinsichtlich aussagekräftiger Sicherheitsinformationen über einen Wertstrom hinweg
- Rückverfolgbarkeit laufender Dienste bis zu den Repositories, zum Build und dem Team, das sie erstellt hat
- Entwicklungsteam mit den notwendigen Mitteln ausstatten, um Sicherheitsmängel zu beheben
- Aktualisierung der Konfiguration auf Netzwerk-, Host-, Container- oder Anwendungsebene durch Orchestrierung
- Automatisches Invalidieren und Rotieren sensibler Assets (Zugangsdaten, Schlüssel) innerhalb eines Deployments
- Automatisches Failover/Rollback zu funktionierenden Assets oder zur letzten, funktionierenden Konfiguration/Build
Das ist aktuell die Realität in Unternehmen, die Software entwickeln und/oder betreiben. Die Integration von Werkzeugen wie GitLab zum Versionsmanagement, Jenkins für die Continuous Integration (CI), Jira für das Defekt-Management und Docker für Container-Umgebungen nimmt rasant zu. Ziel ist es, eine durchgängige, automatisierte Umgebung zu schaffen, die es einem Unternehmen ermöglicht, Innovationen bei gleichbleibend hohen Qualitäts- und Sicherheitsstandards möglichst schnell auf den Markt zu bringen.
Es scheint auf der Hand zu liegen, dass eine analoge Integration und Automatisierung von Sicherheitstests an den entsprechenden Stellen im Software-Entwicklungsprozess vorteilhaft ist. Dadurch erreicht man engere Feedback-Schleifen bei weniger „Reibung“. Das wiederum erlaubt es den Entwicklern, Sicherheitsschwachstellen innerhalb ihrer natürlichen Arbeitsaufläufe schneller zu finden und zu beheben.
Was sich gut anhört, ist aber nicht über Nacht implementiert. Eine solche Integration erfordert nicht nur die Auswahl und Anschaffung von Tools, sondern Zeit, Ressourcen und Expertise. Man braucht dediziertes Personal, um die entsprechenden Tools im Unternehmen zu integrieren, zu konfigurieren, zu betreiben und zu betreuen. Die Skalierung von zunächst nur wenigen Teams auf die Größe des gesamten Unternehmens ist eine weitere Herausforderung. Nicht zu vergessen, dass Sicherheitstools letztendlich darauf ausgelegt sind, mehr und mehr Schwachstellen zu finden. Das erscheint erst einmal kontraproduktiv zu der von DevOps angestrebten Entwicklungsgeschwindigkeit. Was also tun, wenn sich dieses Anforderungsprofil in der aktuellen Unternehmenssituation nicht realisieren lässt?
Schnellere Innovationszyklen dürfen nicht zu Kompromissen bei Sicherheit und Risiko-Minimierungs-Strategien führen. Betreibermodelle (sogenannte Managed Services) sind eine attraktive Ergänzung und Alternative, um diese Kluft zu überbrücken. Dazu zählen beispielsweise Managed Dynamic Application Security Testing (DAST), Static Application Security Testing (SAST) oder Penetration Testing.
Managed Security Testing-Lösungen adressieren die wichtigsten Aspekte von Personen, Prozessen und Technologien, die Unternehmen dabei unterstützen, das gewünschte Innovationstempo aufrechtzuerhalten und gleichzeitig Anwendungssicherheit zu gewährleisten. Tatsächlich bieten die richtigen Lösungen die Möglichkeit, die Beziehung zwischen Automatisierung und Mensch umzukehren. Dann agieren Menschen als "Microservices" in einem ansonsten maschinengetriebenen Prozess, statt wie in der herkömmlichen Sichtweise, in der Automatisierung den menschlichen Prozess ergänzt und/oder erweitert.
Managed Security Testing bietet Unternehmen zudem die nötige Flexibilität unter finanziellen Gesichtspunkten. Unternehmen haben Zugang zu Expertenwissen auf dem Gebiet der Cybersicherheit, und zwar bedarfsgerecht. Eine Firma zahlt nur für die Leistungen, die sie aktuell benötigt. Das hat gerade bei schwankendem Ressourcenbedarf deutliche Vorteile und führt zu einem hohen Maß an Transparenz, Flexibilität und Qualität bei vorhersehbaren Kosten. Zudem liefert dieser Prozess die erforderlichen Daten, um Risiken effizient und effektiv zu beheben.
Bei der Auswahl einer Managed Security Testing-Lösung sollte man die folgenden Kriterien in Betracht ziehen:
- Qualität – durch gemanagte Sicherheitstests zur richtigen Zeit und mit der richtigen Tiefe verbessert sich die Qualität einer Produkt-Release. Das gewährleistet sowohl die Stabilität der Software als auch die Integrität der Codebasis.
- Standardisierung – durch Implementierung besserer Prozesse und Technologien sowie durch Formalisierung oder Standardisierung bereits existierender Prozesse; dazu dient die konsequente Verwendung von Checklisten und Runbooks für gemanagte Sicherheitstests.
- Effizienz – Gemanagte, integrierte Sicherheitstests innerhalb der konkreten Entwicklungsabläufe optimieren und beschleunigen den Softwareentwicklungs- und Softwarebereitstellungsprozess – vom Quellcode-Repository bis hin zu Build-Lösungen, CI/CD-Infrastruktur, Test-Frameworks, Container-Bereitstellung und Auslieferung.
- Reife durch Kompetenz – Managed Security Testing bietet kontinuierlich Zugang zu Fachwissen und Technologien, die eine effiziente Skalierung und schnelles Scannen nach Schwachstellen innerhalb des Softwareentwicklungsprozesses erlauben. Dies hilft Unternehmen beim Übergang zu Automatisierung, der digitalen Transformation, einer nativen Cloud-Bereitstellung und/oder bei der Unterstützung neuer Technologien.
- Abdeckung – Im Zuge der Anwendungsinnovation stellen gemanagte Sicherheitstests ein einheitliches Testniveau für ein wachsendes Anwendungsportfolio sicher. Dadurch werden Sicherheitslücken behoben und Sicherheitsstandards implementiert.
Wenn Unternehmen die Vorteile von Managed Security Testing-Lösungen innerhalb ihrer Entwicklungsabläufe nutzen, erhalten sie nicht nur eine höhere Testbandbreite, sondern erweitern Umfang und Tiefe der Testdienstleistungen - zusammen mit den zugrunde liegenden Fähigkeiten, Prozessen und Werkzeugen. Die Servicebandbreite erlaubt es, verschiedenste Sicherheitstests zu integrieren – von automatisiertem DAST über auf Geschäftslogik basierende Penetrationstests bis hin zu SAST. Die Tiefe erlaubt es, Tests besser auf das Risikoprofil der jeweiligen Anwendungen zuzuschneiden.
Während Unternehmen beständig evaluieren, in welche Sicherheitstesttools sie investieren und wie sie diese einsetzen, konfigurieren und für ihre Entwicklungsabläufe optimieren sollten, bieten Managed Security Testing-Lösungen zusätzliche Bandbreite für Sicherheitstests. Und sie helfen, Lücken bei der Testabdeckung und Risikominderung zu schließen. Das gilt verstärkt in unsicheren Zeiten wie gerade aktuell durch COVID-19. Kurzarbeit verknappt die Ressourcen zusätzlich, und eine langfristige Investitionsplanung ist deutlich schwieriger geworden. Elastische Lösungen helfen Unternehmen und geben ihnen die Möglichkeit, den richtigen Test, in der richtigen Tiefe und zur richtigen Zeit innerhalb des Entwicklungs-Workflows durchzuführen.
Über den Autor: Gunnar Braun ist Technical Account Manager bei Synopsys.
(ID:47018510)
:quality(80)/images.vogel.de/vogelonline/bdb/1934600/1934668/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917436/original.jpg "DevSecOps ist eine Erweiterung des DevOps-Konzepts um Sicherheitsaspekte. (gemeinfrei)")