Morten Stengaard von Secunia über eine neue Form der Web Application Security

Schwachstellen erkennen und gezielt beheben

| Autor / Redakteur: Das Interview führte Dr. Andreas Bergler / Dr. Andreas Bergler

Bergler: Was sollten Unternehmen zur Abwehr der wachsenden Gefahr aus dem Internet tun?

Stengaard: Sie sollten eine Abwehr formieren, die den Hebel an vier Stellen ansetzt: Schwächen erkennen, Schwächen ausloten und bewerten, für die kritischen Schwachstellen Patches erstellen, diese Patches schnell aufspielen und über die Zeit professionell verwalten. Alle vier Stufen sollten weitgehend automatisiert ablaufen. Nur unter dieser Voraussetzung wird sich der Zeit- und Kostenaufwand für die Schutzvorkehrungen in engen Grenzen halten und das Patch-Management über die Zeit verlässlich greifen.

Elementar für einen hohen Schutz ist die Intelligenz der Sicherheitslösung. Der Secunia Corporate Software Inspector (CSI) beispielsweise versteht sich auf die Identifikation und Analyse von mehr als 20.000 Schad-Codes, mit denen Angreifer Microsoft-Anwendungen, Third-Party-Programme sowie Applikationen unter Linux und Mac OSX adressieren. Und, ganz wichtig: Die im Schwachstellen-Erkennungsmodul, dem Vulnerability Intelligence Manager, integrierte Intelligenz muss natürlich mit der Bedrohung aus dem Internet Schritt halten können.

Wichtig ist also auch die Analysekompetenz und Größe des Analyseteams des Lieferanten der Sicherheitslösung. Denn allein im Verlauf 2012 wurden fast 1.000 neue Schwachstellen identifiziert und bezüglich ihrer potenziellen Schadensauswirkungen in Unternehmen bewertet. Das Resultat: Gut die Hälfte der neu entdeckten Malware-Bedrohungen wurde vom Secunia-Team als „für Unternehmen kritisch“ eingestuft.

Bergler: Was sollte das Vulnerability-Scanning-Modul für einen wirkungsvollen Schutz von Web-Applikationen und -Daten beherrschen?

Ergänzendes zum Thema
 
4-Säulen-Konzept

Stengaard: Dieses Modul muss dazu in der Lage sein, von zentraler Stelle aus die Programme in allen Versionen auf sämtlichen Servern und Endpunkten des Unternehmens mittels Scan-Regeln auf Programmierschwachstellen hin zu untersuchen. Idealerweise werden die potenziellen Schwächen automatisch anhand eines Datei-Signatur-Verfahrens erkannt und anschließend die Programme ebenso automatisch aufgeschlüsselt und aufgelistet, je nachdem wie zahlreich und kritisch die Schwachstellen darin sind.

Anhand dieser an der Konsole eingeblendeten Liste können die Sicherheitsverantwortlichen die Schwachstellen in den Programmen nach ihrer Priorität für das Unternehmen abarbeiten. Einmal erstellt, muss diese Liste natürlich fortlaufend aktualisiert und gegebenenfalls neu geordnet werden, sobald neue Scan-Regeln hinzukommen.

Generell gilt: Kleinere, damit weniger komplexe Anwendungen bergen tendenziell ein geringeres Angriffsrisiko in sich. Hoch sind die Risiken hingegen bei komplexen beziehungsweise breit eingesetzten Anwendungen, weil sie für das Unternehmen einen hohen geschäftlichen Stellenwert haben.

Bergler: Was sollte aus der automatisch erstellten Liste noch hervorgehen?

Stengaard: Hilfreich ist, wenn an der Konsole für jedes Programm und jede Programmversion das Installations- und End-of-Life-Datum angezeigt wird. Wird außerdem für jede kritische Programmierschwachstelle der betriebswirtschaftliche Stellenwert für das Unternehmen ausgewiesen, schärft das zusätzlich den Überblick und unterstützt darin, Wichtiges von weniger Wichtigem zu unterscheiden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42389921 / Schwachstellen-Management)