:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/f9/2ff9f5fe75125e324259e4c4cb0470b7/0115708231.jpeg "Cyberangriffe sind nicht immer technischer Natur. Wir geben eine Übersicht der gängigsten nicht-technischen Angriffe sowie passende Schutzmaßnahmen für Unternehmen. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/f5/03f599e672c719f18dc14be45afbd440/0115706811.jpeg "Digitale Identitäten mit höheren Berechtigungen stehen im Mittelpunkt aktueller Angriffswellen durch Hacker. (Bild: robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/28/8728890c1d5094d564bd8a91bb11a1a0/0115706486.jpeg "Eine besonders effektive Methode zur Erzeugung von DNS-Query-Flood-DDoS-Angriffen sind DNS-Water-Torture-Angriffe. (Bild: kmiragaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/2a/412a1b77c5fcca8d70bdfb5066d48488/0114968713.jpeg "CNP+ nutzt die Stärke von Wi-Fi-6-/7-Access-Points zur Durchführung von Sicherheitsprüfungen, die traditionell von Security-Gateways übernommen werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Vorteile automatisierter Software-Tests Security-Testing-Methoden im Vergleich
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
Manuelle Security- und Penetration-Tests sind den Unmengen an Code, die täglich produziert werden, längst nicht mehr gewachsen. Automatisiertes Software-Testing kann Abhilfe schaffen, dieser Beitrag nennt Vor- und Nachteile der verschiedenen Methoden und Ansätze.
Automatisiertes Security-Testing stellt sicher, dass die ausgelieferten Applikationen den Qualitäts- und Sicherheitsanforderungen der Auftraggeber und User entsprechen. Mit Static, Dynamic, Interactive und Feedback-based Application Security Testing gibt es verschiedene Ansätze, wie sich dies realisieren lässt.
Bevor wir uns näher mit SAST, DAST, IAST und FAST beschäftigen, gehe ich auf die Notwendigkeit der frühen Fehlerentdeckung ein, welche auf der 10er-Regel (Rule-of-ten) basiert: Je weiter sich eine unentdeckte Sicherheitslücke oder ein Bug im Rahmen der Softwareentwicklung in Richtung Release bewegt, desto teurer wird die Beseitigung – und zwar pro „überlebter“ Stufe um den Faktor 10.
Diese exponentielle Zunahme an Kosten- und Programmierungsaufwand multipliziert sich mit der Anzahl der unentdeckten Bugs, die abhängig vom Entwicklungsumfang das gesamte Projekt gefährden können. Dementsprechend ist es kosteneffizient, die Fehlerentdeckung und -beseitigung möglichst in der Development-Phase anzusiedeln.
Auf diese (für moderne Testing-Lösungen entscheidenden) Voraussetzungen gehe ich aber später noch genauer ein. Schauen wir uns zunächst die verschiedenen Methoden und deren Pro- und Contra-Bilanz an.
SAST
„Static Application Security Testing“ blickt bereits auf eine längere Historie im Bereich der Applikationsentwicklung zurück. Ein Analyzer betrachtet dabei den gesamten Quellcode einer Software, ohne ihn tatsächlich auszuführen. Diese „nur anschauen, nicht anfassen“-Vorgehensweise bietet einen wichtigen Vorteil: SAST lässt sich bereits in einem sehr frühen Entwicklungsstadium anwenden, da der zu überprüfende Programmquellcode noch nicht vollständig ausführbar sein muss.
Aus diesem Ansatz speisen sich aber auch drei erhebliche Nachteile: Erstens wird der Code nur angeschaut, nicht aber ausgeführt, und mithilfe von Heuristiken werden potenziell verdächtige Zeilen markiert. Diese Methodik produziert aufgrund des fehlenden logischen Kontextes Hunderte ggf. sogar Tausende von „False Positives”. Diese hohe Anzahl an Falschmeldungen führt entweder zu einem extrem hohen Aufwand für die prüfenden Entwickler oder dazu, dass diese viele Meldungen nicht überprüfen. Somit bleiben viele Fehler unentdeckt.
Dies wiederum hat den zweiten großen Nachteil zur Folge: Durch die hohe Anzahl an Falschmeldungen werden SAST-Lösungen von Entwicklern als lästig angesehen und nur ungern eingesetzt. Oft werden deshalb externe Sicherheitsspezialisten bzw. Pentester engagiert. Diese werden jedoch nur sporadisch eingesetzt, womit der vermeintliche Vorteil, dass SAST während der Entwicklung genutzt wird, verloren geht.
Der dritte Nachteil ist, dass sich SAST mit Libraries und komplexen Frameworks (wie z.B. WebFrameworks inkl. eigener Sanitizer-Funktionen) ziemlich schwer tut. Diese finden sich jedoch gerade in modernen Applikationen immer häufiger. Verfügt das Testing-Team nicht über den direkten Zugriff auf den gesamten Quellcode, lässt sich SAST nur bedingt sinnvoll einsetzen bzw. nur mit viel manuellem Tuning ermöglichen. Insgesamt wird das vergleichsweise unbeliebte SAST also gerne outgesourced, um die eigenen Entwickler für andere Aufgaben verwenden zu können.
DAST
„Dynamic Application Security Testing“ verfolgt einen komplett anderen Ansatz: Der Namensbestandteil „Dynamic“ verrät bereits, dass diese automatisierte Testmethode die Applikation ausführt und durch bestimmte Eingaben prüft, ob sich die Software wie erwartet verhält, abweicht oder sogar abstürzt.
DAST bietet den Vorteil, dass nur vergleichsweise wenige bis gar keine False Positives registriert werden, da sich Fehlermeldungen auf das Programmverhalten beziehen und nicht auf statische Code-Muster. Aus diesem Ansatz ergeben sich dennoch Nachteile: Der Code kann selbst bei vollem Zugriff nicht in seiner Gesamtheit überprüft werden. Die Randomisierung der Eingabeparameter kann zwar intelligent gesteuert werden, aber eine Garantie, dass alle erdenklichen Programmpfade gefunden wurden, gibt es nicht.
Durch die vorherige Festlegung von Eingabegrammatiken kann eine höhere Codeabdeckung erzielt werden. Allerdings verursacht dies, ebenso wie die nicht überprüften Pfade, zusätzlichen manuellen Aufwand. Ferner benötigt man zur Durchführung von DAST-Durchläufen eine eigene Testinfrastruktur und eine entsprechende Customization. Die Interpretation der Fehlermeldungen und die Zuordnung der entsprechenden Codezeilen ist ebenfalls vergleichsweise kompliziert und aufwendig.
IAST
Hinter „Interactive Application Security Testing“ verbirgt sich meiner Einschätzung nach keine wirkliche Innovation oder Weiterentwicklung. Es handelt sich schlichtweg um einen Marketingbegriff. Gemeint ist DAST mit einer Integration in die CI/CD sowie einer Instrumentierung zur Fehlererkennung.
Die Instrumentierung fügt dem getesteten Code Checks hinzu, um bestimmte Arten von Fehlern zur Laufzeit zu erkennen. Diese Checks überprüfen den konkreten Zustand des Programms, während es mit einer bestimmten Eingabe ausgeführt wird. Angeblich soll IAST die Vorteile von SAST und DAST kombinieren und die Nachteile eliminieren.
Aktuelle IAST-Lösungen haben jedoch immer noch einen großen Nachteil: Sie setzen entweder die Definition guter Testfälle voraus oder benutzen Randomisierung, die von der DAST-Engine generiert wird. Dies hat zur Folge, dass entweder nicht genug Eingaben für eine umfangreiche Code Abdeckung generiert werden oder viele False Positives in Kauf genommen werden müssen.
Trotz der Vorteile die IAST verspricht, existiert meines Wissens nach noch keine Lösung, die False Positives eines SAST-Durchlaufs durch eine darauffolgende DAST-Analyse zufriedenstellend und wirtschaftlich realisierbar aussortiert. Vielmehr präsentiert sich IAST lediglich als Unterkategorie von DAST, welche speziell für den Einsatz bei Applikationen geeignet ist, deren Quellcode komplett zur Verfügung steht.
FAST
„Feedback-based Application Security Testing“ stellt hingegen einen echten Fortschritt dar und vereinfacht die effektive Fehlersuche durch den Einsatz automatisierter Software-Tests erheblich. FAST gliedert sich thematisch ebenfalls unter den Oberbegriff DAST ein, umfasst aber wesentliche Verbesserungen.
Wenn es darum ging, möglichst umfassende Informationen zu generierten Bugs zu erhalten, waren bisherige DAST-Ansätze auf Blackbox-Ebene eher unzuverlässig. Da DASTs ohne Quellcode-Zugriff eher eine oberflächliche Codeebene betrachten können, bleiben zahlreiche Bugs auf tieferen Levels unentdeckt. Dadurch leidet insbesondere die Zuordnung des erzeugten Bugs zur entsprechenden Programmzeile.
Feedback-basiertes Software-Testing nutzt aktuelle und ausgereifte Fuzzing-Tools, um für jeden einzelnen Input genaue Informationen zum betreffenden Codeabschnitt zu erhalten. Der Algorithmus der Mutation-Engines lernt durch jedes Feedback dazu und verbessert die Qualität der nächsten „Input-Welle“. Durch die kontinuierliche und feedback-getriebene Optimierung dringt FAST auch in tiefere Codeebenen vor und sorgt für wesentlich bessere und aussagekräftigere Ergebnisse.
Diese Feedbackschleife hilft dem Fuzzer, die Struktur der erwarteten Eingaben automatisch zu lernen und dadurch neue Eingaben zu generieren, die daraufhin neue Programmabläufe triggern. Das erhöht die Wahrscheinlichkeit Bugs zu identifizieren. Die Durchführung von FAST-Testläufen ist anspruchsvoll, allerdings gibt es kommerzielle Tools wie z.B. CI Fuzz, die dem Entwickler den Großteil der manuellen Arbeit abnehmen.
Der Feedback-Mechanismus gibt während des Testdurchlaufs die Richtung vor, weshalb menschliches Eingreifen kaum noch erforderlich ist. Der FAST-Ansatz beinhaltet nicht nur eine möglichst frühe Fehlersuche, um Aufwand und Kosten so gering wie möglich zu halten (siehe 10er-Regel), sondern sieht ebenfalls vor, das Fuzz-Tests bei jeder nachfolgenden Codeänderung vollkommen automatisiert durchgeführt werden. Damit erfolgt die Qualitätsverbesserung der Software in einem kontinuierlichen Kreislauf.
Fazit FAST
Zwar kann auch FAST nicht garantieren, dass alle möglichen Programmpfade „abgearbeitet“ werden – nichtsdestotrotz deckt das Feedback-basierte und automatisierte Software-Testing einen deutlich höheren Codeumfang ab als herkömmliche DAST-Lösungen. Die Integration von selbstlernenden und sich kontinuierlich optimierenden Prüfprozessen hebt FAST somit von den bisher dominierenden Verfahren ab.
Das nahtlose Einfügen der Fuzz-Lösung in bestehende Standard-CI-/CD-Workflows erleichtert es Entwicklern, ihre Applikationen schneller und gründlicher von Bugs zu befreien und somit zügiger eine akzeptable Marktreife zu erlangen. Wertvolle Ressourcen werden direkt von Beginn der Entwicklungsphase an eingespart und die fachlichen Ansprüche an das Testing-Team bewegen sich auf einem angenehm einfachen Niveau.
* Sergej Dechand ist CEO und Co-Founder von Code Intelligence. Zuvor arbeitete er als Projektleiter für das Industrial Data Space Projekt am Fraunhofer-Institut FKIE. Er hat einschlägige Erfahrungen als externer Softwareentwickler und IT-Berater in der Nutzfahrzeugentwicklung der Volkswagen AG gesammelt. Neben seinen Aufgaben bei Code Intelligence ist er aktiv an der Forschung im Bereich der Usable Security an der Rheinischen Friedrich-Wilhelms-Universität Bonn eingebunden, wo er auch als Dozent tätig ist.
(ID:46759504)
:quality(80)/p7i.vogel.de/wcms/1c/c5/1cc5af5026d991774f834f0241234d2f/0114645642.jpeg "DevSecOps-Strategien sind weit verbreitet, doch die Sicherheitsprozesse selbst können DevOps ausbremsen. (© Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/dd/a2dd8dcc032fab563c4905c1e7a285a9/0108861112.jpeg "Kubernetes als zentrale Grundlage für Sicherheitslösungen zu nutzen, bietet viele Vorteile. Damit solch ein Cluster produktiv betrieben werden kann, muss aber Know-How im Bereich Kubernetes zusätzlich zu IT-Security vorhanden sein. (Bild: Skórzewiak - stock.adobe.com)")