Vier Fragen zur Minimierung des Cyberrisikos Ihrer öffentlich zugänglichen Assets und Webanwendungen
Stellen Sie die folgenden vier Fragen, um das Cyberrisiko bei Ihren öffentlich zugänglichen Assets und Web-Apps zu reduzieren.
Die ständigen Cyberangriffe auf Ihre öffentlich zugänglichen Assets und Webanwendungen werden so schnell nicht aufhören: Laut dem 2020 Verizon Data Breach Investigation Report (DBIR) waren bei 43 % der Datenschutzverletzungen Angriffe auf Web-Apps im Spiel. Von neuen automatisierten Angriffstools bis hin zu gut finanzierten, erfahrenen Black-Hat-Hackern, die es auf spezifische Sicherheitslücken abgesehen haben, ist es für böswillige Akteure heute einfacher denn je, Ihre Abwehrmaßnahmen auf die Probe zu stellen.
Bei der Absicherung Ihrer Webanwendungen kommt es letztlich auf Sie und Ihr Verständnis der Schwachstellen an, die ein Angreifer in Ihrem Netzwerk finden und ausnutzen könnte. Sobald Sie dieses Verständnis erlangt haben, können Sie proaktiv relevante Patches, Codekorrekturen und/oder kompensierende Kontrollen anwenden, um die Bedrohungen zu mindern.
Jede der folgenden Fragen bietet einen anderen Blickwinkel auf das Sicherheitsrisiko, das von Ihren öffentlich zugänglichen Assets und Webanwendungen ausgeht.
1. Welches Risiko besteht für die öffentlich zugänglichen Assets meines Unternehmens?
Betrachten wir zunächst einmal, wie Sie das Risiko eines öffentlich zugänglichen Assets einschätzen würden. Im Idealfall würden Sie so wenig Assets wie möglich für die Außenwelt zugänglich machen. Anhand eines Scans auf öffentliche Risiken können Sie validieren, dass Sie die öffentliche Sichtbarkeit so weit wie möglich einschränken. Ein weiterer Vorteil des Scans besteht darin, dass er auch die kompensierenden Kontrollen in Ihrem Netzwerk testet, um sicherzustellen, dass sie funktionsfähig sind.
Leider können selbst die banalsten Informationen, die öffentlich zugänglich sind, etwa die Version Ihres FTP-Servers (File Transfer Protocol), durch einfache „Google Hacking“-Techniken ausgenutzt werden. Daher ist es wichtig, im Rahmen eines Schwachstellen-Management-Programms regelmäßige Scans der öffentlich zugänglichen Assets einzurichten, um das Risiko auf diese Weise zu minimieren. Die Ergebnisse eines solchen Scans sollten Sie unbedingt bei der Konfiguration Ihres Netzwerks und Ihrer hostbasierten kompensierenden Kontrollen berücksichtigen, um zu verhindern, dass unerwünschte Informationen an die Öffentlichkeit gelangen.
2. Welche Schwachstellen sind in den Backends des Netzwerks vorhanden?
Um die Schwächen Ihres Netzwerks zu erkennen, empfehlen wir, es lokal mit einem in Ihrer Umgebung gehosteten Schwachstellen-Scanner oder einem auf dem Host installierten Agent zu scannen. Die gründlichsten Ergebnisse kann ein lokaler Scanner in Ihrer Umgebung liefern, mit dem ein authentifizierter Scan durchgeführt wird. Um diese Detailgenauigkeit zu erhalten, müssen Sie zur Überprüfung des Ziels Ihre Zugangsdaten eingeben. Sollte dies problematisch sein, haben Sie die Möglichkeit zur Verwendung von Agents, die keine Zugangsdaten benötigen, da sie bereits auf dem Host selbst ausgeführt werden.
Sobald der authentifizierte Scan abgeschlossen wurde, verfügen Sie über eine vollständige Liste der Schwachstellen, für die das Asset anfällig ist. Der nächste Schritt besteht darin, den Kontext der jeweiligen Bedrohung durch die einzelnen Schwachstellen zu verstehen. Wenn Sie die realen Risiken im Zusammenhang mit den einzelnen Schwachstellen kennen, können Sie Ihre Behebungsmaßnahmen besser anhand der Wahrscheinlichkeit priorisieren, dass eine Schwachstelle tatsächlich ausgenutzt wird. So können Sie Ihre knappen Sicherheitsressourcen effektiver einsetzen.
Genauso wichtig ist es, Konfigurations- und Compliance-Probleme im Auge zu behalten. Deshalb sollten Sie eine Schwachstellen-Management-Lösung wählen, die die Möglichkeit bietet, die Konfiguration eines Ziels anhand einer Reihe von Konformitätsstandards und Best Practice-Vorlagen zu überprüfen. Dazu gehören CIS-Standards (Center for Internet Security, DISA/STIG-Standards (Defense Information Systems Agency Security Technical Implementation Guides) und PCI-Standards (Payment Card Industry) sowie die internen Standards Ihres Unternehmens.
3. Wie sorge ich dafür, dass meine Web-Apps gegen Angriffe abgesichert sind ?
Eine der schnellsten und effizientesten Möglichkeiten, Ihre Web-Apps vor Angriffen zu schützen, ist der Einsatz eines automatisierten Programms zum Scannen von Webanwendungen. Dynamic Application Security Testing (DAST) beispielsweise ist ein automatisierter Penetrationstest, der auf sichere Weise mit der Webanwendung interagiert und die Antwort auswertet, um festzustellen, ob in ihrer Codierung Schwachstellen vorhanden sind.
Ein DAST-Tool kann bei der dynamischen Bewertung einer Webanwendung tiefer gehen als eine Schwachstellen- und Konfigurationsprüfung auf Betriebssystem- und Anwendungsebene. Es hilft sicherzustellen, dass die App nicht für unvorhergesehene Aktionen oder Logikfehler anfällig ist. Darüber hinaus hilft es bei der Validierung der Ausführungsumgebung, wie SQL-Injektionen (Structured Query Language), um Codierungsfehler und Fehlkonfigurationen zu finden. Außerdem sollte beachtet werden, dass einige ältere Web-App-Scanner nicht mit modernen Applikationen Schritt halten können. Ein modernes DAST-Tool kann nicht nur herkömmliche HTML-Webanwendungen scannen, sondern unterstützt auch dynamische Web-Apps, die mit HTML5, JavaScript und AJAX-Frameworks erstellt wurden, einschließlich Single-Page-Anwendungen.
„Shift-Left“ ist eine Best Practice, mit der die Sicherheit von Webanwendungen in den Softwareentwicklungszyklus (SDLC) integriert wird. Umfassende Tests Ihrer Webanwendungen in einer Vorproduktionsumgebung und die Automatisierung von Sicherheitsscans bei jeder Codeänderung können dazu beitragen, die allgemeine Sicherheitslage Ihres Unternehmens zu verbessern. Auf diese Weise lassen sich Schwachstellen in Ihren Webanwendungen früher aufdecken, die Kosten für die Behebung dieser Probleme senken und das Potenzial für Schäden durch eine Kompromittierung begrenzen.
4. Wie scanne ich auf PCI-Compliance?
Im PCI Datensicherheitsstandard (DSS) ist ein vierteljährlicher externer Scan sowie eine Bescheinigung durch einen zugelassenen Scanning-Anbieter (ASV) vorgeschrieben (11.2.2). Sie sollten das Ergebnis des Scans auf öffentliche Risiken mit einer Web-App-Scan-Lösung eines ASV kombinieren, um eine Bescheinigung für öffentliche Web-Apps und Assets zu erhalten. Mithilfe dieser Scan-Ergebnisse können Sie den Prozess für die Zertifizierung der Konformität gemäß PCI 11.2.2 durchlaufen, um sie mit allen betroffenen Parteien zu teilen. Die Nutzung vorkonfigurierter PCI-Vorlagen und festgelegter Konfliktbehebungsprozesse kann helfen, diesen Vorgang zu vereinfachen.
Fazit
Wie Sie sehen, gibt es kein Patentrezept, mit dem Sie Ihre öffentlich zugänglichen Assets und Webanwendungen bewerten können, um das Risiko von Cyberangriffen zu bestimmen. Dennoch gibt es Best Practices, die Sie dabei unterstützen können, Ihr Risiko zu erkennen und zu reduzieren. Mehr zu diesem Thema erfahren Sie im E-Book „5 Best Practices für Web Application Security“.
Mehr erfahren
- Blog lesen: Web Application Security: 3 Erkenntnisse aus dem Formel-1™-Rennsport
- Nehmen Sie am Webinar teil: Drei Möglichkeiten zur Verbesserung Ihrer Web-App-Sicherheit
Verwandte Artikel
- Passive Network Monitoring
- Penetration Testing
- Risk-based Vulnerability Management
- Security auditing
- Security Policy
- Center for Internet Security (CIS)
- Vulnerability Scanning