Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Vier Fragen zur Minimierung des Cyberrisikos Ihrer öffentlich zugänglichen Assets und Webanwendungen

Stellen Sie die folgenden vier Fragen, um das Cyberrisiko bei Ihren öffentlich zugänglichen Assets und Web-Apps zu reduzieren.

Die ständigen Cyberangriffe auf Ihre öffentlich zugänglichen Assets und Webanwendungen werden so schnell nicht aufhören: Laut dem 2020 Verizon Data Breach Investigation Report (DBIR) waren bei 43 % der Datenschutzverletzungen Angriffe auf Web-Apps im Spiel. Von neuen automatisierten Angriffstools bis hin zu gut finanzierten, erfahrenen Black-Hat-Hackern, die es auf spezifische Sicherheitslücken abgesehen haben, ist es für böswillige Akteure heute einfacher denn je, Ihre Abwehrmaßnahmen auf die Probe zu stellen. 

Bei der Absicherung Ihrer Webanwendungen kommt es letztlich auf Sie und Ihr Verständnis der Schwachstellen an, die ein Angreifer in Ihrem Netzwerk finden und ausnutzen könnte. Sobald Sie dieses Verständnis erlangt haben, können Sie proaktiv relevante Patches, Codekorrekturen und/oder kompensierende Kontrollen anwenden, um die Bedrohungen zu mindern.

Jede der folgenden Fragen bietet einen anderen Blickwinkel auf das Sicherheitsrisiko, das von Ihren öffentlich zugänglichen Assets und Webanwendungen ausgeht.

1. Welches Risiko besteht für die öffentlich zugänglichen Assets meines Unternehmens?

Betrachten wir zunächst einmal, wie Sie das Risiko eines öffentlich zugänglichen Assets einschätzen würden. Im Idealfall würden Sie so wenig Assets wie möglich für die Außenwelt zugänglich machen. Anhand eines Scans auf öffentliche Risiken können Sie validieren, dass Sie die öffentliche Sichtbarkeit so weit wie möglich einschränken. Ein weiterer Vorteil des Scans besteht darin, dass er auch die kompensierenden Kontrollen in Ihrem Netzwerk testet, um sicherzustellen, dass sie funktionsfähig sind.

Leider können selbst die banalsten Informationen, die öffentlich zugänglich sind, etwa die Version Ihres FTP-Servers (File Transfer Protocol), durch einfache „Google Hacking“-Techniken ausgenutzt werden. Daher ist es wichtig, im Rahmen eines Schwachstellen-Management-Programms regelmäßige Scans der öffentlich zugänglichen Assets einzurichten, um das Risiko auf diese Weise zu minimieren. Die Ergebnisse eines solchen Scans sollten Sie unbedingt bei der Konfiguration Ihres Netzwerks und Ihrer hostbasierten kompensierenden Kontrollen berücksichtigen, um zu verhindern, dass unerwünschte Informationen an die Öffentlichkeit gelangen.

2. Welche Schwachstellen sind in den Backends des Netzwerks vorhanden?

Um die Schwächen Ihres Netzwerks zu erkennen, empfehlen wir, es lokal mit einem in Ihrer Umgebung gehosteten Schwachstellen-Scanner oder einem auf dem Host installierten Agent zu scannen. Die gründlichsten Ergebnisse kann ein lokaler Scanner in Ihrer Umgebung liefern, mit dem ein authentifizierter Scan durchgeführt wird. Um diese Detailgenauigkeit zu erhalten, müssen Sie zur Überprüfung des Ziels Ihre Zugangsdaten eingeben. Sollte dies problematisch sein, haben Sie die Möglichkeit zur Verwendung von Agents, die keine Zugangsdaten benötigen, da sie bereits auf dem Host selbst ausgeführt werden.

Sobald der authentifizierte Scan abgeschlossen wurde, verfügen Sie über eine vollständige Liste der Schwachstellen, für die das Asset anfällig ist. Der nächste Schritt besteht darin, den Kontext der jeweiligen Bedrohung durch die einzelnen Schwachstellen zu verstehen. Wenn Sie die realen Risiken im Zusammenhang mit den einzelnen Schwachstellen kennen, können Sie Ihre Behebungsmaßnahmen besser anhand der Wahrscheinlichkeit priorisieren, dass eine Schwachstelle tatsächlich ausgenutzt wird. So können Sie Ihre knappen Sicherheitsressourcen effektiver einsetzen.

Genauso wichtig ist es, Konfigurations- und Compliance-Probleme im Auge zu behalten. Deshalb sollten Sie eine Schwachstellen-Management-Lösung wählen, die die Möglichkeit bietet, die Konfiguration eines Ziels anhand einer Reihe von Konformitätsstandards und Best Practice-Vorlagen zu überprüfen. Dazu gehören CIS-Standards (Center for Internet Security, DISA/STIG-Standards (Defense Information Systems Agency Security Technical Implementation Guides) und PCI-Standards (Payment Card Industry) sowie die internen Standards Ihres Unternehmens.

 3. Wie sorge ich dafür, dass meine Web-Apps gegen Angriffe abgesichert sind ?

Eine der schnellsten und effizientesten Möglichkeiten, Ihre Web-Apps vor Angriffen zu schützen, ist der Einsatz eines automatisierten Programms zum Scannen von Webanwendungen. Dynamic Application Security Testing (DAST) beispielsweise ist ein automatisierter Penetrationstest, der auf sichere Weise mit der Webanwendung interagiert und die Antwort auswertet, um festzustellen, ob in ihrer Codierung Schwachstellen vorhanden sind.

Ein DAST-Tool kann bei der dynamischen Bewertung einer Webanwendung tiefer gehen als eine Schwachstellen- und Konfigurationsprüfung auf Betriebssystem- und Anwendungsebene. Es hilft sicherzustellen, dass die App nicht für unvorhergesehene Aktionen oder Logikfehler anfällig ist. Darüber hinaus hilft es bei der Validierung der Ausführungsumgebung, wie SQL-Injektionen (Structured Query Language), um Codierungsfehler und Fehlkonfigurationen zu finden. Außerdem sollte beachtet werden, dass einige ältere Web-App-Scanner nicht mit modernen Applikationen Schritt halten können. Ein modernes DAST-Tool kann nicht nur herkömmliche HTML-Webanwendungen scannen, sondern unterstützt auch dynamische Web-Apps, die mit HTML5, JavaScript und AJAX-Frameworks erstellt wurden, einschließlich Single-Page-Anwendungen.

Shift-Left“ ist eine Best Practice, mit der die Sicherheit von Webanwendungen in den Softwareentwicklungszyklus (SDLC) integriert wird. Umfassende Tests Ihrer Webanwendungen in einer Vorproduktionsumgebung und die Automatisierung von Sicherheitsscans bei jeder Codeänderung können dazu beitragen, die allgemeine Sicherheitslage Ihres Unternehmens zu verbessern. Auf diese Weise lassen sich Schwachstellen in Ihren Webanwendungen früher aufdecken, die Kosten für die Behebung dieser Probleme senken und das Potenzial für Schäden durch eine Kompromittierung begrenzen. 

4. Wie scanne ich auf PCI-Compliance?

Im PCI Datensicherheitsstandard (DSS) ist ein vierteljährlicher externer Scan sowie eine Bescheinigung durch einen zugelassenen Scanning-Anbieter (ASV) vorgeschrieben (11.2.2). Sie sollten das Ergebnis des Scans auf öffentliche Risiken mit einer Web-App-Scan-Lösung eines ASV kombinieren, um eine Bescheinigung für öffentliche Web-Apps und Assets zu erhalten. Mithilfe dieser Scan-Ergebnisse können Sie den Prozess für die Zertifizierung der Konformität gemäß PCI 11.2.2 durchlaufen, um sie mit allen betroffenen Parteien zu teilen. Die Nutzung vorkonfigurierter PCI-Vorlagen und festgelegter Konfliktbehebungsprozesse kann helfen, diesen Vorgang zu vereinfachen.

Fazit

Wie Sie sehen, gibt es kein Patentrezept, mit dem Sie Ihre öffentlich zugänglichen Assets und Webanwendungen bewerten können, um das Risiko von Cyberangriffen zu bestimmen. Dennoch gibt es Best Practices, die Sie dabei unterstützen können, Ihr Risiko zu erkennen und zu reduzieren. Mehr zu diesem Thema erfahren Sie im E-Book „5 Best Practices für Web Application Security“.

Mehr erfahren

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Vormals Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Vormals Tenable.io Web Application Scanning

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Vormals Tenable.io Web Application Scanning

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen