Web Application Security: 3 Erkenntnisse aus dem Formel-1™-Rennsport
Web Application Security ist mehr als ein Best-Practice-Verfahren – sie ist ein unverzichtbarer Bestandteil Ihres Sicherheitsprogramms. Finden Sie heraus, wie Sie sich durch das Erfassen und Testen Ihrer Webanwendungen einen Vorteil gegenüber Angreifern verschaffen können.
Webanwendungen spielen seit Langem eine entscheidende Rolle bei der Unterstützung von E-Commerce und wichtigen Geschäftsinitiativen. Warum also haben so viele Unternehmen Probleme, sie zu schützen?
Kürzlich behaupteten die Entwickler eines umstrittenen Tools namens PunkSpider (erneut), das Tool könne das gesamte Internet durchsuchen, angreifbare Schwachstellen auf Websites aufspüren und diese veröffentlichen, sodass jeder diese Ergebnisse abrufen kann.
Wenn alle anderen Ihre Websites und Webanwendungen testen, sollten dann nicht auch Sie wissen, was die anderen wissen? Wenn Sie Ihre Webanwendungen vor allen anderen auf Schwachstellen untersuchen und testen, können Sie Ausfallzeiten minimieren, den Umsatz maximieren und sich den Wettbewerbsvorteil verschaffen, den Sie für Ihren Geschäftserfolg benötigen.
Was uns der Formel-1™-Rennsport über Web-App-Sicherheit lehren kann
Stellen Sie sich Ihre Webanwendungen als Formel-1™-Rennwagen, Ihre Entwickler als Fahrer und Ihr Sicherheitsteam als Boxencrew vor. Den Fahrern geht es um die Leistung und Geschwindigkeit der Fahrzeuge, während die Boxencrew sicherstellen möchte, dass die Rennwagen sicher, gut gewartet und frei von Schwachstellen sind. Wenn die Rennwagen gut abschneiden, profitiert das gesamte Team nicht nur finanziell, sondern vergrößert auch seine Fangemeinde. Genau wie diese Fahrzeuge generiert auch eine erfolgreiche E-Commerce-Website eines Unternehmens Einnahmen. Wenn sie jedoch kompromittiert oder durch Ausfallzeiten beeinträchtigt wird, verliert das Unternehmen Geld und sein Ruf wird geschädigt.
Was können wir also vom Formel-1-Rennsport lernen?
1: Priorisierung der Sichtbarkeit
Sichtbarkeit ist entscheidend für den Erfolg eines Formel-1-Teams. Die Fahrer stehen in ständigem Funkkontakt mit ihrer Boxencrew, um das gesamte Rennen im Blick zu haben, einschließlich des Streckenzustands, der Kurven und aller Wagen, die sich auf der Rennstrecke befinden.
Ihre Webanwendungen sind wie Formel-1-Rennwagen – sie müssen in einer schnellen und dynamischen Umgebung bestehen. Leider haben Sicherheitsteams oft keine Ahnung von all den Websites und Webanwendungen, die von anderen Abteilungen des Unternehmens entwickelt werden. Beispiele hierfür sind die nicht autorisierten Webanwendungen von Drittanbietern, die Mitarbeiter im Namen des Unternehmens nutzen, sowie aufgegebene und veraltete Webanwendungen, die möglicherweise Sicherheitslücken aufweisen. Zu wissen, welche Webanwendungen in Ihrem Unternehmen vorhanden sind – ob intern oder von Drittanbietern entwickelt oder als Open Source-Lösung bereitgestellt –, ist ein wichtiger erster Schritt für den Schutz der Anwendungen.
2: Einsatz einer effizienten Boxencrew
Formel-1-Teams sind bekannt für ihr Teamwork, ihre Effizienz und ihre Fähigkeit, die Sicherheit und optimale Leistung der Rennwagen zu gewährleisten. Bei einem Rennen muss die Boxencrew extrem effizient sein und in durchschnittlich weniger als drei Sekunden die Autos auftanken und die Reifen wechseln. Das ist so unglaublich beeindruckend, dass man sich fragt, warum ein Werkstattbesuch im örtlichen Autohaus nicht genauso effizient sein kann.
Wenn Sie nun analog zu diesem Beispiel Ihre Entwickler als Fahrer betrachten, so ist das Sicherheitsteam die Boxencrew. Die Entwickler sind auf Leistung und Geschwindigkeit der Webanwendungen bedacht und befürchten oft, dass der zusätzliche Sicherheitsprozess die Agilität ihrer Webanwendungen beeinträchtigen könnte. Sicherheitsfachkräfte müssen die Entwickler bei der Erstellung von sicherem Code beraten und unterstützen. Ziel des gesamten Teams ist es, für hohe Leistung und Geschwindigkeit der Webanwendungen zu sorgen, gleichzeitig aber gute Cyberhygiene zu gewährleisten und die Sicherheitslage zu verbessern.
3: Absolvierung der Aufwärmrunde
Vor dem eigentlichen Rennen absolvieren die Fahrer eine Aufwärm- oder Einführungsrunde, um einen letzten Blick auf die Strecke zu werfen, die Reifen aufzuwärmen und sicherzustellen, dass die Fahrzeuge voll einsatzbereit sind.
Rennfahrer schalten Gänge – Sicherheitsverantwortliche verfolgen einen „Shift-Left“-Ansatz. Die traditionelle Sicherheitspraxis, dem DevOps-Team einen statischen Schwachstellenbericht an die Hand zu geben, ist in der dynamischen Geschäftsumgebung von heute nicht mehr ausreichend skalierbar. Die frühzeitige Integration eines Tools zum Scannen von Webanwendungen in die Entwicklungs-, Test- und/oder Qualitätssicherungsphasen des Software Development Life Cycle (SDLC) ist vergleichbar mit einer Aufwärmrunde, die dazu beitragen kann, Schwachstellen rechtzeitig aufzudecken. So können die Kosten für die Behebung dieser Probleme gesenkt sowie potenzielle Kosten begrenzt werden, die infolge einer Kompromittierung entstehen könnten. Laut Gartner werden bis zum Jahr 2023 mehr als 70 % der DevSecOps-Initiativen in Unternehmen automatisierte Scans von Sicherheitslücken und Konfigurationen von Open Source-Komponenten und kommerziellen Softwarepaketen umfassen. Dies ist ein deutlicher Anstieg gegenüber einem Anteil von weniger als 30 % im Jahr 2019.* Die automatisierte Durchführung von Security-Scans für Anwendungen – vor jedem Einsatz in der Produktionsumgebung und bei allen Codeänderungen – ist eine empfohlene Best-Practice-Vorgehensweise zur Verbesserung der Sicherheitslage.
Auf die Plätze, fertig, los!
Nachdem Sie nun startklar für das Rennen sind, müssen Sie für die kontinuierliche Sicherheit Ihrer Webanwendungen sorgen und die Effizienz steigern. Dazu müssen Sie Silos zwischen den Sicherheits- und DevOps-Teams aufbrechen und Security Scanning-Prozesse in den SDLC integrieren.
*Quelle: Gartner, „12 Things to Get Right for Successful DevSecOps“, Neil MacDonald und Dale Gardner, Überarbeitung vom 9. April 2021.
Mit freundlicher Genehmigung von GARTNER, einer eingetragenen Marke und Dienstleistungsmarke von Gartner, Inc. und/oder Tochtergesellschaften in den USA und weltweit. Alle Rechte vorbehalten.
Mehr erfahren
- Zum Webinar anmelden (auf Englisch): Drei Möglichkeiten zur Verbesserung der Web-App-Sicherheit: Erkenntnisse aus dem F1™-Rennsport
- Infografik lesen: Was uns der Formel-1™-Rennsport über Web-App-Sicherheit lehren kann
Verwandte Artikel
- Cloud
- Executive Management
- DevOps
- BYOD
- Risk-based Vulnerability Management
- Vulnerability Management
- Vulnerability Scanning