Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Web Application Security: 3 Erkenntnisse aus dem Formel-1™-Rennsport

Web Application Security ist mehr als ein Best-Practice-Verfahren – sie ist ein unverzichtbarer Bestandteil Ihres Sicherheitsprogramms. Finden Sie heraus, wie Sie sich durch das Erfassen und Testen Ihrer Webanwendungen einen Vorteil gegenüber Angreifern verschaffen können.

Webanwendungen spielen seit Langem eine entscheidende Rolle bei der Unterstützung von E-Commerce und wichtigen Geschäftsinitiativen. Warum also haben so viele Unternehmen Probleme, sie zu schützen?

Kürzlich behaupteten die Entwickler eines umstrittenen Tools namens PunkSpider (erneut), das Tool könne das gesamte Internet durchsuchen, angreifbare Schwachstellen auf Websites aufspüren und diese veröffentlichen, sodass jeder diese Ergebnisse abrufen kann.

Wenn alle anderen Ihre Websites und Webanwendungen testen, sollten dann nicht auch Sie wissen, was die anderen wissen? Wenn Sie Ihre Webanwendungen vor allen anderen auf Schwachstellen untersuchen und testen, können Sie Ausfallzeiten minimieren, den Umsatz maximieren und sich den Wettbewerbsvorteil verschaffen, den Sie für Ihren Geschäftserfolg benötigen.

Was uns der Formel-1™-Rennsport über Web-App-Sicherheit lehren kann

Stellen Sie sich Ihre Webanwendungen als Formel-1™-Rennwagen, Ihre Entwickler als Fahrer und Ihr Sicherheitsteam als Boxencrew vor. Den Fahrern geht es um die Leistung und Geschwindigkeit der Fahrzeuge, während die Boxencrew sicherstellen möchte, dass die Rennwagen sicher, gut gewartet und frei von Schwachstellen sind. Wenn die Rennwagen gut abschneiden, profitiert das gesamte Team nicht nur finanziell, sondern vergrößert auch seine Fangemeinde. Genau wie diese Fahrzeuge generiert auch eine erfolgreiche E-Commerce-Website eines Unternehmens Einnahmen. Wenn sie jedoch kompromittiert oder durch Ausfallzeiten beeinträchtigt wird, verliert das Unternehmen Geld und sein Ruf wird geschädigt.

Was können wir also vom Formel-1-Rennsport lernen?

1: Priorisierung der Sichtbarkeit

Sichtbarkeit ist entscheidend für den Erfolg eines Formel-1-Teams. Die Fahrer stehen in ständigem Funkkontakt mit ihrer Boxencrew, um das gesamte Rennen im Blick zu haben, einschließlich des Streckenzustands, der Kurven und aller Wagen, die sich auf der Rennstrecke befinden. 

Ihre Webanwendungen sind wie Formel-1-Rennwagen – sie müssen in einer schnellen und dynamischen Umgebung bestehen. Leider haben Sicherheitsteams oft keine Ahnung von all den Websites und Webanwendungen, die von anderen Abteilungen des Unternehmens entwickelt werden. Beispiele hierfür sind die nicht autorisierten Webanwendungen von Drittanbietern, die Mitarbeiter im Namen des Unternehmens nutzen, sowie aufgegebene und veraltete Webanwendungen, die möglicherweise Sicherheitslücken aufweisen. Zu wissen, welche Webanwendungen in Ihrem Unternehmen vorhanden sind – ob intern oder von Drittanbietern entwickelt oder als Open Source-Lösung bereitgestellt –, ist ein wichtiger erster Schritt für den Schutz der Anwendungen.

2: Einsatz einer effizienten Boxencrew

Formel-1-Teams sind bekannt für ihr Teamwork, ihre Effizienz und ihre Fähigkeit, die Sicherheit und optimale Leistung der Rennwagen zu gewährleisten. Bei einem Rennen muss die Boxencrew extrem effizient sein und in durchschnittlich weniger als drei Sekunden die Autos auftanken und die Reifen wechseln. Das ist so unglaublich beeindruckend, dass man sich fragt, warum ein Werkstattbesuch im örtlichen Autohaus nicht genauso effizient sein kann.

Wenn Sie nun analog zu diesem Beispiel Ihre Entwickler als Fahrer betrachten, so ist das Sicherheitsteam die Boxencrew. Die Entwickler sind auf Leistung und Geschwindigkeit der Webanwendungen bedacht und befürchten oft, dass der zusätzliche Sicherheitsprozess die Agilität ihrer Webanwendungen beeinträchtigen könnte. Sicherheitsfachkräfte müssen die Entwickler bei der Erstellung von sicherem Code beraten und unterstützen. Ziel des gesamten Teams ist es, für hohe Leistung und Geschwindigkeit der Webanwendungen zu sorgen, gleichzeitig aber gute Cyberhygiene zu gewährleisten und die Sicherheitslage zu verbessern.

3: Absolvierung der Aufwärmrunde

Vor dem eigentlichen Rennen absolvieren die Fahrer eine Aufwärm- oder Einführungsrunde, um einen letzten Blick auf die Strecke zu werfen, die Reifen aufzuwärmen und sicherzustellen, dass die Fahrzeuge voll einsatzbereit sind.

Rennfahrer schalten Gänge – Sicherheitsverantwortliche verfolgen einen „Shift-Left“-Ansatz. Die traditionelle Sicherheitspraxis, dem DevOps-Team einen statischen Schwachstellenbericht an die Hand zu geben, ist in der dynamischen Geschäftsumgebung von heute nicht mehr ausreichend skalierbar. Die frühzeitige Integration eines Tools zum Scannen von Webanwendungen in die Entwicklungs-, Test- und/oder Qualitätssicherungsphasen des Software Development Life Cycle (SDLC) ist vergleichbar mit einer Aufwärmrunde, die dazu beitragen kann, Schwachstellen rechtzeitig aufzudecken. So können die Kosten für die Behebung dieser Probleme gesenkt sowie potenzielle Kosten begrenzt werden, die infolge einer Kompromittierung entstehen könnten. Laut Gartner werden bis zum Jahr 2023 mehr als 70 % der DevSecOps-Initiativen in Unternehmen automatisierte Scans von Sicherheitslücken und Konfigurationen von Open Source-Komponenten und kommerziellen Softwarepaketen umfassen. Dies ist ein deutlicher Anstieg gegenüber einem Anteil von weniger als 30 % im Jahr 2019.* Die automatisierte Durchführung von Security-Scans für Anwendungen – vor jedem Einsatz in der Produktionsumgebung und bei allen Codeänderungen – ist eine empfohlene Best-Practice-Vorgehensweise zur Verbesserung der Sicherheitslage.

Auf die Plätze, fertig, los!

Nachdem Sie nun startklar für das Rennen sind, müssen Sie für die kontinuierliche Sicherheit Ihrer Webanwendungen sorgen und die Effizienz steigern. Dazu müssen Sie Silos zwischen den Sicherheits- und DevOps-Teams aufbrechen und Security Scanning-Prozesse in den SDLC integrieren.

*Quelle: Gartner, „12 Things to Get Right for Successful DevSecOps“, Neil MacDonald und Dale Gardner, Überarbeitung vom 9. April 2021.

Mit freundlicher Genehmigung von GARTNER, einer eingetragenen Marke und Dienstleistungsmarke von Gartner, Inc. und/oder Tochtergesellschaften in den USA und weltweit. Alle Rechte vorbehalten.

Mehr erfahren

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support hinzufügen