Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Web Application Security: 3 Erkenntnisse aus dem Formel-1™-Rennsport

Web Application Security ist mehr als ein Best-Practice-Verfahren – sie ist ein unverzichtbarer Bestandteil Ihres Sicherheitsprogramms. Finden Sie heraus, wie Sie sich durch das Erfassen und Testen Ihrer Webanwendungen einen Vorteil gegenüber Angreifern verschaffen können.

Webanwendungen spielen seit Langem eine entscheidende Rolle bei der Unterstützung von E-Commerce und wichtigen Geschäftsinitiativen. Warum also haben so viele Unternehmen Probleme, sie zu schützen?

Kürzlich behaupteten die Entwickler eines umstrittenen Tools namens PunkSpider (erneut), das Tool könne das gesamte Internet durchsuchen, angreifbare Schwachstellen auf Websites aufspüren und diese veröffentlichen, sodass jeder diese Ergebnisse abrufen kann.

Wenn alle anderen Ihre Websites und Webanwendungen testen, sollten dann nicht auch Sie wissen, was die anderen wissen? Wenn Sie Ihre Webanwendungen vor allen anderen auf Schwachstellen untersuchen und testen, können Sie Ausfallzeiten minimieren, den Umsatz maximieren und sich den Wettbewerbsvorteil verschaffen, den Sie für Ihren Geschäftserfolg benötigen.

Was uns der Formel-1™-Rennsport über Web-App-Sicherheit lehren kann

Stellen Sie sich Ihre Webanwendungen als Formel-1™-Rennwagen, Ihre Entwickler als Fahrer und Ihr Sicherheitsteam als Boxencrew vor. Den Fahrern geht es um die Leistung und Geschwindigkeit der Fahrzeuge, während die Boxencrew sicherstellen möchte, dass die Rennwagen sicher, gut gewartet und frei von Schwachstellen sind. Wenn die Rennwagen gut abschneiden, profitiert das gesamte Team nicht nur finanziell, sondern vergrößert auch seine Fangemeinde. Genau wie diese Fahrzeuge generiert auch eine erfolgreiche E-Commerce-Website eines Unternehmens Einnahmen. Wenn sie jedoch kompromittiert oder durch Ausfallzeiten beeinträchtigt wird, verliert das Unternehmen Geld und sein Ruf wird geschädigt.

Was können wir also vom Formel-1-Rennsport lernen?

1: Priorisierung der Sichtbarkeit

Sichtbarkeit ist entscheidend für den Erfolg eines Formel-1-Teams. Die Fahrer stehen in ständigem Funkkontakt mit ihrer Boxencrew, um das gesamte Rennen im Blick zu haben, einschließlich des Streckenzustands, der Kurven und aller Wagen, die sich auf der Rennstrecke befinden. 

Ihre Webanwendungen sind wie Formel-1-Rennwagen – sie müssen in einer schnellen und dynamischen Umgebung bestehen. Leider haben Sicherheitsteams oft keine Ahnung von all den Websites und Webanwendungen, die von anderen Abteilungen des Unternehmens entwickelt werden. Beispiele hierfür sind die nicht autorisierten Webanwendungen von Drittanbietern, die Mitarbeiter im Namen des Unternehmens nutzen, sowie aufgegebene und veraltete Webanwendungen, die möglicherweise Sicherheitslücken aufweisen. Zu wissen, welche Webanwendungen in Ihrem Unternehmen vorhanden sind – ob intern oder von Drittanbietern entwickelt oder als Open Source-Lösung bereitgestellt –, ist ein wichtiger erster Schritt für den Schutz der Anwendungen.

2: Einsatz einer effizienten Boxencrew

Formel-1-Teams sind bekannt für ihr Teamwork, ihre Effizienz und ihre Fähigkeit, die Sicherheit und optimale Leistung der Rennwagen zu gewährleisten. Bei einem Rennen muss die Boxencrew extrem effizient sein und in durchschnittlich weniger als drei Sekunden die Autos auftanken und die Reifen wechseln. Das ist so unglaublich beeindruckend, dass man sich fragt, warum ein Werkstattbesuch im örtlichen Autohaus nicht genauso effizient sein kann.

Wenn Sie nun analog zu diesem Beispiel Ihre Entwickler als Fahrer betrachten, so ist das Sicherheitsteam die Boxencrew. Die Entwickler sind auf Leistung und Geschwindigkeit der Webanwendungen bedacht und befürchten oft, dass der zusätzliche Sicherheitsprozess die Agilität ihrer Webanwendungen beeinträchtigen könnte. Sicherheitsfachkräfte müssen die Entwickler bei der Erstellung von sicherem Code beraten und unterstützen. Ziel des gesamten Teams ist es, für hohe Leistung und Geschwindigkeit der Webanwendungen zu sorgen, gleichzeitig aber gute Cyberhygiene zu gewährleisten und die Sicherheitslage zu verbessern.

3: Absolvierung der Aufwärmrunde

Vor dem eigentlichen Rennen absolvieren die Fahrer eine Aufwärm- oder Einführungsrunde, um einen letzten Blick auf die Strecke zu werfen, die Reifen aufzuwärmen und sicherzustellen, dass die Fahrzeuge voll einsatzbereit sind.

Rennfahrer schalten Gänge – Sicherheitsverantwortliche verfolgen einen „Shift-Left“-Ansatz. Die traditionelle Sicherheitspraxis, dem DevOps-Team einen statischen Schwachstellenbericht an die Hand zu geben, ist in der dynamischen Geschäftsumgebung von heute nicht mehr ausreichend skalierbar. Die frühzeitige Integration eines Tools zum Scannen von Webanwendungen in die Entwicklungs-, Test- und/oder Qualitätssicherungsphasen des Software Development Life Cycle (SDLC) ist vergleichbar mit einer Aufwärmrunde, die dazu beitragen kann, Schwachstellen rechtzeitig aufzudecken. So können die Kosten für die Behebung dieser Probleme gesenkt sowie potenzielle Kosten begrenzt werden, die infolge einer Kompromittierung entstehen könnten. Laut Gartner werden bis zum Jahr 2023 mehr als 70 % der DevSecOps-Initiativen in Unternehmen automatisierte Scans von Sicherheitslücken und Konfigurationen von Open Source-Komponenten und kommerziellen Softwarepaketen umfassen. Dies ist ein deutlicher Anstieg gegenüber einem Anteil von weniger als 30 % im Jahr 2019.* Die automatisierte Durchführung von Security-Scans für Anwendungen – vor jedem Einsatz in der Produktionsumgebung und bei allen Codeänderungen – ist eine empfohlene Best-Practice-Vorgehensweise zur Verbesserung der Sicherheitslage.

Auf die Plätze, fertig, los!

Nachdem Sie nun startklar für das Rennen sind, müssen Sie für die kontinuierliche Sicherheit Ihrer Webanwendungen sorgen und die Effizienz steigern. Dazu müssen Sie Silos zwischen den Sicherheits- und DevOps-Teams aufbrechen und Security Scanning-Prozesse in den SDLC integrieren.

*Quelle: Gartner, „12 Things to Get Right for Successful DevSecOps“, Neil MacDonald und Dale Gardner, Überarbeitung vom 9. April 2021.

Mit freundlicher Genehmigung von GARTNER, einer eingetragenen Marke und Dienstleistungsmarke von Gartner, Inc. und/oder Tochtergesellschaften in den USA und weltweit. Alle Rechte vorbehalten.

Mehr erfahren

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable Vulnerability Management Testversionen, die überall außer in den VAE erstellt werden, beinhalten auch Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen